标题: 求助！！！！！！！请高人解答。。。。 [打印本页]

---

作者: kaytur     时间: 2003-9-4 00:00    标题: 求助！！！！！！！请高人解答。。。。

我的系统为WIN2K，装有天网放火墙。
最近上网天网一直显示有很多其他IP试图PING我的主机
而且我发现在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RUN\
里面显示，c:\winnt\system\kernel32.dll

请问这是什么意思？？？是否中了高版本的冰河木马？？
请哪位高人给予解答，万分感谢！！！！！！

---

作者: LanE     时间: 2003-9-4 00:00
被PING是常见的现象
而HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RUN\
下的c:\winnt\system\kernel32.dll就可能是木马之类的了，找个杀毒软件查一下吧

---

作者: kaytur     时间: 2003-9-4 00:00
请问这是什么木马？？？？
高手给解答一下吧！！！！！！

---

作者: pfox     时间: 2003-9-4 00:00
新欢乐时光是该病毒的中文名，其英文名包括（方括号中是相对应的各个厂家）：HTML.Redlof.A [Symantec], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos], VBS.KJ [金山], Script.RedLof [瑞星], VBS/KJ [江民]。
这个病毒是用VBS编写的多变形、加密病毒，感染扩展名为.html, .htm, .asp, .php, .jsp, .htt和.vbs文件，同时该病毒会大量生成folder.htt和desktop.ini，并在%windir%\System\中生成一个名字叫Kernel.dll的文件（Windows 9x/Me）或Kernel32.dll（Windows NT/2000），修改.dll文件的打开方式，感染Outlook的信纸文件。
（注：%windir%指的是Windows的目录， 对于Win9x/Me系统来说，这个目录通常是\Windows，对于Windows NT/2000来说，这个目录通常是\WinNT；特别注意：这两个Kernel文件生成的路径都是%windir%\System\，而不是%windir%\System32\）
感染这个病毒后有两个明显的表现：
a. 在每个目录中都会生成folder.htt（带毒文件）和desktop.ini（目录配置文件）；
b. 电脑运行速度明显变慢，在任务列表中可以看到有大量的Wscript.exe程序在运行。
更详细的资料请参见有关资料。