每次启动时都自检硬盘,这是floder.htt文件病毒引起的吗?
那天从机房考了个文件回来,一打开软驱瑞星就提示folder文件有毒,当时以后只要不运行它就应该没问题就忽略了。然后紧接接就杀了毒,没想到此时整个硬盘都已经是病毒了!后来全杀完了,我也就没再意,可是后来发现每次启动机子时硬盘都自检,没办法,就用ghost回复了一下,(ghost备份的时候肯定没毒,那是上次刚做好就备份的),可是没想到现在启动还一样自检,再查毒也找不到病毒,我都快要疯,不至于上我在做一次机子吧!还请各位同道中人多多帮忙! 问题点数:20、回复次数:7Top
1 楼rivershan(阿门)回复于 2002-06-23 16:52:19 得分 0
怎么个自检法呢?不懂~Top
2 楼shilong(银羽 www.ylog.net)回复于 2002-06-23 16:55:45 得分 0
我的Win2000Pro也经常在正常关机后检测系统盘
不知怎么回事?Top
3 楼wangwpf(渝)回复于 2002-06-23 17:07:01 得分 0
就是windows2000Pro启动时扫描硬盘呀!Top
4 楼rivershan(阿门)回复于 2002-06-23 17:10:32 得分 0
关机时你正在运行什么程序吧~Top
5 楼setcdq9801(蓝鸽@我是你.net)回复于 2002-06-23 17:11:58 得分 20
先升级杀毒软件杀毒!
新欢乐时光病毒"VBS.KJ"的危害与清除
病毒感染过程介绍
VBS.KJ 是一个感染 html/htm、jsp、vbs、php、asp 的脚本类病毒。和欢
乐时光“VBS.HappyTime”一样,该病毒采用 VBScript语言编写,在互联网上
通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量
消耗,速度变慢;利用 Windows 系统的“资源管理器”进行寄生与感染。
然而,与欢乐时光相比,VBS.KJ 病毒显然经过改进。首先,每次感染都会
进行一次变形,可以逃过普通的特征码匹配查找方法;其次,该病毒不会主动
发送电子邮件!而是修改系统中Microsoft Outlook Express、Microsoft
Outlook 2000/XP 的设置,采用 html 格式的信纸来撰写邮件,病毒感染全部
信纸!当发送邮件时病毒会附在邮件中,隐蔽性更强!第三,会感染html/htm
、jsp、vbs、php、asp 等格式的文件,不会删除系统文件。
病毒生成和修改的文件
1、在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件(这两
个文件控制了文件夹在资源管理器中的显示视力)。
2、在 %Windows%\web 和 %Windows%System32 中生成 kjwall.gif。
3、在 Windows 9X 系统中,生成 %Windows%\System\Kernel.dll 文件;
在 Windows 2000/XP 中生成 %Windows%\System\Kernel32.dll文件。
4、感染 htt 文件,将病毒附加在其中;感染 html/htm、jsp、vbs、php
、asp,用病毒替换其内容。
注册表的修改
1、在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下
增加 Kernel32键值,使病毒随系统启动;
2、修改 HKEY_CLASSES_ROOT\dllFile\,改变 dll 文件的打开方式;
3、修改 HKEY_CURRENT_USER\Identities\" & UserID &
"\Software\Microsoft\OutlookExpress\" & OEVersion& "\Mail\Compose
Use Stationery"为 1,即采用信纸; 修改 HKEY_CURRENT_USER\Identities\"
& UserId & "\Software\Microsoft\OutlookExpress\" &OEVersion &
"\Mail\Stationery Name" 指向信纸文件;
4、修改
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail 相关内容,使Outlook 2000 采用信纸来撰写邮件;
5、修改
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail
相关内容,使Outlook XP 采用信纸撰写邮件;
病毒感染的标志
1、在注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下
存在Kernel32 键值,并指向 Kernel.dll 或者 Kernel32.dll 文件;
2、系统中大量存在 desktop.ini 和 folder.htt;
3、在 system 目录下存在 kjwall.gif 文件;
手工清除(难度较大,建议采用杀毒软件杀毒)
1、打开注册表,删除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kern
el32键值;
参照其他机器,恢复 HKEY_CLASSES_ROOT\dllFile\ 下键值;
参照其他机器,恢复 HKEY_CURRENT_USER\Identities\" & UserID &
"\Software\Microsoft\OutlookExpress\" & OEVersion& "\Mail\ 下相关键
值;
参照其他机器,恢复
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\
下相关键值;
参照其他机器,恢复
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail
\下相关键值;
2、删除文件(建议在 DOS 状态下或者使用第三方文件管理系统,如 Win
Commander 等)
参照其他机器,恢复 %Windows%\web 目录下 folder.htt 文件;
删除 Kernel32.dll 或者 Kernel.dll 文件;删除 kjwall.gif;
查找所有存在 KJ_start 字符串的文件,删除文件尾部的病毒代码
还有
开始->运行->MSconfig->启动,这里会有Kernel32.dll 或者 Kernel.dll,folder.htt,这两个启动项~删除~
运行regedit
然后CTRL+F~找folder.htt,全部删除~
就搞定了Top
6 楼fayejt(痞子)回复于 2002-06-23 18:45:42 得分 0
没关系的,完全可以略过他,“取消”Top
7 楼wangwpf(渝)回复于 2002-06-23 19:24:18 得分 0
是的,关机时好象如果开着象sql server的服务管理器的话,下次启动就会有扫描硬盘,如果关机是什么都没的话, 下次启动好象就都没了!Top
