請問如何解VBS Haptime.A@mm的毒?

[Mayer]

我家電腦似乎中了VBS Haptime.A@mm的病毒
請問要如何解毒呢
我有很多檔案都無法修復，請問該怎麼辦呢?救救我啊

[wu4rock]

以下轉載自bbs。
--------------------------------------------------------------------------

資料來源：北京金山毒霸網站

病毒名稱：VBS.HappyTime

病毒類型：VB SCRIPT病毒

病毒感染過程介紹

VBS.Happytime 是一個感染 VBS、html 和腳本文件的腳本類病毒。該病毒採用
VBScript 語言編寫，它既可在電子郵件的形式通過互聯網進行傳播，也可以在
本地通過文
件進行感染。

當用瀏覽器打開一個被感染的 html 文件時，病毒會設置網頁的時間中斷事件，
每 10 秒
運行執行 Help.vbs 一次，該文件存放在 C:\ 盤下第一個子目錄下。如果通過 hta
文件
啟動病毒，病毒還會在 C:\ 盤下第一個子目錄下生成 Help.hta 文件並執行。

若執行感染病毒的 VBS 文件，如果日期和月份數位之和是 13，則病毒會刪除從 C:
盤找
到的第一個 exe 或 dll 文件；如果是其他時間，則從 C: 盤找到第一個 html
、vbs、
htm 或 asp 文件，從文件內容中找到 mailto 語句，分解出若干收件人郵件位
址，發送帶
有病毒附件(附件名Untitled.htm)的郵件，然後置換文件內容?病毒代碼。當病
毒被執行的
次數? 366 的整數倍時，如果當前時間的秒數值正好是偶數，則取得 Outlook Express
收
件箱(不包括子目錄)中所有信件的發件人位址和主題，然後以轉發原信件?主題
，給這些位
址發送信件，附件? Untitled.htm 這些文件中帶有病毒代碼。


如果是通過腳本或其他方式運行病毒，則會在 C:\ 盤下第一個子目錄下創建病
毒文件
Help.vbs，在 %Windows% 目錄下創建病毒文件 Untitled.htm 文件。修改註冊
表
HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\Outlook Express\5.0\
Mail(其中 XXXXXXXX ?缺省用戶ID值)項下的三個鍵值。並查找 Windows\Web 目
錄下所有
htm、htt、vbs 和 asp 文件，從中找到 mailto 語句，分解出若干收件人郵件
位址，發
送帶有病毒附件(附件名 Untitled.htm)的郵件，然後置換文件內容?病毒代碼。
病毒腳
本代碼的第一行? Rem I am sorry! happy time?


病毒生成、修改和刪除的文件

1、生成 C:\Help.htm，html 格式的病毒文件(嵌入 html 文件)；

2、在 C:\ 盤第一個子目錄下生成 VBS 格式的病毒文件 Help.vbs 和 hta 格式
的
Help.hta；

3、在 %Windows% 目錄下生成 html 格式的病毒文件 Help.htm 或者與原牆紙文
件同名的
html 格式文件(牆紙)；

4、每感染一次修改 C: 盤上一個 vbs、html 或者 asp 文件，將其改?病毒代碼
；

5、修改 %Windows%\Web 目錄下所有 vbs、html、htt 和 asp 文件；

6、每次月份加日期的數位之和? 13 時運行病毒會刪除 C: 盤上一個 exe 或 dll
文件。


註冊表的修改


1、在 HKEY_CURRENT_USER\Software 下新建 Help 項，然後新建 Count 鍵值用
於記錄病
毒感染的次數；新建 FileName 鍵值用於指向下一次將要被刪除的文件；新
建
wallPaper 鍵值用於記錄修改後的牆紙文件；

2、修改 HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\
Outlook Express\5.0\Mail(其 中 XXXXXXXX ?缺省用戶ID值) 下鍵值 Message Send
HTML ? 1；Compose Use Stationery ? 1；Stationery Name ? %Windows%\
Untitled.htm。

病毒的危害


1、破壞 html、htm、htt、vbs 和 asp 文件的內容(被修改成病毒代碼)；

2、大量散發病毒郵件，本地的聯繫人地址越多，收件箱中信件越多，散發郵件
數量也越多
；

3、逐次刪除 C: 上可執行文件；

4、修改桌面牆紙的設置；

5、破壞 Windows 資源管理器中缺省的 Web 視圖；


手工病毒清除


1、檢查 C:\Help.htm、C:\ 盤第一個子目錄下的 Help.vbs 和 Help.hta、%Windows%
目
錄下 Help.htm 或者與原牆紙文件 同名的 html 格式文件，若其中含有 Rem I am
sorry! happy time 字串，則刪除該文件；

2、檢查 C: 盤上所有 vbs、html 或者 asp 文件，若含有 Rem I am sorry! happy
time 字串，則刪除該文件；

3、檢查 %Windows%\Web 目錄下所有 vbs、html、htt 和 asp 文件，若含有 Rem I am
sorry! happy time 字串，則刪除該文件；

4、刪除 HKEY_CURRENT_USER\Software 下 Help 項；

5、刪除收件箱中所有帶有 Untitled.htm 附件的不明郵件。