慢得太厉害了。。

哈哈，CHM里面会夹带病毒也是新闻～

偶的意思是说：不用查

Quote:

下面是引用lvdo于2004-08-9 1:01 PM发表的 :
倒是奇怪我每次查这个CHM文件
卡巴基斯就跳出警报
搞不懂什么意思

这不就是那著名的“新欢乐时光”吗？

Quote:

HTML.Redlof.A 是一种多态、加密的 Visual Basic 脚本病毒，会感染所有驱动器上的 .html、.htm、.asp、.php、.jsp 和 .vbs 文件。该病毒将自身复制到 %windir%\System\Kernel.dll 或 %windir%\System\Kernel32.dll，这取决于 Windows System 文件夹的位置。它会更改 .dll 文件的默认关联。

HTML.Redlof.A 运行时会执行下列操作：

将自己的病毒体解密并执行它。

病毒会将自身复制为下列文件之一，这取决于 Windows System 文件夹的位置：

%windir%\System\Kernel.dll
%windir%\System\Kernel32.dll

注意：%windir% 是一个变量。蠕虫会找到 Windows 主安装文件夹（默认位置是 C:\Windows 或 C:\Winnt），然后将 自身复制到该位置。

病毒对注册表进行以下更改以使 .dll 文件可以作为脚本文件执行：
1. 验证注册表键
HKEY_CLASSES_ROOT\.dll

的（默认）值是否为
dllfile

2. 对于注册表键
HKEY_CLASSES_ROOT\.dll


病毒验证
Content Type

的值是否为
application/x-msdownload

3. 在注册表键
HKEY_CLASSES_ROOT\dllFile

中，病毒更改下列子键值：

DefaultIcon
更改为与注册表键
HKEY_CLASSES_ROOT\vxdfile 下的 DefaultIcon 子键值相同
添加子键 ScriptEngine

并将其值更改为
VBScript
添加子键 ScriptHostEncode

并将其值更改为
{85131631-480C-11D2-B1F9-00C04F86C324}

4. 在注册表键
HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\
中，病毒添加（默认）值
"%windir%\WScript.exe ""%1"" %*"
或
"%windir%\System32\WScript.exe ""%1"" %*"


5. 在注册表键
HKEY_CLASSES_ROOT\dllFile\ShellEx\PropertySheetHandlers\WSHProps
中，病毒将（默认）值设置为
{60254CA5-953B-11CF-8C96-00AA00B8708C}


病毒在所有文件夹和所有驱动器上搜索文件扩展名为 .html、.htm、.asp、.php、.jsp 和 .vbs 的文件，然后感染这些文 件。

HTML.Redlof.A 通过将自身添加为用于创建邮件的默认信笺进行传播：

1. 它将自身复制到 C:\Program Files\Common Files\Microsoft Shared\Stationery\Blank.htm，如果此文 件已存在，则将自身追加到此文件中。
2. 然后，将 Outlook Express 设置为默认使用该信笺。为完成此操作，病毒在注册表键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail
中，将
Compose Use Stationery
的值设置为 1。


3. 然后，如果以下值不存在，病毒将创建该值，并为其指定以下值数据：

在注册表键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail
中，将
Stationery Name
的值数据更改为
C:\Program Files\Common Files\Microsoft Shared\Stationery\blank.htm

在注册表键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail

中，病毒将
Wide Stationery Name

的值数据更改为
C:\Program Files\Common Files\Microsoft Shared\Stationery\blank.htm

4. 在注册表键
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail

中，病毒将
EditorPreference

的值数据设置为
131072


5. 接下来，如果下列值不存在，病毒将创建该值，并将其设置为“空”：

值：
001e0360

位于以下注册表键：
HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046

值：
001e0360

位于以下注册表键：
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046

值：
NewStationery

位于以下注册表键：
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings

6. 在注册表键
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\EditorPreference

中，病毒将
EditorPreference

的值设置为
131072


7. 最后，在注册表键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

中，病毒添加值
Kernel32

并将其设置为
SYSTEM\Kernel32.dll 或 SYSTEM\Kernel.dll

扫描和删除受感染文件：

……
行完整的系统扫描。
如果有任何文件被检测为感染了 HTML.Redlof.A，请单击“删除”。然后以干净的备份替换被删除 的文件，或者重新安装这些文件。

[b病毒对注册表所做的更改：

1.“开始”，然后单击“运行”。将出现“运行”对话框。

2.键入 regedit，然后单击“确定”。“注册表编辑器”打开。

3.导航至键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4.在右窗格中，删除值
Kernel32

5.导航至键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail

6.在右窗格中，删除值
Compose Use Stationery
Stationery Name
Wide Stationery Name

7.导航至键
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail

8.在右窗格中，删除值
EditorPreference

9.导航至下列子键并将其删除：
HKEY_CLASSES_ROOT\dllFile\Shell
HKEY_CLASSES_ROOT\dllFile\ShellEx
HKEY_CLASSES_ROOT\dllFile\ScriptEngine
HKEY_CLASSES_ROOT\dllFile\ScriptHostEncode

10.退出“注册表编辑器”。





source: http://www.symantec.com/region/cn/techsupp/avcenter/venc/data/cn-vbs.redlof.a.html

那能证明什么呢？即便你昨天还没有病毒，也不能证明你今天没有病毒
当然不排除误报，要证实也很简单，运行一遍带毒文件，再看看你的system目录下有没有Kernel.dll或Kernel32.dll就知道了