综合

img liguangyi

funny.exe 木马病毒的手动删除方式

发表于2004/10/10 20:22:00  3624人阅读

该病毒运行时,将自动在qq/msn等聊天工具上发送/传染。
它在系统中同时启动三个实例,互为监测,杀掉其中一个进程,另外两个会立刻重新启动它。
并且修改了多处系统注册表,重起仍然会导致自动运行。

删除方法:(以系统目录为c:/winnt为例)

0、先copy c:/winnt/system32/userinit.exe  c:/winnt/system32/userinit32.exe
    进行文件覆盖。(这一步开始没有试过,但做一下没坏处)

1、必须启动到安全模式下,最好是命令行下,但这时病毒可能仍然已经启动了

2、一般在硬盘根目录下,例如c:/ d:/等可能有funny.exe的一份复制,进行删除

3、在c:/winnt/rundll32.exe文件,大小为55K左右,日期是最近几天生成的,
   在c:/winnt/system32/userinit32.exe文件,大小为55K左右,日期是最近几天生成的,
   在c:/winnt/system32/IEXPLORE.EXE 、EXPLORER.EXE文件,大小为55K左右,日期是最近几天生成的,

4、给这几个文件进行删除,删除不了的话,可以予以改名,最好是在命令行下改名,先改system32目录下的IEXPLORE.EXE 、EXPLORER.EXE文件名,再修改winnt下的rundll32.exe,userinit32.exe用copy userinit.exe userinit32.exe方式覆盖。 有时文件删除/改名后,还会再出现,不用管它。多改几次并在进程中杀几次rundll32.exe iexploer.exe explorer.exe,多做几次总能改掉/删除的。
  

5、注意:该病毒修改了注册表,如果只简单删除userinit32.exe,系统将不能登录!   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
   病毒将值由c:/winnt/system32/userinit.exe 改为了c:/winnt/system32/userinit32.exe
   这个键值是系统启动的时候,必定运行的一个程序。
  
   解决方法:
   a、如果是在控制台下,可以暂时拷贝一份 copy userinit.exe userinit32.exe
   b、如果在窗口环境下可以修改注册表,查找所有userinit32.exe项,改为userinit.exe


6、  删除注册表中Run项中的mmsystem内容,内容是c:/winnt/rundll.exe mmsystem.dll ....
        位置:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Run/mmsystem
                     HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
        

7、重起机器,看看上述的文件是否还存在,不存在就没有问题了。
 

阅读全文
0 0

相关文章推荐

img
取 消
img