12   1  /  2  页   跳转

desktop.ini和folder.htt欢乐时光病毒

收藏
斧子
头像
叱咤花甲狮
  • 帖子:3583
  • 注册: 2003-05-31
  • 来自:
发表于: 2006-02-04 15:30 | 只看楼主 短消息 资料
字号: 1楼

desktop.ini和folder.htt欢乐时光病毒



最后编辑2006-02-20 20:14:46
分享到:
gototop
 
斧子
头像
叱咤花甲狮
  • 帖子:3583
  • 注册: 2003-05-31
  • 来自:
发表于: 2006-02-04 15:31 | 只看楼主 短消息 资料
字号: 2楼

desktop.ini和folder.htt欢乐时光病毒

这个文件是使用JavaScript编写的用来定义打开文件夹行为的超文本文件(我们可以使用FrontPage打开该文件进行简单编辑)。其中,打开文件夹的行为定义在以下函数中,原型为:

  function ShowFiles() {

  Info.innerHTML = L_Intro_Text + "〈br〉〈br〉" + L_Prompt_Text;

  showFiles = true;

  document.all.FileList.style.display = "";

  document.all.Brand.style.display = "none";

  FixSize();

  }

  我们只需要在这个函数中进行必要的修改,就可以改变文件夹打开的行为。比如,要想在打开该文件夹前先进行安全认证,可以这样修改函数:

  function ShowFiles() {

  var password="20000203";

  var input;

  input=prompt("请输入打开密码:","");

  if (input==password)

  {

  Info.innerHTML = L_Intro_Text + "〈br〉〈br〉" + L_Prompt_Text;

  showFiles = true;

  document.all.FileList.style.display = "";

  document.all.Brand.style.display = "none";

  FixSize();

  }

  else

  {

  alert("警告,您无权浏览该目录");

  }

  }


  通过修改打开行为的代码,就可以实现对某个目录的简单加密,当然,这种加密的目录很容易解开:不使用Web方式打开文件夹,避开执行该程序,或者直接从DOS中进入该文件夹都可以绕开密码的输入。
gototop
 
斧子
头像
叱咤花甲狮
  • 帖子:3583
  • 注册: 2003-05-31
  • 来自:
发表于: 2006-02-04 15:31 | 只看楼主 短消息 资料
字号: 3楼

手工清除(难度较大,建议采用杀毒软件杀毒)

  1、打开注册表,删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32键值;

参照其他机器,恢复HKEY_CLASSES_ROOT\dllFile\下键值;
参照其他机器,恢复HKEY_CURRENT_USER\Identities\"&UserID&"\Software\Microsoft\Outlook Express\"&OEVersion&"\Mail\下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\下相关键值;

2、删除文件(建议在DOS状态下或者使用第三方文件管理系统,如Win Commander等)

参照其他机器,恢复%Windows%\web目录下folder.htt 文件;
  删除Kernel32.dll或者Kernel.dll文件;删除kjwall.gif;
  查找所有存在KJ_start字符串的文件,删除文件尾部的病毒代码;

  请升级杀毒软件处理该病毒。
gototop
 
斧子
头像
叱咤花甲狮
  • 帖子:3583
  • 注册: 2003-05-31
  • 来自:
发表于: 2006-02-07 11:05 | 只看楼主 短消息 资料
字号: 4楼

很厉害吧
gototop
 
craft0099
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2005-01-31
  • 来自:
发表于: 2006-02-12 22:19 | 短消息 资料
字号: 5楼

厉害厉害
gototop
 
聪明注册会计师
头像
初生襁褓狮
  • 帖子:458
  • 注册: 2005-02-28
  • 来自:
发表于: 2006-02-12 23:22 | 短消息 资料
字号: 6楼

是很牛,前一段时间我就中了他,试了国内外好几中杀软件都不行的,最后重作系统
gototop
 
学习的诚者2
头像
自信弱冠狮
  • 帖子:281
  • 注册: 2006-02-10
  • 来自:
发表于: 2006-02-12 23:37 | 短消息 资料
字号: 7楼

想不到要这样才能删除!请问有什么办法可以参照到一台干净的机器?专杀工具没用啊……
gototop
 
学习的诚者2
头像
自信弱冠狮
  • 帖子:281
  • 注册: 2006-02-10
  • 来自:
发表于: 2006-02-12 23:43 | 短消息 资料
字号: 8楼

我不知道我是否中了这个病毒,不过机器中确实有desktop.ini文件。但注册表中没有HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32这个键值……
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-02-13 08:15 | 短消息 资料
字号: 9楼

Thumbs和desktop.ini?
与欢乐时光病毒并没有直接关系
gototop
 
命运里の金色
头像
社区嘉宾
  • 帖子:11442
  • 注册: 2005-01-01
  • 来自:
发表于: 2006-02-13 08:37 | 短消息 资料
字号: 10楼

这个是老病毒了,专杀到处飞
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT