20CN网络安全小组论坛 - 电脑门诊

论坛: 电脑门诊标题: （kernel32.dll)错误.

复制本贴地址

作者: banma123 [banma123]

论坛用户

本帖由 [NetDemon] 从 << 菜鸟乐园>> 转移而来

打开浏览器不长时间就出现（kernel32.dll)错误.
点确认就将浏览器全关闭了.
可以告诉我这是为什么吗?
怎么办?

地主发表时间: 04-03-14 22:42

回复: wxa371 [wxa371]

论坛用户

这可能是一个病毒。我在自己的机子上试了一下，装个木马就会出现这种提示。

B1层发表时间: 04-03-15 08:08

回复: lb605428 [lb605428]

论坛用户

怎么样错误？
你是用的2000吗

B2层发表时间: 04-03-16 09:50

回复: wangsong [wangsong]

论坛用户

是不是冰河呀

B3层发表时间: 04-03-16 10:49

回复: aaaaaaaaas [aaaaaaaaas]

论坛用户

应该是冰河

B4层发表时间: 04-03-18 15:28

回复: feng [feng]

论坛用户

快乐时光~~~~昨天晚上三十台机子害得我三点钟才睡觉~

[此贴被风里密码(feng) 在 03月19日15时11分编辑过]

B5层发表时间: 04-03-18 20:16

回复: abctm [abctm]

版主

快乐时光
下载一个专杀即可

B6层发表时间: 04-03-18 21:31

回复: abctm [abctm]

版主

新欢乐时光（VBS.KJ、HTML.Redlof.A）病毒FAQ

1、新欢乐时光是怎么样的一个病毒？
答：新欢乐时光是该病毒的中文名，其英文名包括（方括号中是相对应的各个厂家）：HTML.Redlof.A [Symantec], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos], VBS.KJ [金山], Script.RedLof [瑞星], VBS/KJ [江民]。
这个病毒是用VBS编写的多变形、加密病毒，感染扩展名为.html, .htm, .asp, .php, .jsp, .htt和.vbs文件，同时该病毒会大量生成folder.htt和desktop.ini，并在%windir%\System\中生成一个名字叫Kernel.dll的文件（Windows 9x/Me）或Kernel32.dll（Windows NT/2000），修改.dll文件的打开方式，感染Outlook的信纸文件。
（注：%windir%指的是Windows的目录，对于Win9x/Me系统来说，这个目录通常是\Windows，对于Windows NT/2000来说，这个目录通常是\WinNT；特别注意：这两个Kernel文件生成的路径都是%windir%\System\，而不是%windir%\System32\）
感染这个病毒后有两个明显的表现：
a. 在每个目录中都会生成folder.htt（带毒文件）和desktop.ini（目录配置文件）；
b. 电脑运行速度明显变慢，在任务列表中可以看到有大量的Wscript.exe程序在运行。
更详细的资料请参见有关资料。

2、如何彻底清除这个病毒？需要注意什么问题？
答：清除这个病毒可以在安全模式或者纯DOS下用杀毒软件或者专杀工具清除（专杀工具需要自行下载，在下面的问题中会提供下载地址），不过需要注意以下几个问题：
a. 建议在安全模式或纯DOS中清除。在正常模式清除需要对Windows系统非常深入地了解，一般用户是很难干净地清除病毒的。推荐使用专杀工具在“安全模式”下进行杀毒，并且，在确认清除完成之前不要使用“Web视图”显示任何文件夹，比较稳妥的做法是在进入安全模式之前将所有的Web视图文件夹改为传统Windows风格。
b. 在检查病毒的时候，建议同时检查平时常用的移动储存介质，如光盘、软盘、移动硬盘等，因为这是病毒重复感染的隐患。对于移动硬盘可以在正常模式下进行查杀，不过不要浏览或打开移动硬盘上的盘符，而应该直接用杀毒软件直接进行查杀！
c. 对于联网的计算机，杀毒之前建议取消所有的共享目录。
d. 如果在\Temporary Internet Files目录中发现无法清除的病毒文件，请选择IE中的“工具”\“Internet选项”，选择“删除文件”删除即可。
e. 在Windows 9x/Me系统下，病毒是在\Windows\System目录下生成kernel.dll，在Windows NT/2000系统下，病毒是在\WinzNT\System目录下生成kernel32.dll，请注意区分！
Windows 9x/Me环境下，\Windows\System目录下的kernel32.dll
Windows NT/2000环境下，\WinNT\System32目录下的kernel32.dll
Windows XP环境下，\Windows\System32目录下的kernel32.dll
是正常文件！！！千万不能误删，否则会造成系统不能正常启动！
f. 对于操作系统是Windows Me/XP的电脑，需要将系统还原功能禁止才可以杀毒。如果不禁止就会出现\_RESTORE目录下的文件无法杀毒的情况。禁止方法如下：

禁用 Windows XP 系统还原：
1. 单击“开始”。
2. 右击“我的电脑”，然后单击“属性”。
3. 单击“系统还原”选项卡。
4. 选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
5. 单击“应用”，然后单击“确定”。

禁用 Windows Me 系统还原：
1. 单击“开始”，指向“设置”，然后单击“控制面板”。
2. 双击“系统”，然后单击“性能”选项卡。
3. 单击“文件系统”，然后单击“疑难解答”选项卡。
4. 选中“禁用系统还原”。
5. 单击“确定”，然后单击“关闭”。当提示重新启动 Windows 时单击“是”。

3、为什么建议在安全模式下清除这个病毒？如何进入安全模式？
答：清除这个病毒我建议是在安全模式下清除，这是因为：
a. 病毒在安全模式下不会被激活，所以可以放心在安全模式下杀毒；
b. 由于杀毒软件和专门清除工具在正常模式下都不能干净清除病毒，所以一般要在安全模式或纯DOS下杀毒，虽然两种方式都可以干净清除病毒，但在安全模式下由于系统使用了更多的缓存机制，因此要比在纯DOS下杀毒速度要快；
c. 专门清除工具只能在Windows环境下运行，不过专门清除工具可以修复病毒修改的注册表，而一般杀毒软件做不到；
注：如何进入安全模式请参见以下网址： http://jxonline.net/ibf/index.php?act=ST&f...0985eb4c46fca1a

4、如何预防这个病毒？对于预防这个病毒，有什么建议吗？
答：杀毒后建议立即进行以下操作进行预防病毒：
a. 请浏览以下网址为系统打上必要的补丁： http://www.windowsupdate.com
或 http://www.microsoft.com/technet/security/...in/MS00-075.asp
b. 请安装反病毒软件，并升级到最新的病毒库，坚持打开实时防病毒监控程序和及时升级病毒库；
c. 删除信箱中可疑的电子邮件，建议尽量不要使用信纸；
d. 对于Windows 9x/Me，建议取消共享，如果必须设置共享的话，建议设置为只读或者设置密码；对于Windows NT/2000，应为文件夹配置适当的权限，在有域的网络中，所有用户，特别是管理员级用户必须保证自己不感染病毒。
e. 在使用移动储存介质之前，如光盘、软盘、移动硬盘等，建议先防病毒软件检查一遍是否存在病毒，如果光盘有病毒的话，建议不要再使用该光盘；如果不具备这个条件，关闭Web视图可以部分地防止这个病毒，但对于被感染的html等文件，则这个方法可能无法奏效。
f. 对于一些熟练操作计算机的用户来说，可以通过编辑原正常的folder.htt，在文件头加上<BODY KJ_start()>这一句话，可以预防病毒的传染；
g. 还有一些情况是某些防病毒程序并不能有效地防止病毒的传播，遇到这种情况的时候建议换一个防病毒软件。

5、这个病毒对计算机会有什么影响？我怎么知道我的计算机感染了这个病毒？
答：这个病毒对计算机产生的比较明显的影响是严重影响计算机的正常使用，严重减慢计算机的运行速度，经常出现诸如“资源不足”的提示。这是因为这个病毒会大量生成folder.htt和desktop.ini，每以Web视图打开一个文件夹或打开资源管理器的时候都会激活病毒一次，从而导致计算机资源的严重下降，影响正常的使用。
而感染这个病毒后很容易发现计算机突然出现很多的folder.htt和desktop.ini文件（文件是隐藏的，默认情况下看不到），几乎是每个目录下都会有，同时连软盘、移动硬盘等都可能会被感染，可以据此确认感染了病毒。不过，计算机上存在这两个文件并不代表一定染毒了，如何判断folder.htt和desktop.ini文件是不是病毒将会在下面的问题中讨论到。

6、这个病毒是如何传播的？通过什么途径进行传播？
答：这是个网页病毒，利用的MS IE的漏洞，通过感染一些.html, .htm, .asp, .php, .jsp, .htt和.vbs等文件进行传播。而由于病毒的本身特性，其传播的途径也有多种：
a. 通过网页传播。由于病毒会感染网页文件，如果那些网站站长不小心将带毒的网页放到网站上，用户不了心浏览了这些网页就会被病毒感染了；
b. 通过局域网。当本地计算机设有可写权限的共享目录，或者访问局域网上带毒的计算机的时候就会感染病毒；对于Windows NT/2000系统，由于存在默认的管理用共享目录，因此，管理员的疏忽也可能会造成感染。
c. 通过电子邮件。如果发件人使用了带毒的网页文件作为信纸，或者信件中有带毒的网页文件，那么，只要收件人浏览了邮件，也会被感染病毒；
d. 通过移动介质，如软盘、移动硬盘、光盘等。由于病毒会生成folder.htt和desktop.ini，所以在打开移动介质或打开其文件夹的时候，就会激活并感染病毒。

7、为何在正常模式下无法干净清除这个病毒？
答：在安全模式下无法干净清除病毒一般是由以下几个方面的原因造成：
a. 感染病毒后，病毒在激活状态，一般杀毒软件和专门清除工具都无法清除内存中的病毒，导致杀毒不彻底；
b. 局域网上的病毒可能会通过文件夹共享重复感染电脑。

8、什么样的folder.htt和desktop.ini才是病毒？
答：并不是所有的folder.htt和desktop.ini都是病毒。一般正常情况下，%windir%\, %windir%\system\, %windir%\system32\, %windir%\web\ 和 Program Files\目录中都会有这两个文件。而且，使用记事本打开染毒的folder.htt，可以找到<BODY onload="vbscript:KJ_start()">和后面一大段的加密代码，这是正常文件中没有的。此外，作为目录配置文件的desktop.ini并不是病毒体，独立的这一文件并不会造成任何问题。如果这两个文件在杀毒后出现损坏，导致文件夹打开不正常，可以从别的干净的计算机上重新拷贝这两个文件。

9、我没有杀毒软件，哪里可以下载专门清除这个病毒的工具？
答：金山公司专门提供了相应的清除工具，下载地址如下：
ftp://www.iduba.net/download/othertools/ScanVBSKJ.EXE

10、这个病毒会感染什么操作系统？
答：这个病毒主要感染Win9x/Me/NT/2000操作系统，对Windows XP不起作用。

11、病毒生成的KJwall.gif是什么文件？
答：这个不是病毒文件，病毒运行时会在%windir%\web和%windir\system32目录下生成这个文件，这两个文件内容并不一样，前者是你系统没有染毒时候的%windir%\web\Folder.htt的备份文件，后者是%windir%\system32\desktop.ini的正常文件的备份。

12、为什么我跟据你说的方法清除病毒后，为何没有干净清除病毒？
答：首先，强烈建议杀毒后请浏览以下网址为系统打上必要的补丁： http://www.windowsupdate.com
或 http://www.microsoft.com/technet/security/...in/MS00-075.asp

有清除不了的病毒文件一般有以下几种情况：
a. 由于某些杀毒程序在杀毒的时候，并没有完全的清除网页文件中的病毒代码：只是清除了病毒的运行主体，而没有清除文件中的病毒头代码，通常还会带有<BODY onload="vbscript:KJ_start()">一段代码，不过这段代码已经不起作用了，但由于反病毒软件的检查机制的不同，当检查到文件中带有这段代码的时候认为文件还带有病毒，但却无法清除，如瑞星、Mcafee。（注：如果你现在也使用了这两个软件，那当你浏览本文的时候可能也会报告有病毒，但千万别误会。）遇到这种情况，可以自行用记事本打开这些网页文件，将文件中那段代码删除。
b. 在\Temporary Internet Files目录中发现无法清除的病毒文件，请选择IE中的“工具”\“Internet选项”，选择“删除文件”删除即可，包括删除所有的脱机内容！这是由于在浏览个别网站的时候，该网页上带有病毒，只要打上补丁就不会受影响！
c. 对.zip, .rar等压缩文件中的无法清除的病毒建议解压后进行清除。
d. 对于移动存储设备上无法清除的病毒（如软盘，但光盘除外），请取消写保护再进行清除。
e. 如果电子邮件中带有病毒建议将该邮件删除。
d. 对于操作系统是Windows Me/XP的电脑，需要将系统还原功能禁止才可以杀毒。如果不禁止就会出现\_RESTORE目录下的文件无法杀毒的情况。禁止方法如下：

禁用 Windows XP 系统还原：
1. 单击“开始”。
2. 右击“我的电脑”，然后单击“属性”。
3. 单击“系统还原”选项卡。
4. 选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
5. 单击“应用”，然后单击“确定”。

禁用 Windows Me 系统还原：
1. 单击“开始”，指向“设置”，然后单击“控制面板”。
2. 双击“系统”，然后单击“性能”选项卡。
3. 单击“文件系统”，然后单击“疑难解答”选项卡。
4. 选中“禁用系统还原”。
5. 单击“确定”，然后单击“关闭”。当提示重新启动 Windows 时单击“是”。

13、杀毒后有很多folder.htt和desktop.ini文件，这些文件还是病毒么？可否删除？
答：这些文件是否病毒请参见第8问。这些文件都可以删除的，对系统的正常操作并不会有什么影响。

B7层发表时间: 04-03-18 21:32

回复: abctm [abctm]

版主

--新欢乐时光病毒“VBS.KJ”的危害与清除

--------------------------------------------------------------------------------

『金山反病毒资讯网』 2002年05月15日 16:41:35

��病毒感染过程介绍

��

��VBS.KJ 是一个感染 html/htm、jsp、vbs、php、asp 的脚本类病毒。和欢乐时光“VBS.HappyTime”一样，该病毒采用 VBScript 语言编写，在互联网上通过电子邮件进行传播，也可以通过文件感染；感染后的机器系统资源被大量消耗，速度变慢；利用 Windows 系统的“资源管理器”进行寄生与感染。

��

��然而，与欢乐时光相比，VBS.KJ 病毒显然经过改进。首先，每次感染都会进行一次变形，可以逃过普通的特征码匹配查找方法；其次，该病毒不会主动发送电子邮件！而是修改系统中 Microsoft Outlook Express、Microsoft Outlook 2000/XP 的设置，采用 html 格式的信纸来撰写邮件，病毒感染全部信纸！当发送邮件时病毒会附在邮件中，隐蔽性更强！第三，会感染 html/htm、jsp、vbs、php、asp 等格式的文件，不会删除系统文件。

��

��病毒生成和修改的文件

��

��1、在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件(这两个文件控制了文件夹在资源管理器中的显示视力)。

��

��2、在 %Windows%\web 和 %Windows%System32 中生成 kjwall.gif。

��

��3、在 Windows 9X 系统中，生成 %Windows%\System\Kernel.dll 文件；在 Windows 2000/XP 中生成 %Windows%\System\Kernel32.dll 文件。

��

��4、感染 htt 文件，将病毒附加在其中；感染 html/htm、jsp、vbs、php、asp，用病毒替换其内容。

��

��注册表的修改

��

��1、在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下增加 Kernel32 键值，使病毒随系统启动；

��

��2、修改 HKEY_CLASSES_ROOT\dllFile\，改变 dll 文件的打开方式；

��

��3、修改 HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\Outlook Express\" & OEVersion��& "\Mail\Compose Use Stationery" 为 1，即采用信纸；修改 HKEY_CURRENT_USER\Identities\" & UserId & "\Software\Microsoft\Outlook Express\" &��OEVersion & "\Mail\Stationery Name" 指向信纸文件；

��

��4、修改 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail 相关内容，使 Outlook 2000 采用信纸来撰写邮件；

��

��5、修改 HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail 相关内容，使 Outlook XP 采用信纸撰写邮件；

��

��病毒感染的标志

��

��1、在注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下存在 Kernel32 键值，并指向 Kernel.dll 或者 Kernel32.dll 文件；

��

��2、系统中大量存在 desktop.ini 和 folder.htt；

��

��3、在 system 目录下存在 kjwall.gif 文件；

��手工清除(难度较大，建议采用杀毒软件杀毒)

��1、打开注册表，删除：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32键值；

��参照其他机器，恢复 HKEY_CLASSES_ROOT\dllFile\ 下键值；

�� 参照其他机器，恢复

HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\Outlook Express\" & OEVersion��& "\Mail\ 下相关键值；

��参照其他机器，恢复

HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\ 下相关键值；

��参照其他机器，恢复

HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\ 下相关键值；

��

��2、删除文件(建议在 DOS 状态下或者使用第三方文件管理系统，如 Win Commander 等)

��参照其他机器，恢复 %Windows%\web 目录下 folder.htt 文件；

��删除 Kernel32.dll 或者 Kernel.dll 文件；删除 kjwall.gif；

��查找所有存在 KJ_start 字符串的文件，删除文件尾部的病毒代码；

��金山毒霸用户可以请升级杀毒软件处理该病毒。

B8层发表时间: 04-03-18 21:35

回复: abctm [abctm]

版主

1.勘误，“kenrel.dll”系“Kernel.dll”的笔误，如果是Win98/me系统就是Kernel.dll，

如果是WIn2000就是Kernel32.dll，98系统中的Kernel32.dll和病毒“kernel.dll”在同一个文件夹下面，是Windows系统的核心文件。WinXP不会感染这个病毒。

2.关于Kernel的判断，一般正常的系统文件――以Win98为例――是454K左右，而11K左右的那个是病毒。这个文件应该可以用文本编辑器打开，内容和染毒后的Folder.htt一样――猜测，未经证实。

3.Win2000的内存和进程管理较为严格，因此，可能在删除Kernel32.dll或者FOlder.htt时会

报错,解决办法是取消Kernel32.dll的随机启动自运行，方法见《关于VBS.KJ病毒》一文。

4.这个病毒还会寄生在.htm/.html等网页格式的文件中，判断系统中的网页文件和超文本模

版是否染毒的方法是：用文本编辑器打开这些文件，如下载的网页，Folder.htt，从最后看起，如果有“</body></html></Script >一大堆乱码<Script language="VBscript">”，就意味着这个文件染毒了，注意顺序是倒着的。其中<Script Language="VBscript">KHIUUIY@&#&*$@。。。乱码。。实际上是加密了。。^&$Y$#&&$#%</Script>是这个病毒的典型特征。只要一个文件有这些字符，您就有必要怀疑它是否染毒。这段乱码加密过了，我正在对它进行解密，相信不日可见到关于该病毒作用机理的文章，

By the way,我的专长是网页设计和网站建设，作品见www.hust.edu.cn(学校英文网)和www2

.hust.edu.cn/administration/iec(国际交流中心中文网)。

5.这个病毒还会修改您的注册表，详情见金山毒霸反病毒咨询网的专题论文，后附。其中有

一处是您非改不可的，

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,也可

能在Runonce,RunonceEx,RunServices,RunServicesOnce注意看就知道了。是一个字符串值k

ernel32，值为C:\Windows\system\kernel.dll（这里是Win98系统的）。

他还会改DLL文件（Dailymic Link Library动态链接库）的打开方式，位置在HKEY_CL

ASSES_ROOT\.dll，病毒把“默认”的值改成了：dllfile，将之删除即可，不过，这对您或许没有什么影响，测试表明，这个不影响系统的性能。

他还改Outlook Expree或者Outlook的相关键，如果您不用outlook Express，删掉整个

HKEY_CURRENT_USER\Software\Microsoft\Outlook Express和整个HKEY_LOCAL_MACHINE\Sof

tware\Microsoft\Outlook Express。您也可以在正常的机器上导出这两个键，复制到自己机

器上，双击此.reg文件恢复。

6.他会在C:\windows\system\和C:\windows\Web（目录可能有所不同）下产生kjwall.gif，

一个是2K左右，一个是12K左右，用文本编辑器打开，发现起内容一个大的是Folder.htt，一个小的是Desktop.ini。将之全部删除。

7.检测自己有没有中毒的简单办法：

⊙查找Folder.htt(先要保证可以显示隐藏和系统文件) ，正常的Win98只有四个，路径分

别是：C:\Windows(进入Windows文件夹前要点“显示文件”就是它在控制)，C:\windows\system(进入此文件夹前要点“显示文件”也是它在控制)，C:\windows\web(关系到Windows系统的正常运行，如果出错，就不能按web方式查看文件夹内容)，C:\Program Files(进入此文件夹时显示“警告，要添加或删除程序...”就是它在控制)。如果查找结果超过10个就有理由怀疑中毒，如果是几百甚至上千就不用怀疑了，铁定中毒了。

⊙机器越来越慢，明显观察到文件夹下在莫名其妙地多出"Folder.htt"和"Desktop.ini"，

也说明中毒了。

⊙"开始">>"运行">>"msconfig"，如果有"kernel32"，一定中毒了。注意，金山毒霸之类

的杀毒软件可能对这种注册表项视而不见（曾在外事处碰到此种情况，不过是另一个病毒）

。

⊙双击任意一个dll文件，如果说出现“Windows 脚本宿主”错误，一定中毒了。

8.这个病毒的危害。

这个病毒颇为流行，最大的危害是无限占用系统资源，影响系统性能和稳定性，15日在电子培训室，计费的服务器主机突然死机，重启后发现中毒多日，Folder.htt多达6307个。

他的第二个危害是特别容易扩散。

不过，大家不用着急，相信您看了这篇文章，一定也可以空手对付它，我第一次和这个

病毒交手是6月初，因为寝室不能上网，杀毒软件无效，只好徒手上阵，最后还是解决了它。

机房主机和实验室机器一定要注意防范和查杀!!!!!!!!昨天接到消息说我们东四的几台

计算机全中了这个病毒，足以说明公共场合防治这个病毒的重要性了。

9.对付VBscript病毒有一个一劳永逸的办法，请按下述步骤操作，在C:\Windows下新建文本文件一，

写入内容：

@echo off

ren wscript.exe wsh.txt

另存为“向VBS病毒说不.bat”

再新建文本文件一，写入内容：

@echo off

ren wsh.txt wscript.exe

另存为：“现在想用Wscript了.bat”

聪明的读者可能已经看出来了，前一个文件就是永久防止VBS病毒的，原理是将Windows Scr

ipting Host改名了，病毒无法调用Wscript.exe执行恶意代码。如果您想用Wscrpit.exe双击

第二个批处理文件改回来就可以了。但是，我想，等您的Windows格了N次之后，您也不会有机会用到它。

~~~~OVER~~~~~

B9层发表时间: 04-03-18 21:35

回复: xingshen [xingshen]

论坛用户

我靠，你在哪抄的呀，看的我眼都花了

B10层发表时间: 04-03-19 14:47

论坛: 电脑门诊