funny.exe 木马病毒的手动删除方式

 

该病毒运行时，将自动在qq/msn等聊天工具上发送/传染。
它在系统中同时启动三个实例，互为监测，杀掉其中一个进程，另外两个会立刻重新启动它。
并且修改了多处系统注册表，重起仍然会导致自动运行。

删除方法：（以系统目录为c:/winnt为例）

0、先copy c:/winnt/system32/userinit.exe  c:/winnt/system32/userinit32.exe
    进行文件覆盖。（这一步开始没有试过，但做一下没坏处）

1、必须启动到安全模式下，最好是命令行下，但这时病毒可能仍然已经启动了

2、一般在硬盘根目录下，例如c:/ d:/等可能有funny.exe的一份复制，进行删除

3、在c:/winnt/rundll.exe(或rundll32.exe)文件，大小为55K左右，日期是最近几天生成的，
   在c:/winnt/system32/userinit32.exe文件，大小为55K左右，日期是最近几天生成的，
   在c:/winnt/system32/IEXPLORE.EXE (或EXPLORER.EXE)文件，大小为55K左右，日期是最近几天生成的，

4、给这三个文件进行删除。删除不了的话，可以予以改名，最好是在命令行下。先改system32目录下的。
   有的文件删除/改名后，还会再出现，不用管它。多改几次并在进程中杀几次rundll.exe rundll32.exe iexploer.exe explorer.exe，
   多折腾几次，总能改掉/删除的。
  

5、该病毒修改了注册表，如果只删除userinit32.exe，系统将不能登录（够可以的！）
   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
   将值由c:/winnt/system32/userinit.exe 改为了c:/winnt/system32/userinit32.exe（病毒）
   这个键值是系统启动的时候，必定运行的一个程序。
  
   解决方法：
   a 暂时拷贝一份 copy userinit.exe userinit32.exe 或者 b 修改注册表，查找所有userinit项

6、删除注册表中Run项中的mmsystem内容，内容是c:/winnt/rundll.exe mmsystem.dll ....
   位置：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Run/mmsystem
         HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
        

7、重起机器，看看上述的文件是否还存在，不存在就没有问题了。