能检测到,但不能被清除

显示全部楼层 · 发表于 2007-5-9 14:20:43

VBS/KJ病毒的清除

?? VBS.KJ 是一个感染 html/htm、jsp、vbs、php、asp 的脚本类病毒。和欢乐时光"VBS.HappyTime"一样，该病毒采用 VBScript 语言编写，在互联网上通过电子邮件进行传播，也可以通过文件感染；感染后的机器系统资源被大量消耗，速度变慢；利用 Windows 系统的"资源管理器"进行寄生与感染。

?? 然而，与欢乐时光相比，VBS.KJ 病毒显然经过改进。首先，每次感染都会进行一次变形，可以逃过普通的特征码匹配查找方法；其次，该病毒不会主动发送电子邮件,而是修改系统中 Microsoft Outlook Express、Microsoft Outlook 2000/XP 的设置，采用 html 格式的信纸来撰写邮件，病毒感染全部信纸！当发送邮件时病毒会附在邮件中，隐蔽性更强！第三，会感染 html/htm、jsp、vbs、php、asp 等格式的文件，不会删除系统文件。

?? 病毒生成和修改的文件

?? 1、在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件(这两个文件控制了文件夹在资源管理器中的显示)。

?? 2、在 %Windows%\web 和 %Windows%System32 中生成 kjwall.gif。

?? 3、在 Windows 9X 系统中，生成 %Windows%\System\Kernel.dll 文件；在 Windows 2000/XP 中生成 %Windows%\System\Kernel32.dll 文件。

?? 4、感染 htt 文件，将病毒附加在其中；感染 html/htm、jsp、vbs、php、asp，用病毒替换其内容。
??

同时病毒修改注册表：
?
?1、在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下增加 Kernel32 键值，使病毒随系统启动；

?? 2、修改 HKEY_CLASSES_ROOT\dllFile\，改变 dll 文件的打开方式；

?? 3、修改 HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\Outlook Express\" & OEVersion?& "\Mail\Compose Use Stationery" 为 1，即采用信纸；修改 HKEY_CURRENT_USER\Identities\" & UserId & "\Software\Microsoft\Outlook Express\" &?OEVersion & "\Mail\Stationery Name" 指向信纸文件；

?? 4、修改 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail 相关内容，使 Outlook 2000 采用信纸来撰写邮件；

?? 5、修改 HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail 相关内容，使 Outlook XP 采用信纸撰写邮件；

?? 病毒感染的标志
??
??1、注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下存在 Kernel32 键值，并指向 Kernel.dll 或者 Kernel32.dll 文件；

?? 2、系统中大量存在 desktop.ini 和 folder.htt；

?? 3、在 system 目录下存在 kjwall.gif 文件；

??请广大KV3000用户使用最新版本的KV3000杀毒王来杀毒，或者可以采用以下的方法：

1、打开注册表，删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32 键值；恢复 HKEY_CLASSES_ROOT\dllFile\ 下键值；恢复 HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\Outlook Express\" & OEVersion?& "\Mail\ 下相关键值；恢复 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\ 下相关键值；恢复 HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\ 下相关键值；
??
2、删除文件病毒文件：恢复 %Windows%\web 目录下 folder.htt 文件；
??删除 Kernel32.dll 或者 Kernel.dll 文件；删除 kjwall.gif；
??查找所有存在 KJ_start 字符串的文件，删除文件尾部的病毒代码

显示全部楼层 · 发表于 2007-5-9 14:24:39

我疑问为什么那几个杀软这个病毒都不报

[ 本帖最后由 kp2006 于 2007-5-9 14:25 编辑 ]

显示全部楼层 · 发表于 2007-5-9 14:26:57

也就是说，把它删除就行了？（不会影响到系统文件？）

显示全部楼层 · 发表于 2007-5-9 14:28:45

显示全部楼层 · 发表于 2007-5-9 14:28:45

我不知道你自己看资料都给你了

kernel.dll系统文件

or 病毒

显示全部楼层 · 发表于 2007-5-9 14:34:30

原帖由 kp2006 于 2007-5-9 14:28 发表
我不知道你自己看资料都给你了

kernel.dll系统文件

or 病毒

先多谢您老人家，我自己试试看。

显示全部楼层 · 发表于 2007-5-9 14:39:40

原帖由 huangshaoshan 于 2007-5-9 14:34 发表

先多谢您老人家，我自己试试看。

怎么这样说话晕

显示全部楼层 · 发表于 2007-5-9 15:40:02

dll没有办法运行测试

显示全部楼层 · 发表于 2007-5-10 15:32:53

原帖由 红心王子 于 2007-5-9 12:52 发表
红伞AV和费尔过了

有密码保护,费尔报病毒

[病毒样本] 能检测到,但不能被清除

本帖子中包含更多资源