调试易

是病毒，欢乐时光病毒，金山毒霸有专杀工具
新欢乐时光病毒"VBS.KJ"的危害与清除 
　　病毒感染过程介绍 
 
VBS.KJ 是一个感染 html/htm、jsp、vbs、php、asp 的脚本类病毒。和欢
乐时光“VBS.HappyTime”一样，该病毒采用 VBScript语言编写，在互联网上
通过电子邮件进行传播，也可以通过文件感染；感染后的机器系统资源被大量
消耗，速度变慢；利用 Windows 系统的“资源管理器”进行寄生与感染。
 
然而，与欢乐时光相比，VBS.KJ 病毒显然经过改进。首先，每次感染都会
进行一次变形，可以逃过普通的特征码匹配查找方法；其次，该病毒不会主动
发送电子邮件！而是修改系统中Microsoft Outlook Express、Microsoft 
Outlook 2000/XP 的设置，采用 html 格式的信纸来撰写邮件，病毒感染全部
信纸！当发送邮件时病毒会附在邮件中，隐蔽性更强！第三，会感染html/htm
、jsp、vbs、php、asp 等格式的文件，不会删除系统文件。 
 
病毒生成和修改的文件 
 
1、在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件(这两
个文件控制了文件夹在资源管理器中的显示视力)。 
 
2、在 %Windows%\web 和 %Windows%System32 中生成 kjwall.gif。 
 
3、在 Windows 9X 系统中，生成 %Windows%\System\Kernel.dll 文件；
在 Windows 2000/XP 中生成 %Windows%\System\Kernel32.dll文件。 
 
4、感染 htt 文件，将病毒附加在其中；感染 html/htm、jsp、vbs、php
、asp，用病毒替换其内容。 
 
注册表的修改 
 
1、在 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下
增加 Kernel32键值，使病毒随系统启动； 
 
2、修改 HKEY_CLASSES_ROOT\dllFile\，改变 dll 文件的打开方式； 
 
3、修改 HKEY_CURRENT_USER\Identities\" & UserID & 
"\Software\Microsoft\OutlookExpress\" & OEVersion& "\Mail\Compose 
Use Stationery"为 1，即采用信纸； 修改 HKEY_CURRENT_USER\Identities\"
& UserId & "\Software\Microsoft\OutlookExpress\" &OEVersion & 
"\Mail\Stationery Name" 指向信纸文件；
 
4、修改 
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail 相关内容，使Outlook 2000 采用信纸来撰写邮件； 
 
5、修改 
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail
相关内容，使Outlook XP 采用信纸撰写邮件； 
 
病毒感染的标志 
 
1、在注册表 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下
存在Kernel32 键值，并指向 Kernel.dll 或者 Kernel32.dll 文件； 
 
2、系统中大量存在 desktop.ini 和 folder.htt； 
 
3、在 system 目录下存在 kjwall.gif 文件； 
 
手工清除(难度较大，建议采用杀毒软件杀毒) 
 
1、打开注册表，删除 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kern
el32键值； 参照其他机器，恢复 HKEY_CLASSES_ROOT\dllFile\ 下键值； 
参照其他机器，恢复 HKEY_CURRENT_USER\Identities\" & UserID & 
"\Software\Microsoft\OutlookExpress\" & OEVersion& "\Mail\ 下相关键
值； 
参照其他机器，恢复 
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\
下相关键值； 
参照其他机器，恢复 
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail
\下相关键值； 
 
2、删除文件(建议在 DOS 状态下或者使用第三方文件管理系统，如 Win
Commander 等) 
参照其他机器，恢复 %Windows%\web 目录下 folder.htt 文件； 
删除 Kernel32.dll 或者 Kernel.dll 文件；删除 kjwall.gif； 
查找所有存在 KJ_start 字符串的文件，删除文件尾部的病毒代码；

ftp://www.iduba.net/download/othertools/ScanVBSKJ.EXE病毒感染过程介绍 
 
VBS.KJ 是一个感染 html/htm、jsp、vbs、php、asp 的脚本类病毒。和欢乐时光“VBS.HappyTime”一样，该病毒采用 VBScript 语言编写，在互联网上通过电子邮件进行传播，也可以通过文件感染；感染后的机器系统资源被大量消耗，速度变慢；利用 Windows 系统的“资源管理器”进行寄生与感染。 
 
然而，与欢乐时光相比，VBS.KJ 病毒显然经过改进。首先，每次感染都会进行一次变形，可以逃过普通的特征码匹配查找方法；其次，该病毒不会主动发送电子邮件！而是修改系统中 Microsoft Outlook Express、Microsoft Outlook 2000/XP 的设置，采用 html 格式的信纸来撰写邮件，病毒感染全部信纸！当发送邮件时病毒会附在邮件中，隐蔽性更强！第三，会感染 html/htm、jsp、vbs、php、asp 等格式的文件，不会删除系统文件。 

把硬盘里的Desktop.ini和Folder.htt全都删除，再Autoexec.bat里加上一句del c:\windows\system\kernel.dll。打开注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run把Kernel32的主键删掉，重新启动可以啦。