大家看看这是病毒吗? 刚开始每打开一个文件夹都会自动在这个文件夹下加上folder.htt和desktop.ini两个文件,现在用资源管理器打开文件夹的时候已经什么都看不到了。folder.htt中有一段vbscript代码以及一大堆乱码。我不懂vbscript,大家看看这是病毒吗,是什么原理,怎么解决这个问题? 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 那二个不是文件夹特效时用的吗?点型的就是你点c:\windows这个文件夹时,出个警告提示,用的就是这个。 这是Windows的自定义文件夹必要的,不是病毒了把自定义文件夹取消就没了 新欢乐时光病毒"VBS.KJ"的危害与清除 病毒感染过程介绍 VBS.KJ 是一个感染 html/htm、jsp、vbs、php、asp 的脚本类病毒。和欢乐时光“VBS.HappyTime”一样,该病毒采用 VBScript语言编写,在互联网上通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量消耗,速度变慢;利用 Windows 系统的“资源管理器”进行寄生与感染。 然而,与欢乐时光相比,VBS.KJ 病毒显然经过改进。首先,每次感染都会进行一次变形,可以逃过普通的特征码匹配查找方法;其次,该病毒不会主动发送电子邮件!而是修改系统中Microsoft Outlook Express、Microsoft Outlook 2000/XP 的设置,采用 html 格式的信纸来撰写邮件,病毒感染全部信纸!当发送邮件时病毒会附在邮件中,隐蔽性更强!第三,会感染html/htm、jsp、vbs、php、asp 等格式的文件,不会删除系统文件。 病毒生成和修改的文件 1、在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件(这两个文件控制了文件夹在资源管理器中的显示视力)。 2、在 %Windows%\web 和 %Windows%System32 中生成 kjwall.gif。 3、在 Windows 9X 系统中,生成 %Windows%\System\Kernel.dll 文件;在 Windows 2000/XP 中生成 %Windows%\System\Kernel32.dll文件。 4、感染 htt 文件,将病毒附加在其中;感染 html/htm、jsp、vbs、php、asp,用病毒替换其内容。 注册表的修改 1、在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下增加 Kernel32键值,使病毒随系统启动; 2、修改 HKEY_CLASSES_ROOT\dllFile\,改变 dll 文件的打开方式; 3、修改 HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\OutlookExpress\" & OEVersion& "\Mail\Compose Use Stationery"为 1,即采用信纸; 修改 HKEY_CURRENT_USER\Identities\"& UserId & "\Software\Microsoft\OutlookExpress\" &OEVersion & "\Mail\Stationery Name" 指向信纸文件; 4、修改 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail 相关内容,使Outlook 2000 采用信纸来撰写邮件; 5、修改 HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail相关内容,使Outlook XP 采用信纸撰写邮件; 病毒感染的标志 1、在注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下存在Kernel32 键值,并指向 Kernel.dll 或者 Kernel32.dll 文件; 2、系统中大量存在 desktop.ini 和 folder.htt; 3、在 system 目录下存在 kjwall.gif 文件; 手工清除(难度较大,建议采用杀毒软件杀毒) 1、打开注册表,删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32键值; 参照其他机器,恢复 HKEY_CLASSES_ROOT\dllFile\ 下键值; 参照其他机器,恢复 HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\OutlookExpress\" & OEVersion& "\Mail\ 下相关键值; 参照其他机器,恢复 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\下相关键值; 参照其他机器,恢复 HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\下相关键值; 2、删除文件(建议在 DOS 状态下或者使用第三方文件管理系统,如 WinCommander 等) 参照其他机器,恢复 %Windows%\web 目录下 folder.htt 文件; 删除 Kernel32.dll 或者 Kernel.dll 文件;删除 kjwall.gif; 查找所有存在 KJ_start 字符串的文件,删除文件尾部的病毒代码;(摘自金山反病毒资讯网) (2002年5月17日)我的办法~开始->运行->MSconfig->启动,这里会有Kernel32.dll 或者 Kernel.dll,folder.htt,这两个启动项~删除~然后CTRL+F~找folder.htt,全部删除~注销~OK~ VB.kj的一个脚本病毒,感染超文本文件,即htm文件,用金山毒霸最新版可以清除! 请大家帮忙看看这个:http://www.csdn.net/expert/topic/822/822284.xml?temp=2.257937E-02 对于这个病毒,金山毒霸已经开发出了专杀工具,具体下载页面请见:http://www.iduba.net/download/other/ScanVBSKJ.htm 病毒,名为VBS.KJ——此病毒把Folder.htt的<Body>标签改成了<Body onload="vbscript:KJ_start()">,其中的KJ_start就是恶意的函数,VBS.KJ可能就是以这个函数命名的,VBS是VBScript,KJ可能是网上一个叫客家黑客联盟的网站。 邪了,我的H盘底下怎么突然有一个隐藏目录,名为"System Volume Information",在下面就有folder.htt这个文件,里边第一行语句就是<BODY onload="vbscript:KJ_start()">这么是病毒了,我杀!!!!!!!!!!!!!!!!!!!! 对了就是Kernel32.dll 这个程序. 在win2000/xp下是Kernel32.dll 这个程序在win98下是Kernel.dll1.将注册表的run项中的上述文件的信息删除2.打开"资源管理器"的"显示所有文件",用开始菜单中的"搜索"将找到的23k的Folder.htt连同同一目录下的desktop.ini一起删除(直接在"搜索"的下拉列表中删除), 11k和13k的是win98系统的,没有病毒.3.千万不要打开任何浏览器.重启计算机.如果有必要,再重复以上过程一次.一切OK!!Good Lucky!! 忘了说了,在win2000/xp下是Kernel32.dll 这个程序,位于操作系统目录的"system32"子目录.在win98下是Kernel.dll,位于操作系统目录的"system"子目录.不要删错了,否则系统会出问题哟!!! 列表视图控件显示中间的横线 请问如何得到控制台程序窗口句柄(HWND)和实例句柄(HINSTANCE)呢? VC8编出的程序在有的机器上不能运行 MFC中全局对象的调用 请问怎么在对话框中嵌入word的操作界面? 麻烦各位帮我介绍几本好的网络编程书好吗 大哥,急呀,在线等待 实模式和保护模式到底有什么区别 请教EMAIL问题,很简单的。先给1分,有人回答再给29分(因为可用用不多)。 问题求救 请问那有《用TCP/IP进行网际互联》的电子书下载? ListView如何才能显示格线?
把自定义文件夹取消就没了
病毒感染过程介绍
VBS.KJ 是一个感染 html/htm、jsp、vbs、php、asp 的脚本类病毒。和欢
乐时光“VBS.HappyTime”一样,该病毒采用 VBScript语言编写,在互联网上
通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量
消耗,速度变慢;利用 Windows 系统的“资源管理器”进行寄生与感染。
然而,与欢乐时光相比,VBS.KJ 病毒显然经过改进。首先,每次感染都会
进行一次变形,可以逃过普通的特征码匹配查找方法;其次,该病毒不会主动
发送电子邮件!而是修改系统中Microsoft Outlook Express、Microsoft
Outlook 2000/XP 的设置,采用 html 格式的信纸来撰写邮件,病毒感染全部
信纸!当发送邮件时病毒会附在邮件中,隐蔽性更强!第三,会感染html/htm
、jsp、vbs、php、asp 等格式的文件,不会删除系统文件。
病毒生成和修改的文件
1、在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件(这两
个文件控制了文件夹在资源管理器中的显示视力)。
2、在 %Windows%\web 和 %Windows%System32 中生成 kjwall.gif。
3、在 Windows 9X 系统中,生成 %Windows%\System\Kernel.dll 文件;
在 Windows 2000/XP 中生成 %Windows%\System\Kernel32.dll文件。
4、感染 htt 文件,将病毒附加在其中;感染 html/htm、jsp、vbs、php
、asp,用病毒替换其内容。
注册表的修改
1、在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下
增加 Kernel32键值,使病毒随系统启动;
2、修改 HKEY_CLASSES_ROOT\dllFile\,改变 dll 文件的打开方式;
3、修改 HKEY_CURRENT_USER\Identities\" & UserID &
"\Software\Microsoft\OutlookExpress\" & OEVersion& "\Mail\Compose
Use Stationery"为 1,即采用信纸; 修改 HKEY_CURRENT_USER\Identities\"
& UserId & "\Software\Microsoft\OutlookExpress\" &OEVersion &
"\Mail\Stationery Name" 指向信纸文件;
4、修改
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail 相关内容,使Outlook 2000 采用信纸来撰写邮件;
5、修改
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail
相关内容,使Outlook XP 采用信纸撰写邮件;
病毒感染的标志
1、在注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下
存在Kernel32 键值,并指向 Kernel.dll 或者 Kernel32.dll 文件;
2、系统中大量存在 desktop.ini 和 folder.htt;
3、在 system 目录下存在 kjwall.gif 文件;
手工清除(难度较大,建议采用杀毒软件杀毒)
1、打开注册表,删除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kern
el32键值; 参照其他机器,恢复 HKEY_CLASSES_ROOT\dllFile\ 下键值;
参照其他机器,恢复 HKEY_CURRENT_USER\Identities\" & UserID &
"\Software\Microsoft\OutlookExpress\" & OEVersion& "\Mail\ 下相关键
值;
参照其他机器,恢复
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\
下相关键值;
参照其他机器,恢复
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail
\下相关键值;
2、删除文件(建议在 DOS 状态下或者使用第三方文件管理系统,如 Win
Commander 等)
参照其他机器,恢复 %Windows%\web 目录下 folder.htt 文件;
删除 Kernel32.dll 或者 Kernel.dll 文件;删除 kjwall.gif;
查找所有存在 KJ_start 字符串的文件,删除文件尾部的病毒代码;(摘自金山反病毒资讯网) (2002年5月17日)我的办法~
开始->运行->MSconfig->启动,这里会有Kernel32.dll 或者 Kernel.dll,folder.htt,这两个启动项~删除~
然后CTRL+F~找folder.htt,全部删除~
注销~OK~
http://www.iduba.net/download/other/ScanVBSKJ.htm
<BODY onload="vbscript:KJ_start()">
这么是病毒了,我杀!!!!!!!!!!!!!!!!!!!!
在win98下是Kernel.dll
1.将注册表的run项中的上述文件的信息删除
2.打开"资源管理器"的"显示所有文件",用开始菜单中的"搜索"将找到的23k的Folder.htt连同同一目录下的desktop.ini一起删除(直接在"搜索"的下拉列表中删除), 11k和13k的是win98系统的,没有病毒.
3.千万不要打开任何浏览器.重启计算机.
如果有必要,再重复以上过程一次.一切OK!!
Good Lucky!!
在win98下是Kernel.dll,位于操作系统目录的"system"子目录.
不要删错了,否则系统会出问题哟!!!