这次中了新欢乐时光，把它的防治方法跟大家说一下了

randis

新欢乐时光（VBS.KJ、HTML.Redlof.A）病毒FAQ
Emil emil@china.com
1、新欢乐时光是怎么样的一个病毒？    2
2、如何彻底清除这个病毒？需要注意什么问题？    2
3、为什么建议在安全模式下清除这个病毒？如何进入安全模式？    2
4、如何预防这个病毒？对于预防这个病毒，有什么建议吗？    3
5、这个病毒对计算机会有什么影响？我怎么知道我的计算机感染了这个病毒？    3
6、这个病毒是如何传播的？通过什么途径进行传播？    4
7、为何在正常模式下无法干净清除这个病毒？    4
8、什么样的folder.htt和desktop.ini才是病毒？    4
9、我没有杀毒软件，哪里可以下载专门清除这个病毒的工具？    4
10、这个病毒会感染什么操作系统？    5
11、病毒生成的KJwall.gif是什么文件？    5
12、为什么我跟据你说的方法清除病毒后，还会有杀毒软件报告有病毒？    5
1、新欢乐时光是怎么样的一个病毒？
答：新欢乐时光是该病毒的中文名，其英文名包括（方括号中是相对应的各个厂家）：
HTML.Redlof.A [Symantec], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof
-A [Sophos], VBS.KJ [金山], Script.RedLof [瑞星], VBS/KJ [江民]
这个病毒是用VBS编写的多变形、加密病毒，感染扩展名为.html, .htm, .asp, .php,
.jsp, .htt和.vbs文件，同时该病毒会大量生成folder.htt和desktop.ini，并在%wind
ir%\\System\\中生成一个名字叫Kernel.dll的文件（Windows 9x/Me）或kernel32.dll（
Windows NT/2000），修改.dll文件的打开方式，感染Outlook的信纸文件。（注：%win
dir%指的是Windows的目录， 对于Win9x/Me系统来说，这个目录通常是\\Windows，对于
Windows NT/2000来说，这个目录通常是\\WinNT）
感染这个病毒后有两个明显的表现：
a.    在每个目录中都会生成folder.htt（带毒文件）和desktop.ini（目录配置文件）
b.    电脑运行速度明显变慢，在任务列表中可以看到有大量的Wscript.exe程序在运行
。
更详细的资料请参见有关资料。
2、如何彻底清除这个病毒？需要注意什么问题？
答：清除这个病毒可以在安全模式或者纯DOS下清除，需要注意以下几个问题：
a.    建议在安全模式或纯DOS中清除。在正常模式清除需要对Windows系统非常深入地
了解，一般用户是很难干净地清除病毒的；推荐使用专杀工具在安全模式下进行杀毒，
并且，在确认清除完成之前不要使用“Web视图”显示任何文件夹，比较稳妥的做法是在
进入安全模式之前将所有的Web视图文件夹改为传统Windows风格。
b.    在检查病毒的时候，建议同时检查平时常用的移动储存介质，如光盘、软盘、移
动硬盘等，因为这是病毒重复感染的隐患。      
c.    对于联网的计算机，杀毒之前建议取消所有的共享目录。
3、为什么建议在安全模式下清除这个病毒？如何进入安全模式？
答：清除这个病毒我建议是在安全模式下清除，这是因为：
a.    病毒在安全模式下不会被激活，所以可以放心在安全模式下杀毒；
b.    由于杀毒软件和专门清除工具在正常模式下都不能干净清除病毒，所以一般要在
安全模式或纯DOS下杀毒，虽然两种方式都可以干净清除病毒，但在安全模式下由于系统
使用了更多的缓存机制，因此要比在纯DOS下杀毒速度要快；
c.    专门清除工具只能在Windows环境下运行，不过专门清除工具可以修复病毒修改的
注册表，而一般杀毒软件做不到；
注：如何进入安全模式请参见有关资料。
http://bbs.iduba.net/viewthread.php?tid=29843
4、如何预防这个病毒？对于预防这个病毒，有什么建议吗？
答：杀毒后建议立即进行以下操作进行预防病毒：
a.    请浏览以下网址为系统打上必要的补丁：
http://www.windowsupdate.com
或
http://www.microsoft.com/technet/security/bulletin/MS00-075.asp
b.    请安装反病毒软件，并升级到最新的病毒库，坚持打开实时防病毒监控程序和及
时升级病毒库；
c.    删除信箱中可疑的电子邮件，建议尽量不要使用信纸；
d.    对于Windows 9x/Me，建议取消共享，如果必须设置共享的话，建议设置为只读或
者设置密码；对于Windows NT/2000，应为文件夹配置适当的权限，在有域的网络中，所
有用户，特别是管理员级用户必须保证自己不感染病毒。     
e.    在使用移动储存介质之前，如光盘、软盘、移动硬盘等，建议先防病毒软件检查
一遍是否存在病毒，如果光盘有病毒的话，建议不要再使用该光盘；如果不具备这个条
件，关闭Web视图可以部分地防止这个病毒，但对于被感染的html等文件，则这个方法可
能无法奏效。
f.    特别地：利用这个病毒的设计缺陷，可以在%windir%\\System\\创建名为kernel.d
ll（Win9x/ME系统）或kernel32.dll（WinNT/2000系统）的目录，这样可以在一定程度
上阻止病毒的传染。特别注意：在不同的系统中创建的目录名称是不同的，应根据不同
的系统来创建对应的目录。如果提示不能创建文件夹，请在杀毒后再创建。
g.    对于一些熟练操作计算机的用户来说，可以通过编辑原正常的folder.htt，在文
件头加上<BODY KJ_start()>这一句话，可以预防病毒的传染；
h.    还有一些情况是某些防病毒程序并不能有效地防止病毒的传播，遇到这种情况的
时候建议换一个防病毒软件。
2、如何彻底清除这个病毒？需要注意什么问题？
答：清除这个病毒可以在安全模式或者纯DOS下用杀毒软件或者专杀工具清除（专杀工具
需要自行下载，在下面的问题中会提供下载地址），不过需要注意以下几个问题：  
a.    建议在安全模式或纯DOS中清除。在正常模式清除需要对Windows系统非常深入地
了解，一般用户是很难干净地清除病毒的；推荐使用专杀工具在安全模式下进行杀毒，
并且，在确认清除完成之前不要使用“Web视图”显示任何文件夹，比较稳妥的做法是在
进入安全模式之前将所有的Web视图文件夹改为传统Windows风格。
b.    在检查病毒的时候，建议同时检查平时常用的移动储存介质，如光盘、软盘、移
动硬盘等，因为这是病毒重复感染的隐患。
c.    对于联网的计算机，杀毒之前建议取消所有的共享目录。
d.    对于操作系统是Windows Me/XP的电脑，需要将系统还原功能禁止才可以杀毒。禁
止方法如下：
禁用 Windows XP 系统还原：
1. 单击“开始”。
2. 右击“我的电脑”，然后单击“属性”。
3. 单击“系统还原”选项卡。
4. 选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
5. 单击“应用”，然后单击“确定”。  
禁用 Windows Me 系统还原：
1. 单击“开始”，指向“设置”，然后单击“控制面板”。
2. 双击“系统”，然后单击“性能”选项卡。
3. 单击“文件系统”，然后单击“疑难解答”选项卡。
4. 选中“禁用系统还原”。
5. 单击“确定”，然后单击“关闭”。当提示重新启动 Windows 时单击“是”。
6、这个病毒是如何传播的？通过什么途径进行传播？
答：这是个网页病毒，利用的MS IE的漏洞，通过感染一些.html, .htm, .asp, .php,
.jsp, .htt和.vbs等文件进行传播。而由于病毒的本身特性，其传播的途径也有多种：

a.    通过网页传播。由于病毒会感染网页文件，如果那些网站站长不小心将带毒的网
页放到网站上，用户不了心浏览了这些网页就会被病毒感染了；
b.    通过局域网。当本地计算机设有可写权限的共享目录，或者访问局域网上带毒的
计算机的时候就会感染病毒；对于Windows NT/2000系统，由于存在默认的管理用共享目
录，因此，管理员的疏忽也可能会造成感染。   
c.    通过电子邮件。如果发件人使用了带毒的网页文件作为信纸，或者信件中有带毒
的网页文件，那么，只要收件人浏览了邮件，也会被感染病毒；
d.    通过移动介质，如软盘、移动硬盘、光盘等。由于病毒会生成folder.htt和desk
top.ini，所以在打开移动介质或打开其文件夹的时候，就会激活并感染病毒。
7、为何在正常模式下无法干净清除这个病毒？
答：在安全模式下无法干净清除病毒一般是由以下几个方面的原因造成：
a.    感染病毒后，病毒在激活状态，一般杀毒软件和专门清除工具都无法清除内存中
的病毒，导致杀毒不彻底；     
b.    局域网上的病毒可能会通过文件夹共享重复感染电脑。
8、什么样的folder.htt和desktop.ini才是病毒？
答：并不是所有的folder.htt和desktop.ini都是病毒。一般正常情况下，%windir%\\,
%windir%\\system\\, %windir%\\system32\\, %windir%\\web\\ 和 Program Files\\目录中都
会有这两个文件。而且，使用记事本打开染毒的folder.htt，可以找到<BODY onload=\"
vbscript:KJ_start()\">和后面一大段的加密代码，这是正常文件中没有的。此外，作为
目录配置文件的desktop.ini并不是病毒体，独立的这一文件并不会造成任何问题。如果
这两个文件在杀毒后出现损坏，导致文件夹打开不正常，可以从别的干净的计算机上重
新拷贝这两个文件。  
9、我没有杀毒软件，哪里可以下载专门清除这个病毒的工具？
答：金山公司专门提供了相应的清除工具，下载地址如下：
ftp://www.iduba.net/download/othertools/ScanVBSKJ.EXE
10、这个病毒会感染什么操作系统？
答：这个病毒主要感染Win9x/Me/NT/2000操作系统，对Windows XP不起作用。  
11、病毒生成的KJwall.gif是什么文件？
答：这个不是病毒文件，病毒运行时会在%windir%\\web和%windir\\system32目录下生成
这个文件，这两个文件内容并不一样，前者是你系统没有染毒时候的%windir%\\web\\Fol
der.htt的备份文件，后者是%windir%\\system32\\desktop.ini的正常文件的备份
12、为什么我跟据你说的方法清除病毒后，还会有杀毒软件报告有病毒？
答：这是由于某些杀毒程序在杀毒的时候，并没有完全的清除网页文件中的病毒代码：
只是清除了病毒的运行主体，而没有清除文件中的病毒头代码，通常还会带有<BODY on
load=\"vbscript:KJ_start()\">一段代码，不过这段代码已经不起作用了，但由于反病毒
软件的检查机制的不同，当检查到文件中带有这段代码的时候认为文件还带有病毒，但
却无法清除，如瑞星、Mcafee。（注：如果你现在也使用了这两个软件，那当你浏览本
文的时候可能也会报告有病毒，但千万别误会。^_^）
遇到这种情况，可以自行用记事本打开这些网页文件，将文件中那段代码删除。
不过，这段代码已经不起作用，但却可以对这个病毒起免疫作用，可以根据自己的情况
选择是否保留该段代码。   

命运战士

楼主的帖子很有使用价值，只是似乎发帖的内容能否再精简一下。而且，对于初学者似乎比较难以操作