funny.exe 木马病毒的手动删除方式

原创 2004年10月11日 18:29:00
 

该病毒运行时,将自动在qq/msn等聊天工具上发送/传染。
它在系统中同时启动三个实例,互为监测,杀掉其中一个进程,另外两个会立刻重新启动它。
并且修改了多处系统注册表,重起仍然会导致自动运行。

删除方法:(以系统目录为c:/winnt为例)

0、先copy c:/winnt/system32/userinit.exe  c:/winnt/system32/userinit32.exe
    进行文件覆盖。(这一步开始没有试过,但做一下没坏处)

1、必须启动到安全模式下,最好是命令行下,但这时病毒可能仍然已经启动了

2、一般在硬盘根目录下,例如c:/ d:/等可能有funny.exe的一份复制,进行删除

3、在c:/winnt/rundll.exe(或rundll32.exe)文件,大小为55K左右,日期是最近几天生成的,
   在c:/winnt/system32/userinit32.exe文件,大小为55K左右,日期是最近几天生成的,
   在c:/winnt/system32/IEXPLORE.EXE (或EXPLORER.EXE)文件,大小为55K左右,日期是最近几天生成的,

4、给这三个文件进行删除。删除不了的话,可以予以改名,最好是在命令行下。先改system32目录下的。
   有的文件删除/改名后,还会再出现,不用管它。多改几次并在进程中杀几次rundll.exe rundll32.exe iexploer.exe explorer.exe,
   多折腾几次,总能改掉/删除的。
  

5、该病毒修改了注册表,如果只删除userinit32.exe,系统将不能登录(够可以的!)
   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
   将值由c:/winnt/system32/userinit.exe 改为了c:/winnt/system32/userinit32.exe(病毒)
   这个键值是系统启动的时候,必定运行的一个程序。
  
   解决方法:
   a 暂时拷贝一份 copy userinit.exe userinit32.exe 或者 b 修改注册表,查找所有userinit项

6、删除注册表中Run项中的mmsystem内容,内容是c:/winnt/rundll.exe mmsystem.dll ....
   位置:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Run/mmsystem
         HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
        

7、重起机器,看看上述的文件是否还存在,不存在就没有问题了。

funny.exe 木马病毒的手动删除方式

该病毒运行时,将自动在qq/msn等聊天工具上发送/传染。它在系统中同时启动三个实例,互为监测,杀掉其中一个进程,另外两个会立刻重新启动它。并且修改了多处系统注册表,重起仍然会导致自动运行。删除方法:...
  • liguangyi
  • liguangyi
  • 2004年10月10日 20:22
  • 3633

木马病毒工作原理

      木马病毒,是病毒的特殊形式,它与一般病毒的区别是它不仅停留在本机电脑里,更利用一些手段开放电脑端口获得与木马服务器的通信,达到获取用户信息的目的。      一个木马程序通常很小,它典型的...
  • ahepril
  • ahepril
  • 2009年12月10日 21:05
  • 2406

如何编写木马病毒

如何编写木马病毒 www.hxhack.com 阅读:1434 时间:2007-7-23 9:46:39 整理:华夏黑盟 ----------------------------------...
  • liubin15989534919
  • liubin15989534919
  • 2011年09月30日 11:38
  • 1340

病毒、木马、蠕虫与恶意代码关键点

病毒:寄生存在,所谓寄生,就是病毒的指令存在于其它可执行程序的空指令部分。如下图为一个标准的计寄生形式的病毒: 运行可执行程序,一个jmp指令会导致程序跳转到病毒所在指令处开始执行,执行完毕之后...
  • Apollon_krj
  • Apollon_krj
  • 2017年07月12日 19:50
  • 2152

手动删除RAC环境

最根本的原因就是上一次安装错误后没有完全卸载干净.导致目录中缓存数据错误.总结之下.在安装CRS失败后,应该按以下步骤: 1 直接删除oracle_base目录,同时删除/etc目录下的oralns...
  • launch_225
  • launch_225
  • 2011年11月22日 22:51
  • 1142

感染性的木马病毒分析之样本KWSUpreport.exe

一、病毒样本简述 初次拿到样本 KWSUpreport_感染.exe.v 文件,通过使用PE工具,并不能辨别出该样本是那种感染类型,使用了一个比较直接的方法,从网上查资料,获取到了该样本的正...
  • QQ1084283172
  • QQ1084283172
  • 2015年05月23日 11:21
  • 1628

查看完整版本 : 病毒木马 【分享】一个病毒源码的分析

.586.model flat, stdcalloption casemap : none ; 区分大小写include /masm32/include/windows.incinclude /mas...
  • ygyangguang
  • ygyangguang
  • 2009年12月07日 17:06
  • 1249

透视木马程序开发技术:病毒源代码详解

透视木马程序开发技术:病毒源代码详解(上) 近年来,黑客技术不断成熟起来,对网络安全造成了极大的威胁,黑客的主要攻击手段之一,就是使用木马技术,渗透到对方的主机系统里,从而实现对远程操作目标主机。其...
  • Shannonhe
  • Shannonhe
  • 2011年11月11日 20:43
  • 1387

病毒木马介绍

蠕虫病毒:蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的...
  • wzhqazcscs
  • wzhqazcscs
  • 2017年03月18日 15:34
  • 395

一个感染型木马病毒分析(二)

作者:龙飞雪 0x1序言 前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行...
  • QQ1084283172
  • QQ1084283172
  • 2015年08月12日 17:50
  • 1819
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:funny.exe 木马病毒的手动删除方式
举报原因:
原因补充:

(最多只允许输入30个字)