关于我们学校机房所中的欢乐时光病毒

1、新欢乐时光是怎么样的一个病毒？
答：新欢乐时光是该病毒的中文名，其英文名包括（方括号中是相对应的各个厂家）：HTML.Redlof.A [Symantec], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos], VBS.KJ [金山], Script.RedLof [瑞星], VBS/KJ [江民]。
这个病毒是用VBS编写的多变形、加密病毒，感染扩展名为.html, .htm, .asp, .php, .jsp, .htt和.vbs文件，同时该病毒会大量生成folder.htt和desktop.ini，并在%windir%\System\中生成一个名字叫Kernel.dll的文件（Windows 9x/Me）或kernel32.dll（Windows NT/2000），修改.dll文件的打开方式，感染Outlook的信纸文件。（注：%windir%指的是Windows的目录， 对于Win9x/Me系统来说，这个目录通常是\Windows，对于Windows NT/2000来说，这个目录通常是\WinNT）
感染这个病毒后有两个明显的表现：
a.    在每个目录中都会生成folder.htt（带毒文件）和desktop.ini（目录配置文件）；
b.    电脑运行速度明显变慢，在任务列表中可以看到有大量的Wscript.exe程序在运行。
更详细的资料请参见有关资料。


2、如何彻底清除这个病毒？需要注意什么问题？
答：清除这个病毒可以在安全模式或者纯DOS下清除，需要注意以下几个问题：
a.    建议在安全模式或纯DOS中清除。在正常模式清除需要对Windows系统非常深入地了解，一般用户是很难干净地清除病毒的；推荐使用专杀工具在安全模式下进行杀毒，并且，在确认清除完成之前不要使用“Web视图”显示任何文件夹，比较稳妥的做法是在进入安全模式之前将所有的Web视图文件夹改为传统Windows风格。
b.    在检查病毒的时候，建议同时检查平时常用的移动储存介质，如光盘、软盘、移动硬盘等，因为这是病毒重复感染的隐患。
c.    对于联网的计算机，杀毒之前建议取消所有的共享目录。


3、为什么建议在安全模式下清除这个病毒？如何进入安全模式？
答：清除这个病毒我建议是在安全模式下清除，这是因为：
a.    病毒在安全模式下不会被激活，所以可以放心在安全模式下杀毒；
b.    由于杀毒软件和专门清除工具在正常模式下都不能干净清除病毒，所以一般要在安全模式或纯DOS下杀毒，虽然两种方式都可以干净清除病毒，但在安全模式下由于系统使用了更多的缓存机制，因此要比在纯DOS下杀毒速度要快；
c.    专门清除工具只能在Windows环境下运行，不过专门清除工具可以修复病毒修改的注册表，而一般杀毒软件做不到；
注：如何进入安全模式请参见有关资料。
http://bbs.iduba.net/viewthread.php?tid=29843


4、如何预防这个病毒？对于预防这个病毒，有什么建议吗？
答：杀毒后建议立即进行以下操作进行预防病毒：
a.    请浏览以下网址为系统打上必要的补丁：
http://www.windowsupdate.com/
或
http://www.microsoft.com/technet/security/bulletin/MS00-075.asp
b.    请安装反病毒软件，并升级到最新的病毒库，坚持打开实时防病毒监控程序和及时升级病毒库；
c.    删除信箱中可疑的电子邮件，建议尽量不要使用信纸；
d.    对于Windows 9x/Me，建议取消共享，如果必须设置共享的话，建议设置为只读或者设置密码；对于Windows NT/2000，应为文件夹配置适当的权限，在有域的网络中，所有用户，特别是管理员级用户必须保证自己不感染病毒。
e.    在使用移动储存介质之前，如光盘、软盘、移动硬盘等，建议先防病毒软件检查一遍是否存在病毒，如果光盘有病毒的话，建议不要再使用该光盘；如果不具备这个条件，关闭Web视图可以部分地防止这个病毒，但对于被感染的html等文件，则这个方法可能无法奏效。
f.    特别地：利用这个病毒的设计缺陷，可以在%windir%\System\创建名为kernel.dll（Win9x/ME系统）或kernel32.dll（WinNT/2000系统）的目录，这样可以在一定程度上阻止病毒的传染。特别注意：在不同的系统中创建的目录名称是不同的，应根据不同的系统来创建对应的目录。如果提示不能创建文件夹，请在杀毒后再创建。
g.    对于一些熟练操作计算机的用户来说，可以通过编辑原正常的folder.htt，在文件头加上<BODY KJ_start()>这一句话，可以预防病毒的传染；
h.    还有一些情况是某些防病毒程序并不能有效地防止病毒的传播，遇到这种情况的时候建议换一个防病毒软件。


2、如何彻底清除这个病毒？需要注意什么问题？
答：清除这个病毒可以在安全模式或者纯DOS下用杀毒软件或者专杀工具清除（专杀工具需要自行下载，在下面的问题中会提供下载地址），不过需要注意以下几个问题：
a.    建议在安全模式或纯DOS中清除。在正常模式清除需要对Windows系统非常深入地了解，一般用户是很难干净地清除病毒的；推荐使用专杀工具在安全模式下进行杀毒，并且，在确认清除完成之前不要使用“Web视图”显示任何文件夹，比较稳妥的做法是在进入安全模式之前将所有的Web视图文件夹改为传统Windows风格。
b.    在检查病毒的时候，建议同时检查平时常用的移动储存介质，如光盘、软盘、移动硬盘等，因为这是病毒重复感染的隐患。
c.    对于联网的计算机，杀毒之前建议取消所有的共享目录。
d.    对于操作系统是Windows Me/XP的电脑，需要将系统还原功能禁止才可以杀毒。禁止方法如下：

禁用 Windows XP 系统还原：
1. 单击“开始”。
2. 右击“我的电脑”，然后单击“属性”。
3. 单击“系统还原”选项卡。
4. 选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
5. 单击“应用”，然后单击“确定”。

禁用 Windows Me 系统还原：
1. 单击“开始”，指向“设置”，然后单击“控制面板”。
2. 双击“系统”，然后单击“性能”选项卡。
3. 单击“文件系统”，然后单击“疑难解答”选项卡。
4. 选中“禁用系统还原”。
5. 单击“确定”，然后单击“关闭”。当提示重新启动 Windows 时单击“是”。


6、这个病毒是如何传播的？通过什么途径进行传播？
答：这是个网页病毒，利用的MS IE的漏洞，通过感染一些.html, .htm, .asp, .php, .jsp, .htt和.vbs等文件进行传播。而由于病毒的本身特性，其传播的途径也有多种：
a.    通过网页传播。由于病毒会感染网页文件，如果那些网站站长不小心将带毒的网页放到网站上，用户不了心浏览了这些网页就会被病毒感染了；
b.    通过局域网。当本地计算机设有可写权限的共享目录，或者访问局域网上带毒的计算机的时候就会感染病毒；对于Windows NT/2000系统，由于存在默认的管理用共享目录，因此，管理员的疏忽也可能会造成感染。
c.    通过电子邮件。如果发件人使用了带毒的网页文件作为信纸，或者信件中有带毒的网页文件，那么，只要收件人浏览了邮件，也会被感染病毒；
d.    通过移动介质，如软盘、移动硬盘、光盘等。由于病毒会生成folder.htt和desktop.ini，所以在打开移动介质或打开其文件夹的时候，就会激活并感染病毒。


7、为何在正常模式下无法干净清除这个病毒？
答：在安全模式下无法干净清除病毒一般是由以下几个方面的原因造成：
a.    感染病毒后，病毒在激活状态，一般杀毒软件和专门清除工具都无法清除内存中的病毒，导致杀毒不彻底；
b.    局域网上的病毒可能会通过文件夹共享重复感染电脑。


8、什么样的folder.htt和desktop.ini才是病毒？
答：并不是所有的folder.htt和desktop.ini都是病毒。一般正常情况下，%windir%\, %windir%\system\, %windir%\system32\, %windir%\web\ 和 Program Files\目录中都会有这两个文件。而且，使用记事本打开染毒的folder.htt，可以找到<BODY onload="vbscript:KJ_start()">和后面一大段的加密代码，这是正常文件中没有的。此外，作为目录配置文件的desktop.ini并不是病毒体，独立的这一文件并不会造成任何问题。如果这两个文件在杀毒后出现损坏，导致文件夹打开不正常，可以从别的干净的计算机上重新拷贝这两个文件。


9、我没有杀毒软件，哪里可以下载专门清除这个病毒的工具？
答：金山公司专门提供了相应的清除工具，下载地址如下：
ftp://www.iduba.net/download/othertools/ScanVBSKJ.EXE


10、这个病毒会感染什么操作系统？
答：这个病毒主要感染Win9x/Me/NT/2000操作系统，对Windows XP不起作用。


11、病毒生成的KJwall.gif是什么文件？
答：这个不是病毒文件，病毒运行时会在%windir%\web和%windir\system32目录下生成这个文件，这两个文件内容并不一样，前者是你系统没有染毒时候的%windir%\web\Folder.htt的备份文件，后者是%windir%\system32\desktop.ini的正常文件的备份。


12、为什么我跟据你说的方法清除病毒后，还会有杀毒软件报告有病毒？
答：这是由于某些杀毒程序在杀毒的时候，并没有完全的清除网页文件中的病毒代码：只是清除了病毒的运行主体，而没有清除文件中的病毒头代码，通常还会带有<BODY onload="vbscript:KJ_start()">一段代码，不过这段代码已经不起作用了，但由于反病毒软件的检查机制的不同，当检查到文件中带有这段代码的时候认为文件还带有病毒，但却无法清除，如瑞星、Mcafee。（注：如果你现在也使用了这两个软件，那当你浏览本文的时候可能也会报告有病毒，但千万别误会。^_^）
遇到这种情况，可以自行用记事本打开这些网页文件，将文件中那段代码删除。
不过，这段代码已经不起作用，但却可以对这个病毒起免疫作用，可以根据自己的情况选择是否保留该段代码。

请问一下
是否一开机将所有硬盘共享也是这个病毒干的？ --------------------  鹰击长空而小视天下
   鱼游沧海而笑傲江湖

请问一下
是否一开机将所有硬盘共享也是这个病毒干的？

--------------------
  鹰击长空而小视天下
   鱼游沧海而笑傲江湖
[img]http://www.3320.net/images/lb5k/usr/25/25_6656.gif[...

那不是欢乐]时光，而是尼姆达！ --------------------        
有情来下种，因地果还生；

无情亦无种，无性亦无生。

               -------“睡教”教主！

这我也知道是NIMDA干的


你知道它是改了注册表的哪些内容来共享硬盘吗??
--------------------  鹰击长空而小视天下
   鱼游沧海而笑傲江湖

这我也知道是NIMDA干的


你知道它是改了注册表的哪些内容来共享硬盘吗??


--------------------
  鹰击长空而小视天下
   鱼游沧海而笑傲江湖
[img]http://www.3320.net/images/lb5...

1、打开进程管理器，查看进程列表；

　　 2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程（其中xxx为任意文件名）；

　　 3、切换到系统的TEMP目录，寻找文件长度为57344的文件，删掉它们；

　　 4、切换到系统的System目录，寻找名称为Riched20.DLL的文件；

　　 5、查看Riched20.DLL的文件大小，系统的正常文件大小应该在100K以上，而Concept病毒的副本大小为57344字节，如果有长度为57344字节的Riched20.DLL，删掉它；

　　 6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件，删掉它；

　　 7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件，如果在根目录下存在该文件，则删除它；

　　 8、打开System.ini文件，在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”，则改为“shell=explorer.exe”；

　　 9、如果是WinNT或者Win2000以及WinXP系统，则打开“控制面板|用户和密码”，将Administrator组中的guest帐号删除；

　　 10、打开共享文件夹管理，将共享“C$”去除，该共享为本地C:\的完全共享；

　　 11、搜索整个机器，查找文件名为Readme.eml的文件，如果文件内容中包含

　　 “<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br>

　　<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0><br>

　　</iframe></BODY></HTML> ”

　　 以及

　　 “Content-Type: audio/x-wav;

　　 name="readme.exe"

　　 Content-Transfer-Encoding: base64

　　 ”，则删掉该文件。

　　<p> 只要用户您认真仔细地依照上述方法步骤，便可做到手动清除新“概念”（又称尼姆达）蠕虫，赶快行动吧！ </p>


--------------------        
有情来下种，因地果还生；

无情亦无种，无性亦无生。

               -------“睡教”教主！

你这篇是自己写的还是转抄的啊,如果是转的
我能告诉我转自哪里吗?
谢谢!