vbs/saraci

vbs/saraci即新欢乐时光。

手工病毒清除:

1、检查 C:Help.htm、C: 盘第一个子目录下的 Help.vbs 和 Help.hta、%Windows% 目录下 Help.htm 或者与原墙纸文件

同名的 html 格式文件，若其中含有 Rem I am sorry! happy time 字符串，则删除该文件；

2、检查 C: 盘上所有 vbs、html 或者 asp 文件，若含有 Rem I am sorry! happy time 字符串，则删除该文件；

3、检查 %Windows%Web 目录下所有 vbs、html、htt 和 asp 文件，若含有 Rem I am sorry! happy time 字符串，则删除该文件；

4、删除 HKEY_CURRENT_USERSoftware 下 Help 项；

5、删除收件箱中所有带有 Untitled.htm 附件的不明邮件。

新欢乐时光病毒“VBS.KJ”的危害与清除

病毒感染的标志

1、在注册表 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 下存在 Kernel32 键值，并指向 Kernel.dll 或者 Kernel32.dll 文件；

2、系统中大量存在 desktop.ini 和 folder.htt；

3、在 system 目录下存在 kjwall.gif 文件；

手工清除(难度较大，建议采用杀毒软件杀毒)

1、打开注册表，删除 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunKernel32 键值；

参照其他机器，恢复 HKEY_CLASSES_ROOTdllFile 下键值；

参照其他机器，恢复 HKEY_CURRENT_USERIdentities" & UserID & "SoftwareMicrosoftOutlook Express" & OEVersion& "Mail 下相关键值；

参照其他机器，恢复 HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsMail 下相关键值；

参照其他机器，恢复 HKEY_CURRENT_USERSoftwareMicrosoftOffice.0OutlookOptionsMail 下相关键值；

2、删除文件(建议在 DOS 状态下或者使用第三方文件管理系统，如 Win Commander 等)

参照其他机器，恢复 %Windows%web 目录下 folder.htt 文件；

删除 Kernel32.dll 或者 Kernel.dll 文件；删除 kjwall.gif；

查找所有存在 KJ_start 字符串的文件，删除文件尾部的病毒代码；