FUNNY病毒的解决方法

11 |

0 | 2005-9-1 20:45:49 | 显示全部楼层 |阅读模式

funny木马病毒的详细手动删除方式
这几天大意肆虐的funny.exe让许多msn用户深受其害，现在为大家介绍一个手动删除方式，希望对大家有所帮助。该病毒运行时，将自动在qq/msn等聊天工具上发送/传染。它在系统中同时启动三个实例，互为监测，杀掉其中一个进程，另外两个会立刻重新启动它。并且修改了多处系统注册表，重起仍然会导致自动运行。
删除方法：（以系统目录为c:\winnt为例）
0、先copy c:\winnt\system32\userinit.exe c:\winnt\system32\userinit32.exe
进行文件覆盖。（这一步开始没有试过，但做一下没坏处）
1、必须启动到安全模式下，最好是命令行下，但这时病毒可能仍然已经启动了
2、一般在硬盘根目录下，例如c:\ d:\等可能有funny.exe的一份复制，进行删除
3、在c:\winnt\rundll.exe(或rundll32.exe)文件，大小为55K左右，日期是最近几天生成的，
在c:\winnt\system32\userinit32.exe文件，大小为55K左右，日期是最近几天生成的，
在c:\winnt\system32\IEXPLORE.EXE (或EXPLORER.EXE)文件，大小为55K左右，日期是最近几天生成的。
4、给这三个文件进行删除。删除不了的话，可以予以改名，最好是在命令行下。先改system32目录下的。
有的文件删除/改名后，还会再出现，不用管它。多改几次并在进程中杀几次rundll.exe rundll32.exe iexploer.exe explorer.exe，多折腾几次，总能改掉/删除的。 5、该病毒修改了注册表，如果只删除userinit32.exe，系统将不能登录（够可以的！）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
将值由c:\winnt\system32\userinit.exe 改为了c:\winnt\system32\userinit32.exe（病毒）
这个键值是系统启动的时候，必定运行的一个程序。
解决方法：
a 暂时拷贝一份 copy userinit.exe userinit32.exe 或者 b 修改注册表，查找所有userinit项
6、删除注册表中Run项中的mmsystem内容，内容是c:\winnt\rundll.exe mmsystem.dll ....
位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run\mmsystem
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
7、重起机器，看看上述的文件是否还存在，不存在就没有问题了。参考资料：出处:CSDN 2005-3-28 15:03:00

已赞过已踩过<

使用道具举报

返回列表发新帖

千问

主题	0 回帖	4882万积分

论坛元老

Rank: 8 Rank: 8

积分: 48824836

回复楼主返回列表

问答

热门排行