斧子 - 2006-2-4 15:31:00
desktop.ini和folder.htt欢乐时光病毒
这个文件是使用JavaScript编写的用来定义打开文件夹行为的超文本文件(我们可以使用FrontPage打开该文件进行简单编辑)。其中,打开文件夹的行为定义在以下函数中,原型为:
function ShowFiles() {
Info.innerHTML = L_Intro_Text + "〈br〉〈br〉" + L_Prompt_Text;
showFiles = true;
document.all.FileList.style.display = "";
document.all.Brand.style.display = "none";
FixSize();
}
我们只需要在这个函数中进行必要的修改,就可以改变文件夹打开的行为。比如,要想在打开该文件夹前先进行安全认证,可以这样修改函数:
function ShowFiles() {
var password="20000203";
var input;
input=prompt("请输入打开密码:","");
if (input==password)
{
Info.innerHTML = L_Intro_Text + "〈br〉〈br〉" + L_Prompt_Text;
showFiles = true;
document.all.FileList.style.display = "";
document.all.Brand.style.display = "none";
FixSize();
}
else
{
alert("警告,您无权浏览该目录");
}
}
通过修改打开行为的代码,就可以实现对某个目录的简单加密,当然,这种加密的目录很容易解开:不使用Web方式打开文件夹,避开执行该程序,或者直接从DOS中进入该文件夹都可以绕开密码的输入。
斧子 - 2006-2-4 15:31:00
手工清除(难度较大,建议采用杀毒软件杀毒)
1、打开注册表,删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32键值;
参照其他机器,恢复HKEY_CLASSES_ROOT\dllFile\下键值;
参照其他机器,恢复HKEY_CURRENT_USER\Identities\"&UserID&"\Software\Microsoft\Outlook Express\"&OEVersion&"\Mail\下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\下相关键值;
2、删除文件(建议在DOS状态下或者使用第三方文件管理系统,如Win Commander等)
参照其他机器,恢复%Windows%\web目录下folder.htt 文件;
删除Kernel32.dll或者Kernel.dll文件;删除kjwall.gif;
查找所有存在KJ_start字符串的文件,删除文件尾部的病毒代码;
请升级杀毒软件处理该病毒。
craft0099 - 2006-2-12 22:19:00
厉害厉害
聪明注册会计师 - 2006-2-12 23:22:00
是很牛,前一段时间我就中了他,试了国内外好几中杀软件都不行的,最后重作系统
学习的诚者2 - 2006-2-12 23:37:00
想不到要这样才能删除!请问有什么办法可以参照到一台干净的机器?专杀工具没用啊……
学习的诚者2 - 2006-2-12 23:43:00
我不知道我是否中了这个病毒,不过机器中确实有desktop.ini文件。但注册表中没有HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32这个键值……
不言放弃 - 2006-2-13 8:15:00
Thumbs和desktop.ini?
与欢乐时光病毒并没有直接关系
命运里の金色 - 2006-2-13 8:37:00
这个是老病毒了,专杀到处飞
© 2000 - 2026 Rising Corp. Ltd.
