根除“新欢乐时光”病毒-网络通信专区

根除“新欢乐时光”病毒

作者：孙立杰编辑：王炯 2007-06-13 00:00

很多朋友用杀毒软件查杀“新欢乐时光”病毒后，再次查杀时又发现该病毒，这主要是因为病毒并未完全清除。其实，手工也可清除新欢乐时光病毒。
1、打开我的电脑，选择“工具”→“选项”→“常规”→“Web视图”→“使用windows传统风格的文件夹”，这样，您的机器速度就正常了。也就是说您打开explorer的时候，病毒代码（desktop.ini和folder.htt）不会执行。
2、显示所有隐藏文件，查找所有的folder.htt、desktop.ini文件，全部删除。
3、打开注册表，删除HKEY_LOCAL_MACHINESOFTWARE
MicrosoftWindowsCurrentVersionRun下的systemkernel32.dll。删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun下的Kernel32键。
用记事本编辑如下内容的文件，保存为.reg文件，然后双击导入注册表：
REGEDIT4

[HKEY_CLASSES_ROOTdllfile]
@=“应用程序扩展”
“AlwaysShowExt”=“”
“EditFlags”=hex:01,00,00,00

[HKEY_CLASSES_ROOTdllfileDefaultIcon]
@=“shell32.dll,-154”

[HKEY_CLASSES_ROOTdllfileshell]
@=“”
这一步的目的是恢复HKEY_CLASSES_ROOTdllFile下的键值。注意第一行REGEDIT4要大写，在它下面要空上一行，在最后还要空上一行。
用同样的办法再编写一个reg文件，内容如下：
REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0
OutlookOptionsMail]
“Message Plain Encoding Format”=dword:00000002
“Message HTML Encoding Format”=dword:00000002
“Message Plain Format MIME”=dword:00000002
“SpoolerDlgPos”=hex:2c,00,00,00,00,00,00,00,01,
00,00,00,ff,ff,ff,ff,ff,ff,ff,
ff,ff,ff,ff,ff,ff,ff,ff,ff,9c,00,00,00,5d,00,00,00,84,02,00,00,
17,01,00,00
这一步的目的是恢复HKEY_CURRENT_USERSoftware
MicrosoftOffice9.0OutlookOptionsMail下相关键值。
最后，用同样的办法恢复HKEY_CURRENT_USERIdentities
“UserID”SoftwareMicrosoftOutlook Express“OEVersion”Mail下相关键值。其中，“OEVersion”代表您的OE版本，如是OE5.0，则该键值为5.0。由于这部分内容如果编写为.reg文件的话，内容较多，您可以参照其他系统来恢复。一个比较简单的办法就是把和自己系统相同的电脑中的这部分注册表导出，复制到您的系统中，然后双击导入。
4、查找系统盘中的两个kjwall.gif文件和system目录下的kernel32.dll，删掉。
5、找一台无毒的机器，把C:Program Files或C:My Documents里正常的folder.htt、desktop.ini文件复制过来。当然，在原有的Web目录下的folder.htt中去掉里面的代码和后面的病毒加密代码部分也可以。
6、重复第一步，还原Web视图。
7、请大家注意，C:program FilesCommon FilesMicrosoft SharedStationery下的信纸文件（.htm）也全部被感染了，如果您懂得html的话，直接手工恢复就可以了。如果不能自己修复，就从其它机器copy过来覆盖也一样。其实，如果您不使用outlook的话，这几个信纸文件也没有什么用。
如果您使用杀毒软件清除该病毒，对于使用Windows Me/XP操作系统的用户，要先禁止系统还原后再查杀，这一点要注意。如果您是在Windows下清除该病毒，一定要先取消“按Web查看”，然后关掉所有窗口，接下来先查杀内存，后全盘杀毒。如果在msconfig里发现还有folder.htt和destop.ini等可疑项目，把这些项的钩去掉，立即重新启动计算机，可再次查杀一次以确保病毒完全清除。我建议您在安全模式或纯DOS下查杀。对于局域网用户，由于病毒可以通过共享文件夹传播，因此务必要取消共享，断网后把每台染毒机器逐一查杀。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=748&categ_code=10041003

关注我们