funny.exe 木马病毒的手动删除方式
来源:互联网 发布:淘宝联盟官网首页登录 编辑:程序博客网 时间:2024/04/29 09:06
该病毒运行时,将自动在qq/msn等聊天工具上发送/传染。
它在系统中同时启动三个实例,互为监测,杀掉其中一个进程,另外两个会立刻重新启动它。
并且修改了多处系统注册表,重起仍然会导致自动运行。
删除方法:(以系统目录为c:/winnt为例)
0、先copy c:/winnt/system32/userinit.exe c:/winnt/system32/userinit32.exe
进行文件覆盖。(这一步开始没有试过,但做一下没坏处)
1、必须启动到安全模式下,最好是命令行下,但这时病毒可能仍然已经启动了
2、一般在硬盘根目录下,例如c:/ d:/等可能有funny.exe的一份复制,进行删除
3、在c:/winnt/rundll.exe(或rundll32.exe)文件,大小为55K左右,日期是最近几天生成的,
在c:/winnt/system32/userinit32.exe文件,大小为55K左右,日期是最近几天生成的,
在c:/winnt/system32/IEXPLORE.EXE (或EXPLORER.EXE)文件,大小为55K左右,日期是最近几天生成的,
4、给这三个文件进行删除。删除不了的话,可以予以改名,最好是在命令行下。先改system32目录下的。
有的文件删除/改名后,还会再出现,不用管它。多改几次并在进程中杀几次rundll.exe rundll32.exe iexploer.exe explorer.exe,
多折腾几次,总能改掉/删除的。
5、该病毒修改了注册表,如果只删除userinit32.exe,系统将不能登录(够可以的!)
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
将值由c:/winnt/system32/userinit.exe 改为了c:/winnt/system32/userinit32.exe(病毒)
这个键值是系统启动的时候,必定运行的一个程序。
解决方法:
a 暂时拷贝一份 copy userinit.exe userinit32.exe 或者 b 修改注册表,查找所有userinit项
6、删除注册表中Run项中的mmsystem内容,内容是c:/winnt/rundll.exe mmsystem.dll ....
位置:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Run/mmsystem
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
7、重起机器,看看上述的文件是否还存在,不存在就没有问题了。
- funny.exe 木马病毒的手动删除方式
- funny.exe 木马病毒的手动删除方式
- 手动删除msser.exe的方法
- 手动删除WinMgCt.exe病毒的方法
- 手动删除木马病毒方法之检查注册表启动项
- 木马病毒winasse.exe、vbarun.dll的解决办法
- 最新的木马病毒 services.exe c:/winnt/services.exe
- 手动删除sxs.exe病毒?
- 手动删除iprep.exe病毒
- 木马病毒的六种启动方式(1)
- 关于木马病毒的六种启动方式
- 揭密木马病毒的六种启动方式
- 解读木马病毒的六种启动方式
- 解读木马病毒的六种启动方式
- 解读木马病毒的六种启动方式
- SysLoad3.exe木马病毒的分析及清除方法
- 感染性的木马病毒分析之样本KWSUpreport.exe
- 感染性的木马病毒分析之样本KWSUpreport.exe
- 没有交转正书
- JAVAGUIDE(学习笔记1)
- 《重构》语录
- TreeView中如何选中一个父节点同时选中所有的子节点和孙节点。。。
- 持续集成 .Net手册
- funny.exe 木马病毒的手动删除方式
- Generics in C#
- 协作的信息系统风险评估
- ORACLE函数大全
- 朋友
- Struts 的安装、配置与运行
- 奇幻诡异画中画 别让眼睛上了当(1)
- 奇幻诡异画中画 别让眼睛上了当(2)
- 奇幻诡异画中画 别让眼睛上了当(3)