清除欢乐病毒经历 -bobo123(bobo) @SF湾区华人论坛:SF湾区枫下论坛 The Rolia Forum of San Francisco

枫下家园 / 电脑用户 / 不小心打开了朋友EMAIL中的附件，结果OUTLOOK中所有联系人都收到了我发给他们的带着这附件的EMAIL。然后他们电脑中的很多程序都打不开了。不知道这是什么病毒，该如何清除。 -ofisho(鱼); 2002-12-31 (#947907@0)

EMAIL内容 -ofisho(鱼); 2002-12-31 {535} (#947916@0)
Attachment : friendship_funny.scr (45k)
Reply Reply All Forward Delete Put in Folder...InboxSent MessagesDraftsTrash Can Printer Friendly Version

Hi,
I just came across this funny screensaver..
sending it to u.. hope u like it..
check out and die laughing.. :)
Attachment : shake.scr (45k)
Reply Reply All Forward Delete Put in Folder...InboxSent MessagesDraftsTrash Can Printer Friendly Version

Hi,
are u in a rocking mood...
check the attached scrennsaver and start shaking..

这是几年前的一个老病毒，都忘记叫什么了 -ningxin0809(雁影行洲); 2002-12-31 (#947918@0)

估计这两天死灰复燃，大家一定要提高警惕，这样传播太厉害了 -dinahxh(白鼠); 2002-12-31 (#947925@0)

把exe文件的关联改回去 -lilyba(Sunshine); 2003-1-1 (#948286@0)

由于病毒改变了.exe文件的关联，导致.exe文件不能打开。 -lilyba(Sunshine); 2003-1-1 {282} (#948292@0)
1，首先，到windows目录下，把regedit.exe 改名为 regedit.scr
2，执行regedit.scr
3，将HKEY_CLASSES_ROOT\exefile\shell\open\command的键值改为 "%1" %*
4，HKEY_CLASSES_ROOT\comfile\shell\open\command的键值改为 "%1" %*
5，关闭regedit
重新启动

用杀毒软件重新杀毒，谢谢

改名regedit.exe 不成功，老是自动变成regedit.scr.exe ，无法打开注册表 -abn(伟翰); 2003-1-1 (#948373@0)

在explore菜单中工具--〉文件夹选项 -->查看里去掉'隐藏已知文件类型’。（把勾去掉） -lilyba(Sunshine); 2003-1-1 (#949089@0)

把文件名改filename.old, 并在注册表中删除该文件 -56789(summer); 2003-1-1 (#948301@0)

这个病毒很厉害的说，是以love为名的屏幕保护程序，昨天刚收到一个，幸好没有打开，发email的朋友电脑Dead, 病毒四处乱窜，深表同情，帮你up :-(( -dinahxh(白鼠); 2002-12-31 (#947920@0)
我从来不用软件收发EMAIL, 又占用磁盘空间, 又有病毒隐患 -liuli2002(★梨头儿★); 2002-12-31 (#947928@0)

有道理，如果我用OUTLOOK收的话，估计现在也死了。 -dinahxh(白鼠); 2002-12-31 (#947947@0)

是不是Malissa, 或者 I love you 病毒啊? -tztz(tztz); 2003-1-1 (#948256@0)
为什么不装个防病毒软件？收发邮件都要通过它的口子，一有病毒会马上发现并帮你删除。瑞星和Norton Antivirus都不错 -rabbitbug(兔八哥); 2003-1-1 (#948295@0)
找到一篇如何清理的文章 -abn(伟翰); 2003-1-1 {3682} (#948304@0)
本文发表在 rolia.net 枫下论坛在2000年5月4日晚，一只名为"VBS_LOVELETTER"（又名为I LOVE YOU）新病毒，透过电子邮件，迅速地在全球各地扩散。这只由VB Script程序语言所撰写的新病毒，传播途径类似去年3月酿成巨灾的梅莉莎病毒，主要透过一封信件标题为 "ILOVEYOU"(我爱你) 的电子邮件散播，附加档案为 "LOVE-LETTER-FOR-YOU.txt
.vbs" (献给你的情书)。
　　计算机使用者一旦执行附加档案，病毒会经由被感染者Outlook通讯簿的名单发出自动信件，藉以连锁性的大规模散播，造成企业mail server瘫痪。病毒发作时，会感染并覆写附名为：*.mp3, *.vbs, *.jpg, *.jpeg, *.hta, *.vbe, *.js, *.jse....等十种档案格式；档案遭到覆写后，附档名会改为 *.vbs 。

　　很快就入侵了不少公司，其中包括了政府机关与工商单位，并有数家大型ISP公司遭受新病毒的感染，业务服务陷入停摆。4日下午，病毒透过email，在极短的时间内即扩散至台湾，有数家与国外业务往来密切的大型企业传出灾情，mail server瞬间被灌爆，网络陷入瘫痪。"VBS_LOVELETTER"病毒与梅莉莎病毒的最大差异在于，梅莉莎病毒只会对通讯簿的前50个名单发出垃圾邮件，而"VBS_LOVELETTER"病毒是向所有的通讯簿名单发出自动信件，其传播的速度比梅莉莎病毒快上数倍，破坏力更为强大。

　　判断 "VBS_LOVELETTER" 病毒,信件标题为"ILOVEYOU"(我爱你)的电子邮件，附加档案为 "LOVE-LETTER-FOR-YOU.txt.vbs" (献给你的情书)。信件内容 "kindly check the attached LOVE LETTER coming from me"

　　病毒传播途径：

　　透过电子邮件，计算机使用者一旦执行附加档案，病毒会经由被感染者Outlook通讯簿的名单发出自动信件，藉以连锁性的大规模散播，造成企业mail server瘫痪。

　　解决方案

　　手动清除病毒步骤

　　收到信件标题为"ILOVEYOU"的电子邮件，应立即删除，即使寄件者是你所熟悉的人名，也不要开启附加档案以免中毒。

　　1.点选开始=>执行

　　2.输入regedit

　　3.寻找下列路径并删除　　　　　　
　　　HKEY_LOCAL_machine\SOFTWARE\Microsoft\windows\currentVersion
　　　　\Run\MSKernel32" 　
　　　HKEY_LOCAL_machine\SOFTWARE\Microsoft\windows\currentVersion
　　　　\RunServices\Win32DLL"
　　　HKEY_LOCAL_machine\SOFTWARE\Microsoft\windows\currentVersion
　　　　\Run\WIN-BUGSFIX"

　　4.删除下列档案:

　　\windows\Win32DLL.VBS

　　\system\MSKernel32.VBS \system\LOVE-LETTER-FOR-YOU.TXT.VBS

　　\system\LOVE-LETTER-FOR-YOU.TXT.HTML.

　　病毒感染步骤：

　　1.第一次打开病毒档案时,病毒会自动产生下列档案于windows目录中

　　\windows\Win32DLL.vbs

　　\system\MSKernel32.vbs

　　\system\LOVE-LETTER-FOR-YOU.TXT.vbs.

　　\system\LOVE-LETTER-FOR-YOU.TXT.HTML. 　

　　2.当重新开机后.病毒并且会修改下列windows 登录值.
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
　　 \Run\MSKernel32", :\windows\system \MSKernel32.vbs
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
　　 \RunServices\Win32DLL", :\windows\\Win32DLL.vbs. 　

　　3.在 :\windows\system 目录中寻找WinFAT32.EXE. 如果档案存在即会修改Internet Explorer并开启特定网站中的 WINN-BUGSFIX.EXE 　

　　4.接下来病毒会在 :\windows\system 目录中，寻找 WIN-BUGSFIX.exe

　　如果档案不存在即会修改Internet Explorer起动画面变为 "about:blank" 并且修改WINDOWS登录值　

　　5.这个病毒会利用 Microsoft Outlook扩散.并将OVE-LETTER-FOR-YOU.TXT.vbs 附加于E-MAIL中并传送给个人通讯簿中的帐号 .其信件内容为:

　　主旨:ILOVEYOU.

　　内容:KINDLY CHECK THE ATTACHED LOVELETTER COMING FROM ME.

　　另外，病毒会开始篡改Mirc的 script.ini档案

　　如此会造成使用者利用mIRC，上网聊天时.病毒会自动呼叫dcc send 指令给同一个聊天室其它使用者并且将病档案传送给这些使用者，"LOVE-LETTER-FOR-YOU.HTM" 　

　　6.这个病毒会寻求以下附件文件名的档案:

　　.vbs .vbe .js .jse .css .wsh .sct .hta .jpg .jpeg .mp3 .mp2

　　当找到时.会将病毒程序覆盖于档案中.并且将档名修改为 *.vbs. 的格式.导致档案无法正常执行。更多精彩文章及讨论，请光临枫下论坛 rolia.net
我猜是你吧,FISH. 不叫FIVECOLORS了? :) -threecolors(threecolors); 2003-1-1 (#949112@0)

hehe，认错人啦:D -ofisho(鱼); 2003-1-1 (#949750@0)

The way to solve the problem -1patrick(零); 2003-1-1 {158} (#949134@0)
go to http://vil.nai.com/vil/stinger/
download the stinger.exe and scan your hard drives.
follow the instructions, make sure you scan all of your harddisks.
http://vil.nai.com/vil/stinger/

hehe, exe文件全部不能打开。 -lilyba(Sunshine); 2003-1-1 (#949152@0)

It worked for me. Please follow the instructions. -1patrick(零); 2003-1-1 (#949369@0)

清除欢乐病毒经历 -bobo123(bobo); 2003-1-1 {1477} (#949507@0)
本文发表在 rolia.net 枫下论坛本人是前天晚上计算机感染了这个病毒。
感染的经历：
打开一个朋友发过来的邮件其附件是（love.scr)，然后我把这个附件放在
我SYSTEM32 目录底下，打开屏保设置，想将它设置成屏保，发现没有任何动静，当时没意识到这是病毒，过了不久，该朋友又给我发送一封邮件，附件是shake.scr，我发现这两封邮件的附件大小一样，意识到这可能是个病毒，于是到网络上搜索资料，才知道这是一个叫欢乐病毒的程序。
后来进一步的了解才知道，当该病毒程序运行后，它生成了
命名为WinServices.exe、nav32_loader.exe、tcpsvs32.exe 三个文件并设置为隐藏属性。这三个文件也是在SYSTEM32 目录底下。
当时我的计算机还没有重新启动，所以我的一些应用程序都能够打开，
运行REGEDIT 命令，出现了注册表的窗口，可又马上被关闭掉了。

清除过程：
出现了上面的问题后，我想把那三个文件给删除掉就可以了，于是我就在WINDOWS 底下敲CMD 命令，进入DOS 状态，进入SYSTEM32 目录，用ATTRIB -H 属性去掉这三个文件的隐藏属性，想用DEL 命令把这三个文件去掉，可结果还是不行的，原因是因为这三个文件都在使用中，不能删除的。
还好我的计算机装了双操作系统，我就重新计算机，从另外一个操作系统启动，然后删除掉这三个文件。
接着我又重新启动计算机，选择被病毒感染的操作系统启动，启动完以后，发现所有的应用程序都打不开。
REGEDIT ，CMD 命令都不能用，还好我在运行栏敲COMMAND ，这个命令是可以用的，这个命令执行完后，我能够进入DOS 状态，进入WINNT 目录，在这个目录底下运行REGEDIT，出现了注册表的窗口，设置HKEY_CLASSES_ROOT\exefile\shell\open\command 和
HKEY_CLASSES_ROOT\exefile\shell\runas\command 为"%1"%*
重新启动计算机就可以了更多精彩文章及讨论，请光临枫下论坛 rolia.net

对于没有双操作系统的机器 -seilings(KindOfBug); 2003-1-1 {289} (#949992@0)
主要是要能够运行REGEDIT.EXE , 此时可以从WINDOWS目录下把这个文件的名字更改然后运行,
由于WINSERVICES.EXE一直在运行, 用TASK MANAGER也不能打开, 所以可以用同样方法把 TASKMNGR.EXE 改名字然后运行, 这样一来就可以把WINSERVICES.EXE 从任务列表里终止再把WINSERVICES.EXE删除.
其余步骤可以照楼上所述.

我几乎重来不用Outlook之类的软件的，免得引毒入机，现在好多病毒都是这样传播的，并且还有杀毒软件来保护，所以很少遭遇病毒。 -xyyh(飞跃太平洋); 2003-1-1 (#949703@0)
不兴中弹！！！！！收到朋友一封名为Find a good friend的EMAIL，内容为 hi, check the attached love screensaver and feel the fragrance of true love.. 附件名为LOVE.SCR，我还以为是很好玩的东东呢..... -david_du(DD兔); 2003-1-2 (#950082@0)

just solved this problem for a friend. Please refer to message #948292 -lilyba(Sunshine); 2003-1-2 (#950091@0)

谢谢！不过，1，首先，到windows目录下，把regedit.exe 改名为 regedit.scr 2，执行regedit.scr 后，还是不能进注册表 -david_du(DD兔); 2003-1-2 {128} (#950100@0)
，到WINNT\发现有两个REGEDIT文件，一个是regedit.scr ，一个是regedit.exe ，文件大小一样
请问怎么办？是WINDOWS2000 PROFESSIONAL的

执行regedit.scr 后，还是不能进注册表 ??什么后果？ -lilyba(Sunshine); 2003-1-2 (#950109@0)

不清楚啊，不敢REBOOT，不过现在注册表文件还是打不开 -david_du(DD兔); 2003-1-2 (#950116@0)

why regedit.scr cannot run, what kind of message pop up after you run it? -lilyba(Sunshine); 2003-1-2 (#950136@0)

no any message -david_du(DD兔); 2003-1-2 (#950144@0)

请问谁有有效的杀毒软件，我在温歌华，多谢！604-875-0185，中毒了:'( -david_du(DD兔); 2003-1-2 (#950139@0)
The virus will be distributed for your adddress book if you are using outlook or outlook express. You may switch to other mail clients to avoid such problems. Or, you shall be more cautious. -bridge2k(bridge2k); 2003-1-2 (#950319@0)
easy to fix -jps(蚂蚁雄兵); 2003-1-2 {59} (#950568@0)
for NT,200.XP, reboot with boot disk, select repair option.
一个软件 -biosfix(BIOSXP.COM); 2003-1-2 {8} (#951301@0)
下载瑞星

@San Francisco

清除欢乐病毒经历

Replies, comments and Discussions:

More Topics