瑞星卡卡安全论坛

进程了一堆!把内存快占满了!

进程文件:rundll32或者rundll32.exe
进程名称:microsoftrundll32
描述:rundll32.exe用于在内存中运行dll文件，它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的。注意：rundll32.exe也可能是w32.miroot.worm病毒。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32和system32\dllcache下面

不是正常的!怎么杀啊!

肯定不是正常的!怎么杀啊!

我快烦死了!大哥帮帮忙啊!

http://bjcert.beijingit.gov.cn/support/trendmicro/juanjiajy/yj_copy1.htm参照这个网站的解决办法

哦!谢谢!

病毒特征:
只要打开网页电脑就变得齐慢，任务管理器里面的进程，RUNDLL32.EXE占用CPU99％，关了该进程，过一会有有了，杀毒又杀不了

Rundll32.exe是什么？

顾名思意，“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数，这样在进程当中，只会有Rundll32.exe，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe，不必惊慌，这证明用Rundll32.exe启动了多少个的DLL文件。当然，这些Rundll32.exe执行的DLL文件是什么，我们都可以从系统自动加载的地方找到。

现在，我来介绍一下Rundll32.exe这个文件，意思上边已经说过，功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件，他的意思是“执行16位的DLL文件”，这里要注意一下。在来看看Rundll32.exe使用的函数原型：
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);

其命令行下的使用方法为：Rundll32.exe DLLname,Functionname [Arguments]
DLLname为需要执行的DLL文件名；Functionname为前边需要执行的DLL文件的具体引出函数；[Arguments]为引出函数的具体参数。


解决方案:

卡巴斯基是不能查到该病毒,所谓术业有专攻，如是而已，这是一个木马病毒，当然要用木马杀毒软件了，下面推荐一款木马软件

木马杀客(测试过，可以查杀该木马病毒，并修复rundll32.exe文件)

安装版：

http://www.sf120.net/soft/setup.exe

http://dx.mmsk.cn/setup.exe

绿色版：

http://www.sf120.net/soft/setup.rar

http://dx.mmsk.cn/setup.rar

自己清除的方法：
“rundll32.exe”的原文件在C:\\WINNT\\system32\\dllcache中有备份，你可以从这里复制出来。

1，手工清除Trojan.Killonce病毒
    (1) 在WINDOWS目录中查找run32.exe文件，如果发现则证明病毒存在，则将同目录下的rundll32.exe文件删除，将run32.exe文件改名为：rundll32.exe。

　　(2) 在WINDOWS目录中查找regedit.exe.sys 文件，如果找到则证明病毒存在，将同目录下的regedit.exe文件删除，将regedit.exe.sys文件改名为regedit.exe。

　　如果无法删除这些文件，可以用启动盘进入DOS模式下，将这些病毒文件删除。然后，进入注册表编辑器，查看注册表的HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run项，看其中是否有上面提到的文件，如果有，则将这些键值删除即可清除病毒注册的键值；查看注册表的HKEY_CLASSES_ROOT\Exefile\shell\open\command的键值，正确的“默认”项的内容为：“"%1"%*”，如果不是，则修改；查看注册表的HKEY_CLASSES_ROOT\Txtfile\shell\open\command的键值，正确的“默认”项的内容为：“%SystemRoot%\system32\NOTEPAD.EXE %1”，如果不是，则修改。此时，病毒被清除。

　　另外rundll32.exe是系统文件，必须改名或者在dos下才能删除，也就是说不能隔离。
另外请卸掉3721

2，

如何除去RUNDLL32病毒

计算机故障现象：1。所有的应用程序都打不开，提示说找不到关联程序。其实这是木马程序在作怪，当使用木马克星除去木马之后，文件关联已经被木马程序修改，此时可以通过更改注册表来重新更改文件的关联，修改如下：

HKEY_CLASSES_ROOT->EXEFILE->SHELL->OPEN COMMAND 键值改为 "%1 %*"



HKEY_CLASSES_ROOT->EXEFILE->SHELL->runas command 键值改为"%1 %*"



2。系统总是提示找不到RUNDLL32.EXE文件，如果系统不存在改文件了，从别的机器上复制一个就OK了，如果机器上有改文件则说明改文件已被感染木马，使用木马克星杀一下毒就OK了。



3，

RUNDLL32.EXE是WINDOWS的一个可执行文件,很多病毒可使这个文件起动不了,但也有一种叫做“快乐时光”的病毒和这个文件的名称和大小一模一样,并且在你打开的每个文件夹的根目录下不断地复制,如果你的电脑上大量出现这个文件,基本上就可以确定是病毒了,多数杀毒软件一般解决不了问题,办法通常是,先手工批量删除你电脑上所有叫做RUNDLL32.EXE的文件,然后从WINDOWS源程序中找回那个有用的RUNDLL32.EXE文件,找回的办法是,以WINDOWS XP为例,先在“运行”菜单执行“CMD”,然后回车,输入:
expand CD-ROM \i386\rundll32.ex_%Systemroot%\rundll32.exe
其中CD-ROM是操作系统源程序所在的位置,不一定就是光驱.
凡事都有个例外,你先试试看.

一会给你门看看日志!现在我都快疯了!

正在初始化杀毒引擎::::::>>>

杀毒引擎初始化完毕::::::>>>
开始扫描内存进程...
系统事件：内存中发现木马!
木马名称：Heuristic/Virus.Win32 .12968
木马进程：mum1.exe
木马从内存中清除成功!
木马在硬盘清除成功!
c:\docume~1\mengyang\locals~1\temp\mum1\mum1.exe

系统事件：内存中发现木马!
木马名称：Adware.Cdn.4774
木马从内存中清除成功!
木马在硬盘清除成功!
c:\program files\cnnic\cdn\cdnup.exe

系统事件：启动项目中发现木马!
木马名称：Backdoor.GrayBird.ad.2083
木马启动项：rundll31
木马在启动项目中清除失败!,请进入安全模式才能清除木马
c:\windows\system32\iexplorer.exe

启动项目木马所指定主程序已经不存在!
c:\windows\system32\iexplorer.exe

系统事件：启动项目中发现木马!
木马名称：CWS.LoadAdv.400.2921
木马启动项：desktop
木马从启动项目中清除成功!
c:\windows\system32\rundll32.exe "c:\program files\deskadtop\run.dll" ,rundll

启动项目木马所指定主程序已经不存在!
c:\windows\system32\rundll32.exe "c:\program files\deskadtop\run.dll" ,rundll

系统事件：启动项目中发现木马!
木马名称：CNNIC.adware.2107
木马启动项：cdnctr
木马从启动项目中清除成功!
c:\program files\cnnic\cdn\cdnup.exe

启动项目木马所指定主程序已经不存在!
c:\program files\cnnic\cdn\cdnup.exe

系统事件：启动项目中发现木马!
木马名称：Adware.Cdn.4774
木马启动项：cdnctr
木马从启动项目中清除成功!
c:\program files\cnnic\cdn\cdnup.exe

启动项目木马所指定主程序已经不存在!
c:\program files\cnnic\cdn\cdnup.exe

开始扫描内存模块...
内存中发现木马模块!C:\WINDOWS\system32\cdnns.dll-=>Adware.Cdn.4531
木马在硬盘清除成功!
C:\WINDOWS\system32\cdnns.dll

内存中发现木马模块!C:\WINDOWS\DOWNLO~1\CnsHook.dll-=>Adware.Cdn.4486
木马在硬盘清除成功!
C:\WINDOWS\DOWNLO~1\CnsHook.dll

内存中发现木马模块!C:\PROGRA~1\DESKAD~1\deskipn.dll-=>Adware.Msearch.9735
木马在硬盘清除成功!
C:\PROGRA~1\DESKAD~1\deskipn.dll

开始进行全盘扫描:...
系统事件：已发现木马!
木马名称：Adware.Cdn.4764
木马路径：C:\Program Files\CNNIC\Cdn\cdnaux.dll
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Cdn.4766
木马路径：C:\Program Files\CNNIC\Cdn\cdndet.dll
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Cdn.4767
木马路径：C:\Program Files\CNNIC\Cdn\cdndisp.dat
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Cdn.4769
木马路径：C:\Program Files\CNNIC\Cdn\cdnhint.dat
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Cdn.4771
木马路径：C:\Program Files\CNNIC\Cdn\cdnprh.dll
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：CNNIC.adware.2105
木马路径：C:\Program Files\CNNIC\Cdn\cdnrenew.exe
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Cdn.4775
木马路径：C:\Program Files\CNNIC\Cdn\cdnvers.dat
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Cdn.4766
木马路径：C:\Program Files\CNNIC\Cdn\Update\cdndet.dll
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Cdn.4767
木马路径：C:\Program Files\CNNIC\Cdn\Update\cdndisp.dat
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Cdn.4769
木马路径：C:\Program Files\CNNIC\Cdn\Update\cdnhint.dat
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：CNNIC.adware.2109
木马路径：C:\Program Files\CNNIC\Cdn\Update\cdnns.dll
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Cdn.4771
木马路径：C:\Program Files\CNNIC\Cdn\Update\cdnprh.dll
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Cdn.4772
木马路径：C:\Program Files\CNNIC\Cdn\Update\cdnprot.dat
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：CNNIC.adware.2108
木马路径：C:\Program Files\CNNIC\Cdn\Update\cdnprot.sys
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：CNNIC.adware.2105
木马路径：C:\Program Files\CNNIC\Cdn\Update\cdnrenew.exe
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：CNNIC.adware.2112
木马路径：C:\Program Files\CNNIC\Cdn\Update\cdntran.sys
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Cdn.4774
木马路径：C:\Program Files\CNNIC\Cdn\Update\cdnup.exe
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Cdn.4775
木马路径：C:\Program Files\CNNIC\Cdn\Update\cdnvers.dat
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：not-a-virus:AdWare.Win32.WSearch.j.10297
木马路径：C:\Program Files\DeskAdTop\DeskUn.exe
处理方式：删除 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Msearch.9736
木马路径：C:\Program Files\DeskAdTop\Mrup.exe
处理方式：删除 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：3721.adware.2322
木马路径：C:\WINDOWS\Downloaded Program Files\cnsio.dll
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：3721.adware.2323
木马路径：C:\WINDOWS\Downloaded Program Files\CnsMin.dll
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：3721.adware.2324
木马路径：C:\WINDOWS\Downloaded Program Files\CnsMin.ini
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：3721.adware.2326
木马路径：C:\WINDOWS\Downloaded Program Files\CnsMinEx.dll
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：3721.adware.2327
木马路径：C:\WINDOWS\Downloaded Program Files\CnsMinEx.ini
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：3721.adware.2329
木马路径：C:\WINDOWS\Downloaded Program Files\CnsMinIO.dll
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Cdn.9802
木马路径：C:\WINDOWS\Downloaded Program Files\lianzhong_cns.exe
处理方式：删除 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Backdoor.Gpigeon.op.2167
木马路径：C:\WINDOWS\system\system32.dll
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Cdn.4772
木马路径：C:\WINDOWS\system32\cdnprot.dat
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现伪系统木马!
木马名称：Adware.cdn.2119
木马路径：C:\WINDOWS\system32\cns.exe
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Win32.ADWARE.Roogoo.17493
木马路径：C:\WINDOWS\system32\msplus.dll
处理方式：删除 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Win32.ADWARE.pCast.17492
木马路径：C:\WINDOWS\system32\pCastCtl.dll
处理方式：删除 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：not-a-virus:AdWare.Win32.Boran.g.13337
木马路径：C:\WINDOWS\system32\Setup_123.exe
处理方式：删除 成功
发现日期：2006年7月24日

系统事件：已发现伪系统木马!
木马名称：Adware.xiehe.4812
木马路径：C:\WINDOWS\system32\STDSVER.DLL
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现伪系统木马!
木马名称：stdup.adware.2417
木马路径：C:\WINDOWS\system32\stdup.dll
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Win32.ADWARE.BDSearch.E5.14595
木马路径：C:\WINDOWS\system32\drivers\BDGuard.SYS
处理方式：删除 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：CNNIC.adware.2108
木马路径：C:\WINDOWS\system32\drivers\cdnprot.sys
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：CNNIC.adware.2112
木马路径：C:\WINDOWS\system32\drivers\cdntran.sys
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：3721.adware.2332
木马路径：C:\WINDOWS\system32\drivers\CnsMinKP.sys
处理方式：隔离 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：Adware.Borlander .17550
木马路径：C:\WINDOWS\wincup\wincup.exe
处理方式：删除 成功
发现日期：2006年7月24日

系统事件：已发现木马!
木马名称：not-a-virus:AdWare.Win32.BHO.ag.18843
木马路径：C:\游戏\ca.exe
处理方式：删除 成功
发现日期：2006年7月24日

全盘扫描完成...
扫描文件53125个 发现木马41个.

实时监控中......

系统事件：启动项目中发现木马!
木马名称：Backdoor.GrayBird.ad.2083
木马启动项：rundll31
木马在启动项目中清除失败!,请进入安全模式才能清除木马
c:\windows\system32\iexplorer.exe

启动项目木马所指定主程序已经不存在!
c:\windows\system32\iexplorer.exe

最后这个怎么处理啊?

进入安全模式后怎么做呢?

大哥们!还在么?

?????

进入安全模式杀毒！

安全模式里看不到木马杀客啊!

安装目录里找！

还是不行!它告诉说:

系统事件：启动项目中发现木马!
木马名称：Backdoor.GrayBird.ad.2083
木马启动项：rundll31
木马在启动项目中清除失败!,请进入安全模式才能清除木马
c:\windows\system32\iexplorer.exe

启动项目木马所指定主程序已经不存在!
c:\windows\system32\iexplorer.exe

可是已经在安全模式了!!!!!!!!!!!!!!!!55555555555555555怎么办啊!急死了!

你用什么杀毒软件？进入没有网络连接的安全模式杀！

就是你给的木马杀客阿！就是没有网连的模式！

我已经被你搞晕了！扫描个日志上来看看！

最后还是重装的程序!哭!

折腾一天!哎!郁闷!

晕啊!大家要小心啊!

【回复“duoyuer”的帖子】WORM_FUNNER.A
 
Virus Name: WORM_FUNNER.A
Alias: MSN-Worm.Funner
Virus Type: WORM_FUNNER.A
Damage Potential: 低
Detected in Engine: 6.810
Detected in Pattern: 2.194.00
Language: 英语
Size of Virus: 56,320 Bytes (压缩后);312,832 Bytes (未压缩)
Encrypted: 不会
Distribution Potential:  中
Platform: Windows 95, 98, ME, NT, 2000,XP
Memory Resident: 会
Payload:  利用MSN向MSN联系人发送病毒拷贝
Symptoms: MSN用户会收到一个名为FUNNY.EXE的应用程序

[DESCRIPTION] 在运行时，该蠕虫病毒会在Windows和Windows系统文件夹中生成多个自身拷贝。病毒会在注册表中创建自启动项目，以使自身可在每次系统启动时执行。在Windows98和ME系统中，病毒还会修改SYSTEM.INI文件。 病毒会利用MSN向用户的MSN联系人发送自身拷贝。 病毒会修改HOSTS文件。病毒在HOSTS文件中添加特定行，以阻止用户访问特定网站。 该病毒可运行在Windows 95, 98, ME, NT, 2000和XP系统中。

[Details] 安装和自启动技术

病毒会检查MSN Messenger和MSVBVM60.DL是否存在。如果目标机器中没有上述应用程序和文件，病毒不会执行预定程序。

在运行中，病毒会在Windows系统文件夹中生成如下自身拷贝：

· EXPLORER.EXE
· IEXPLORE.EXE
· USERINIT32.EXE

病毒会在Windows文件夹中生成RUNDLL32.EXE文件。然后，病毒会在Windows系统文件夹中生成BSFIRST2.LOG日志文件。

在Windows98和ME系统中，病毒会用自身拷贝覆盖原始的RUNDLL32.EXE文件。

为使自身可以在每次系统启动时自动运行，病毒添加如下的注册表项目：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current-
Version\RunMMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"",RunDll32"HKEY_CURRENT_USER\
Software\Microsoft\Windows\Current
Version\RunMMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"

在Windows 2000和XP系统中，病毒还会创建如下注册表项目：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinlogonUserinit = "userinit32.exe"

在Windows 98和ME系统中，病毒会修改SYSTEM.INI文件中的[boot]段落，具体如下:

Shell = %System%\explorer.exe

传播

病毒会利用MSN向用户的MSN联系人发送自身拷贝。

修改HOSTS文件

病毒会修改HOSTS文件。病毒在HOSTS文件中添加如下行，以阻止用户访问特定网站其他细节 该病毒经过Aspack压缩。

其他细节

该病毒经过Aspack压缩。



[How to Clean] 重启进入安全模式

在 Windows 95系统中

a.重启机器
b.在出现 "Starting Windows 95"时按F8
c.在Windows95启动菜单中选择安全模式，然后按Enter。

在 Windows 98/ME系统中

a.重启机器
b.按CTRL键直至出现Windows 启动菜单
c.选择安全模式选项，按Enter。

在Windows NT 系统中(VGA 模式)

a.点击开始>设置>控制面板。
b.双击系统图标。
c.点击启动/关闭选项卡。
d.将显示列表选项设置为10秒，点击OK保存更改。
e.关闭系统然后重启。
f. 选择启动菜单中的VGA模式。
注意：要删除启动列表菜单，将显示列表值改为0即可。

在Windows2000 系统中

a.重启机器
b.当看到屏幕底部出现启动Windows横条时，按F8键。
c. 从Windows2000高级选项菜单中，选择安全模式选项，按回车键。

在WindowsXP 系统中

a.重启机器
b.当提示出现时，按F8键。
c.如果Windows XP Professional 启动时没有出现按键选择操作系统启动菜单，重启机器。
d. 在Power-On Self Test (POST)后，按F8。
e. 从Windows高级选项菜单中选择安全模式，按回车。

删除注册表中的自启动项目

从注册表中删除自动运行项目来阻止恶意程序在启动时执行。

在Windows 98和ME系统中

1.打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter

2. 在左边的面板中，双:HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run

3.在右边的面板中，找到并删除如下项目：MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32" (注意： %System%是Windows的系统文件夹，在Windows 95, 98, 和ME系统中通常是 C:\Windows\System，在WindowsNT和2000系统中是C:\WINNT\System32，在Windows XP系统中是C:\Windows\System32。)(注意: %Windows% 是Windows文件夹，通常就是C:\Windows或C:\WINNT。)

4. 在左边的面板中，双击:HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run

5. 在右边的面板中，找到并删除如下项目：MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"",RunDll32"

6. 关闭注册表编辑器。

在Windows XP和2000系统中

1.打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter

2.在左边的面板中，双击:HKEY_LOCAL_MACHINE>Software>Microsoft
>Windows NT>CurrentVersion>Winlogon

3.在左边面板中找到如下项目：Userinit = "userinit32.exe"

4.将项目值替换成如下值：Userinit = "userinit.exe"

5.关闭注册表编辑器。

6.重启系统进入安全模式。

7.打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter

8.在左边的面板中，双击:HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run

9. 在右边的面板中，找到并删除如下项目：MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"",RunDll32" (注意： %System%是Windows的系统文件夹，在Windows 95, 98, 和ME系统中通常是 C:\Windows\System，在WindowsNT和2000系统中是C:\WINNT\System32，在Windows XP系统中是C:\Windows\System32。)(注意: %Windows% 是Windows文件夹，通常就是C:\Windows或C:\WINNT。)

10. 在左边的面板中，双击:HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run

11. 在右边的面板中，找到并删除如下项目：MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"",RunDll32"

12. 关闭注册表编辑器。 删除系统文件中的自启动项目 恶意程序有时会修改系统文件以使自身在Windows启动时自动运行。在受感染系统安全重启前必须将这些自启动项目删除。

在Windows 98和ME系统中

1.打开SYSTEM.INI文件。点击开始>运行，输入SYSTEM.INI，按Enter。默认的文本编辑器（通常是记事本）会打开该文件。

2.在[boot]节中，找到如下行：Shell = %System%\explorer.exe

3.将其替换成：Shell = explorer.exe

4.关闭SYSTEM.INI文件，提示保存时点击确定。

5.按重启按钮重启机器。

6.使用系统盘启动，然后用未被感染过的RUNDLL32.EXE替换受感染系统中的RUNDLL32.EXE（这是病毒拷贝）。

恢复Windows的HOSTS文件

1.定位HOSTS文件。

a.右击“开始”，点击查找或搜索（这取决于Windows版本）
b.在名称输入框中输入：HOSTS
c. 在搜索下拉列表中选择包含有Windows目录的驱动器，然后按回车。

2. 使用记事本编辑HOSTS文件。

3. 删除恶意程序添加的行。

4. 保存HOSTS文件，关闭记事本。

附加Windows ME/XP清除说明

运行Windows ME和XP的用户必须禁用系统还原，从而可以对受感染的系统进行全面扫描。

运行其他Windows版本的用户可以不需要处理上面的附加说明。

运行趋势科技防病毒

使用趋势科技防病毒产品扫描系统并删除所有被检测为WORM_FUNNER.A的文件。趋势科技的用户必须在扫描系统之前下载最新病毒码文件。 其他的互联网用户可以使用Housecall，这是趋势科技的免费在线病毒扫描。

上面的办法可以试试！（我的技术不好！没有成功！）