快乐时光病毒的介绍
快乐时光病毒VBS.Happytime 是一个感染 VBS、html 和脚本文件的脚本类病毒。该病毒采用 VBScript 语言编写,它既可在电子邮件的形式通过互联网进行传播,也可以在本地通过文件进行感染。 当用浏览器打开一个被感染的 html 文件时,病毒会设置网页的时间中断事件,每 10 秒运行执行 Help.vbs 一次,该文件存放在 C:\ 盘下第一个子目录下。如果通过 hta 文件激活病毒,病毒还会在 C:\ 盘下第一个子目录下生成 Help.hta 文件并执行
欢乐时光病毒的中毒症状
当“欢乐时光”发作后:·它会把自己伪装成Help.hta, Help.vbs, Help.htm或Untitled.htm文件。·它会在注册表的HKEY_CURRENT_USER\Software\Help\Count上改变键值,更新被感染文件的数量。 ·当月份和日期加起来等于13时,源病毒会删除全部的.exe和.dll文件。·每个带有“欢乐时光”病毒的邮件都会是以下的格式:Subject: HelpMessage: (信体是空的)Attachment: Untitled.htm (被感染的附件)被Email感染的文件:.htm, .vbs,.asp或.htt文件的名字都会储存在系统注册表的HKEY_CURRENT_USER\Software\Help\FileName里面。 ·每当366个被感染者时,下面两件事发生的机会相等:一个是储存在收信箱里的所有信都会被回复以下面的形式:Subject: Fw: Message: (信体是空的)Attachment: Untitled.htm (被感染的附件)另一个情况是以下面的形式向默认的所有联系人发送Email:Subject: HelpMessage: (信体是空的)Attachment: Untitled.htm (被感染的附件) ·病毒源程序建立一个新的默认壁纸,显示一个被感染的Help.htm页面,使病毒可以在启动时自动运行。为了更好的隐藏自己,它会尽可能的使用一个和被感染之前相同的壁纸。·源病毒感染在Windows\web文件夹底下的.htt文件。超文本模板文件是用来设计和观看文件夹的内容的。假如你设定以Web方式浏览文件夹,那样你每次浏览的文件夹都会被感染。 ·病毒会设置一个默认的信纸格式,每次你发信时,它都会连同信体一同发送到别人的电脑上,通过这样的复制,不断的蔓延。要注意的是,假如你的Email程序或者Email服务器不支持Html格式的信件,Email程序或者Email服务器会把信件转换成附件,发送给你。假如你打开附件,也会感染“欢乐时光”病毒。赛门铁克安全响应中心已经开发了一个使被“VBS.Haptime.A@mm”或者“VBS.Haptime.B@mm”感染的计算机恢复的程序。
欢乐时光病毒怎么清除
关于_desktop.ini这个文件还要从上次我电脑被病毒强奸了说起。上次中了viking病毒之后,发现某些目
录里有_desktop.ini文件,起初和desktop.ini弄混了,以为是desktop.ini呢,今天往服务器上传东西的
时候才发现不对劲,很多目录里都有这东西,于是上网搜索了一下,原来是杀了viking病毒后遗留下的。
那么多的_desktop.ini该怎么清理呢?下面给出两个清理方法:
方法一:
点开始菜单,然后选运行,输入cmd回车,会出现一个命令提示符窗口,在里面输入如下命令
del d:\_desktop.ini /f/s/q/a
强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除,如果你想删除
c盘的_desktop.ini文件,把上面命令改为del c:\_desktop.ini /f/s/q/a即可,以此类推
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照属性来删除了
成功清除_desktop.ini
@echo off
echo 正在清除文件,请稍等......
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
echo 清除完毕!
exit
新建一个文档,另存为123.bat 然后执行
方法二:
用windows的搜索功能搜索所有盘符的_desktop.ini文件,搜索完后把所有_desktop.ini文件删除即
可。
学盟专版_desktop.ini专杀
今天学盟会员有人中了这个病毒,为了方便以后盟友们的方便,
我做了个简单的专杀!
—— 、
手工杀除:
手动清除方法:
删除病毒文件(无法清除时去安全模式)
把系统盘根目录下的BBwow、MH_File、TODAYZTKING文件夹清除,
系统根目录\_desktop.ini
系统盘根目录\1.txt
病毒所在目录\vDll.dll文件
%Windir%\rundll32.exe
%Program files%\_desktop.ini
%Windir%\0sy.exe
%Windir%\1sy.exe
恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows键值: 字串:
"load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\ver_down0
值: dsfsfaa[Startup]..AppName=ATISoftwarer=sss
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\键值: 字串: "ver_down1"="COM+[7:18:32]: Setup
started- [DATE:05,22,2006 TIME: 07:18 pm]11111"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto值: "1"
虽然手动清除病毒,但此病毒在每个目录下留下了一个_desktop.ini文件,
手动删除,根据之前清拉圾文件的脚本写了个小脚本清除这些文件
欢乐时光病毒的简介
由于被“欢乐时光”(VBS.Haptime.A@mm)病毒感染的用户越来越多,现在赛门铁克把它从以前的3级危害升级到了4级(5级危害最高)“欢乐时光”(VBS.Haptime.A@mm)是一个VB源程序病毒,专门感染.htm、.html、.vbs、.asp和.htt文件。它作为电子邮件的附件,并利用Outlook Express的性能缺陷把自己传播出去,利用一个被人们所知的Microsoft Outlook Express的安全漏洞,可以在你没有运行任何附件时就运行自己。还利用Outlook Express的信纸功能,使自己复制在信纸的Html模板上,以便传播。这和“Wscript.KakWorm”病毒很相似,当你发信出去时,“欢乐时光”的源病毒隐藏在HTML文件上。只要你在Outlook Express上预览了隐藏有病毒的HTML文件,甚至你都不用打开它,它就能感染你的电脑。
哪有免费的欢乐时光病毒杀毒软件呀
1. Kaspersky Anti-Virus Personal Pro 5.0.390 绿色全功能正式版
http://down.safechina.net/lvse/1.rar
备选地址:http://www5.fixdown.com/doskill/lvse/1.rar
2.金山毒霸2006安装组合装绿色免安装版,测试过,暂时可在线升级 病毒库0121
注意:只能查杀病毒,除了能开启网标监控,别的都不能开启监控程序
金山毒霸2006免|通行证|程序 使用说明:
把里面的所有文件全部复制到金山安装目录里面,开始在线升级
http://down.safechina.net/lvse/2.rar
备选地址:http://www5.fixdown.com/doskill/lvse/2.rar
3.AntiVir PersonalEdition Premium绿色免安装可在线升级商业版
主程序:6.32.00.07 病毒库 0121
http://down.safechina.net/lvse/3.rar
备选地址:http://www5.fixdown.com/doskill/lvse/3.rar
4.北信源VRV2005绿色免安装可在线升级版 病毒库 0120 版本78x
http://down.safechina.net/lvse/4.rar
备选地址:http://www5.fixdown.com/doskill/lvse/4.rar
5.F-Prot(冰岛) Antivirus for WINDOWS v3.16f中文免安装可在线升级绿色版 病毒库 0120 病毒数:230450
感谢jedi1029制作了汉化补丁,感谢agiha提供了破解路径程序文件,增加了任意目录功能、卸载工具和右键扫描功能,这里对这2个朋友再次感谢。
软件介绍:
消耗资源很低,实时监控灵敏,带网络文件扫描系统的冰岛产杀毒软件,已通过多个 VB100%。 功能不多却实用至上,此版本支持 WINDOWS ALL。病毒库已经有22万之多
本版增加了任意目录功能、卸载工具和右键扫描功能。
还有此版本不能开启监控,可以辅助查杀病毒用。此版本在多个平台测试无问题,可在线升级。
使用说明:
每次修改路径前必须运行FREG.exe,然后运行FP-Win.exe 即可
http://down.safechina.net/lvse/5.rar
备选地址:http://www5.fixdown.com/doskill/lvse/5.rar
有~~瑞星 江民 你可以到网上下个 但是不支持更新病毒库
如何防止类似“快乐时光”(Happy Time)之类的蠕虫病毒感染我的电脑?
新欢乐时光病毒"VBS.KJ"的危害与清除
病毒感染过程介绍
VBS.KJ 是一个感染 html/htm、jsp、vbs、php、asp 的脚本类病毒。和欢
乐时光“VBS.HappyTime”一样,该病毒采用 VBScript语言编写,在互联网上
通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量
消耗,速度变慢;利用 Windows 系统的“资源管理器”进行寄生与感染。
然而,与欢乐时光相比,VBS.KJ 病毒显然经过改进。首先,每次感染都会
进行一次变形,可以逃过普通的特征码匹配查找方法;其次,该病毒不会主动
发送电子邮件!而是修改系统中Microsoft Outlook Express、Microsoft
Outlook 2000/XP 的设置,采用 html 格式的信纸来撰写邮件,病毒感染全部
信纸!当发送邮件时病毒会附在邮件中,隐蔽性更强!第三,会感染html/htm
、jsp、vbs、php、asp 等格式的文件,不会删除系统文件。
病毒生成和修改的文件
1、在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件(这两
个文件控制了文件夹在资源管理器中的显示视力)。
2、在 %Windows%\web 和 %Windows%System32 中生成 kjwall.gif。
3、在 Windows 9X 系统中,生成 %Windows%\System\Kernel.dll 文件;
在 Windows 2000/XP 中生成 %Windows%\System\Kernel32.dll文件。
4、感染 htt 文件,将病毒附加在其中;感染 html/htm、jsp、vbs、php
、asp,用病毒替换其内容。
注册表的修改
1、在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下
增加 Kernel32键值,使病毒随系统启动;
2、修改 HKEY_CLASSES_ROOT\dllFile\,改变 dll 文件的打开方式;
3、修改 HKEY_CURRENT_USER\Identities\" & UserID &
"\Software\Microsoft\OutlookExpress\" & OEVersion & "\Mail\Compose
Use Stationery"为 1,即采用信纸; 修改 HKEY_CURRENT_USER\Identities\"
& UserId & "\Software\Microsoft\OutlookExpress\" & OEVersion &
"\Mail\Stationery Name" 指向信纸文件;
4、修改
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail 相关内容,使Outlook 2000 采用信纸来撰写邮件;
5、修改
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail
相关内容,使Outlook XP 采用信纸撰写邮件;
病毒感染的标志
1、在注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下
存在Kernel32 键值,并指向 Kernel.dll 或者 Kernel32.dll 文件;
2、系统中大量存在 desktop.ini 和 folder.htt;
3、在 system 目录下存在 kjwall.gif 文件;
手工清除(难度较大,建议采用杀毒软件杀毒)
1、打开注册表,删除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kern
el32键值;
参照其他机器,恢复 HKEY_CLASSES_ROOT\dllFile\ 下键值;
参照其他机器,恢复 HKEY_CURRENT_USER\Identities\" & UserID &
"\Software\Microsoft\OutlookExpress\" & OEVersion & "\Mail\ 下相关键
值;
参照其他机器,恢复
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\
下相关键值;
参照其他机器,恢复
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail
\下相关键值;
2、删除文件(建议在 DOS 状态下或者使用第三方文件管理系统,如 Win
Commander 等)
参照其他机器,恢复 %Windows%\web 目录下 folder.htt 文件;
删除 Kernel32.dll 或者 Kernel.dll 文件;删除 kjwall.gif;
查找所有存在 KJ_start 字符串的文件,删除文件尾部的病毒代码;
desktop.ini是不是病毒是什么文件可以删除吗
当我们在使用电脑的时候,发现突然多出了一个占用内存不小的进程,叫做desktop.ini。小编要告诉大家的是,这个进程其实不是病毒,它是负责存储用户对系统文件夹个性化设置的进程,大家尽可能放心。对于desktop.ini详细介绍请见下文~desktop.ini是什么文件可以删除吗一、desktop.ini是什么文件专业的说,Desktop.ini文件是系统可识别的一个文件。其作用是存储用户对文件夹的个性设置,比如用户更改了文件夹图标、背景颜色等等,其配置信息都会存入到这个文件夹的desktop.ini文件中,用户可以使用记事本的方式,打开desktop.ini配置文件,里面均为一些代码配置文件。通俗的说,desktop.ini相当于每个文件夹的控制中心,控制这个文件夹应该使用什么颜色、应该具有什么属性等,默认是可以删除的。但如果你设置修改过文件夹属性,那么删除这个desktop.ini配置文件,会导致此前所设置内容失效,重新恢复到默认设置。二、desktop.ini可以删除吗desktop.ini文件属于文件夹的配置文件,用户可以删除。删除后不会影响文件夹,只是会让文件夹恢复为默认设置。另外desktop.ini文件并不是病毒文件,当然有些病毒文件可能会伪装成_desktop.ini文件,那么可能就是病毒了,大家可以使用杀毒软件查杀即可。另外值得一提的是,desktop.ini文件默认为系统配置配件,大小仅几Kb左右,不过如果用户设置的项目较多的话,也会导致desktop.ini文件变的很大。这个文件如果容量很大的话,打开这个文件夹容易出现卡死现象,因此也经常会有一些电脑高手恶搞,将一个电影文件改成desktop.ini文件,然后放置在电脑桌面或者文件夹当中,导致电脑变卡的卡死。desktop.ini文件太大的话,强烈建议删除。因此,如果desktop.ini文件不大的话,无需删除,如果desktop.ini文件达到上百M,那么建议删除,以免导致电脑打开文件变卡。三、desktop.ini如何删除1、鼠标右键【开始】,找到【WindowsPowerShell(管理员)】在里面输入如下命令:deld:\_desktop.ini/f/s/q/a强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除,如果你想删除c盘的_desktop.ini文件,把上面命令改为delc:\_desktop.ini/f/s/q/a即可,以此类推/f强制删除只读文件/q指定静音状态。不提示您确认删除。/s从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。/a的意思是按照属性来删除了
我的电脑每个文件夹都有_desktop.ini文件,删不掉的,是什么病毒啊?怎么杀了?
_desktop.ini这个是viking(威金)病毒建立的文件,不是欢乐时光病毒。欢乐时光病毒除了在每个文件夹里面建立desktop.ini还会同时建立folder.htt。
把当前的杀毒软件,如瑞星,金山,江民等升级到最新病毒库,都可以查杀,杀毒时候最好到安全模式查杀。
病毒杀干净后手工删除_desktop.ini文件。
方法:
开始/运行,输入CMD打开DOS窗口,然后输入
del c:\_desktop.ini /f/s/q/a
强制删除c盘下所有目录内(包括c盘本身,杀完c盘后在把c改为d,e等盘再杀)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照属性来删除了
这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的
欢乐时光病毒的删除病毒方法
·需要删除.htt文件,和所有检测到的“VBS.Haptime.A@mm”,删除注册表里病毒添加的键值,重新设置你的Outlook Express。·更新杀毒程序,确保你有最新的病毒定义。·打开赛门铁克防毒(NAV),、运行全系统扫描,确保扫描到所有文件。·更改注册表:点击开始,点击运行;输入“regedit”,点OK,注册表打开;找到下面,并删除键值:HKEY_CURRENT_USER\Software\Help\CountHKEY_CURRENT_USER\Software\Help\FileName退出注册表编辑器。·重新设置微软的Outlook Express:打开Outlook Express;点击工具,点击选项;点击拼写;在信纸选项,如果你在发信时没有选择信纸,就不选择Mail;否则选择你想用的信纸。微软已经对这个存在于“Scriptlet.TypLib”网络多媒体化技术控制的安全漏洞设计了补丁程序。如果你安装了这个补丁以后,这个“欢乐时光”病毒就不会再自动运行了。
怎么杀掉.VBS病毒
一楼的在给360宣传呢。
真是的。我来告诉楼主把。
如何预防和解除vbs脚本病毒
针对以上提到的VBS脚本病毒的弱点,笔者提出如下集中防范措施:
1)禁用文件系统对象FileSystemObject
方法:用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。其中regsvr32是WindowsSystem下的可执行文件。或者直接查找scrrun.dll文件删除或者改名。 还有一种方法就是在注册表中HKEY_CLASSES_ROOTCLSID下找到一个主键{0D43FE01-F093-11CF-8940-00A0C9054228}的项,咔嚓即可。
2)卸载Windows Scripting Host
在Windows 98中(NT 4.0以上同理),打开〔控制面板〕→〔添加/删除程序〕→〔Windows安装程序〕→〔附件〕,取消“Windows Scripting Host”一项。
和上面的方法一样,在注册表中HKEY_CLASSES_ROOTCLSID下找到一个主键{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}的项,咔嚓。
3)删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射点击〔我的电脑〕→〔查看〕→〔文件夹选项〕→〔文件类型〕,然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。
4)在Windows目录中,找到WScript.exe,更改名称或者删除,如果你觉得以后有机会用到的话,最好更改名称好了,当然以后也可以重新装上。
5)要彻底防治VBS网络蠕虫病毒,还需设置一下你的浏览器。我们首先打开浏览器,单击菜单栏里“Internet 选项”安全选项卡里的〔自定义级别〕按钮。把“ActiveX控件及插件”的一切设为禁用,这样就不怕了。呵呵,譬如新欢乐时光的那个ActiveX组件如果不能运行,网络传播这项功能就玩完了。
6)禁止OE的自动收发邮件功能
7)由于蠕虫病毒大多利用文件扩展名作文章,所以要防范它就不要隐藏系统中已知文件类型的扩展名。Windows默认的是“隐藏已知文件类型的扩展名称”,将其修改为显示所有文件类型的扩展名称。
8)将系统的网络连接的安全级别设置至少为“中等”,它可以在一定程度上预防某些有害的Java程序或者某些ActiveX组件对计算机的侵害。 9)呵呵,最后一项不说大家也应该知道了,杀毒软件确实很必要,尽管有些杀毒软件挺让广大用户失望,不过,选择是双方的哦。在这个病毒横飞的网络,如果您的机器没有装上杀毒软件我觉得确实挺不可思议的。
我的电脑桌面有一个 desktop.ini 的文件夹,老是删不掉,是不是病毒啊?
您好1,desktop.ini是系统可识别的一个文件,作用是存储用户对文件夹的个性设置。2,这可能是您安装了某程序到C盘,所以将该文件夹创建到了桌面上,无法删除是因为该文件处于读取状态中,所以无法删除。3,您可以到电脑管家官网下载一个电脑管家。4,使用电脑管家——工具箱——软件搬家——将C盘桌面上的安装程序搬移到其他盘符即可。祝您国庆节快乐!如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
folder.htt的简介
刚装好的windows只有一个folder.htt,在\windows\web\里面,如果使用web浏览方式,那么打开一个文件夹浏览,folder.htt就从\windows\web\里复制到当前文件夹,并根据当前文件夹的具体设置相应更改,这样每个文件夹都可以保持自己的web风格了。有人报告他的电脑中有很多folder.htt文件,这是正常的,你浏览过多少个文件夹,就会生成多少新的folder.htt,不必恐慌!folder.htt是一个超文本模板文件,用”记事本”打开可以看到满篇的都是HTML标签,不懂HTML就不要改了:)既然是就超文本模板文件支持所有HTML格式和语法,也支持各类VBscript、javascript和java applet,攻击folder.htt的病毒,比如欢乐时光就是利用Vbscript来达到目的的。如果发现硬盘里存在大量的Desktop.ini和Folder.htt,则说明机器已经感染了VBS.KJ病毒。病毒别名:VBS/Redlof.A, HTML.Redlof.A传播范围:低破坏性:低蔓延性:中该病毒曾为2002年度十大流行病毒排行榜。破坏性不大。根据网络提供的杀毒信息,可下载金山毒霸专杀工具,大小为56KB,问题可解决。