funny.exe?
家里机器也中招了
看看是不是这情况:
系统进程中有2个explorer.exe,有1个rundll.exe,没有打开ie却有一个iexplorer.exe进程。
是的话就看看下面的,我刚找到的。
----网上资料----
msn的funny.exe木马病毒清除方法
msn病毒,伪装成funny.exe,中毒后表现如下:
1)系统进程中有2个explorer.exe,有1个rundll.exe,没有打开ie却有一个iexplorer.exe进程
2)系统产生如下文件:
c:\funny.exe
c:\windows\rundll32.exe
c:\windows\system32\bsfirst2.log
c:\windows\system32\iexplorer.exe
c:\windows\system32\userinit32.exe
c:\windows\system32\explorer.exe
3)修改注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
改数值数据到:C:\windows\system32\userinit32.exe
修改注册表:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
数值数据为:c:\windows\rundll32.exe "c:\windows\system32\mmsystem.dll"", RunDll32
修改注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
数值数据为:c:\windows\rundll32.exe "c:\windows\system32\mmsystem.dll"", RunDll32
解决方法一:
1)找到这些文件,全部改名后,杀死所有进程,然后后删除这些文件。
2)修改注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
数值数据为:C:\windows\system32\userinit.exe
修改注册表:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
数值数据为:RUNDLL32.EXE "c:\windows\system32\mmsystem.dll"", RunDll32
修改注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
数值数据为:RUNDLL32.EXE "c:\windows\system32\mmsystem.dll"", RunDll32
注册表中搜索一下c:\windows\rundll32.exe,找到后就改成rundll32.exe
解决方法二(未验证):
1)修改注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
数值数据为:C:\windows\system32\userinit.exe
修改注册表:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
数值数据为:RUNDLL32.EXE "c:\windows\system32\mmsystem.dll"", RunDll32
修改注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
数值数据为:RUNDLL32.EXE "c:\windows\system32\mmsystem.dll"", RunDll32
注册表中搜索一下c:\windows\rundll32.exe,找到后就改成rundll32.exe
2)重启后删除上述病毒文件。
----------------------
利用MSN Messenger和QQ传播的蠕虫“funny”正在流传
发布日期:2004-10-11
受影响的软件及系统:
====================
Microsoft Windows 95
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
综述:
======
绿盟科技安全小组监测到互联网上出现了一个利用MSN Messenger和QQ传播的蠕虫,目前在国内的传播面比较大。由于该蠕虫修改了重要的注册表键值,不恰当地清除蠕虫可能导致系统无法登陆。
分析:
======
该蠕虫在系统上运行后,会进行以下动作:
1、将自身拷贝为:
%SystemRoot%\rundll32.exe
%SystemRoot%\system32\IEXPLORE.EXE
%SystemRoot%\system32\explorer.exe
%SystemRoot%\system32\userinit32.exe
2、修改注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的“Userinit”修改为指向%SystemRoot%\system32\userinit32.exe。在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加运行%SystemRoot%\rundll32.exe的项。
3、修改%system32%\drivers\etc\hosts文件,将大量域名指向222.89.98.219,这样,用户访问这些域名的时候,实际访问的是222.89.98.219。
4、蠕虫会同时运行自身的多个拷贝,如果其中一个进程被中止,则其余进程会立即将它再运行。
5、如果系统运行了QQ或者MSN Messenger,蠕虫会向每一个联系人发送一条消息,包括一句话和一个指向http://www.78p.com/的链接,并试图将自身以文件“funny.exe”传输。
解决方法:
==========
预防:
如果您接收到包含http://www.78p.com/的消息,和funny.exe的文件传输请求,请拒绝。
检查是否被感染:
检查系统中是否存在文件%SystemRoot%\system32\userinit32.exe,如果存在,则说明可能已经被蠕虫感染。
清除:
对于Windows 2000/XP,请按照下面步骤进行:
1、在命令提示符中输入下列命令,将蠕虫改名:
ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir
ren %SystemRoot%\system32\explorer.exe explorer.exe.vir
ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir
ren %SystemRoot%\rundll32.exe rundll32.exe.vir
2、修改注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的%SystemRoot%\system32\userinit32.exe修改为%SystemRoot%\system32\userinit.exe。
3、重启系统
4、在命令提示符中输入下列命令,删除蠕虫文件:
del %SystemRoot%\system32\IEXPLORE.EXE.vir
del %SystemRoot%\system32\explorer.exe.vir
del %SystemRoot%\system32\userinit32.exe.vir
del %SystemRoot%\system32\bsfirst2.log
del %SystemRoot%\rundll32.exe.vir
4、修改注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"MMSystem"项。
5、在命令提示符中输入下列命令,修复hosts文件:
type %SystemRoot%\system32\drivers\etc\hosts|find /v "222.89.98.219" > hosts.tmp
copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hosts
del hosts.tmp
如果已经不恰当地删除了蠕虫,并导致系统无法正常登陆。请按照如下步骤进行:
1、用Windows 2000(或者Windows XP/2003)安装光盘引导系统,在“欢迎使用安装程序”的界面上按“R”键,选择修复。
2、然后按“C”键选择使用故障恢复控制台。
3、键入一个数字,选择某个Windows 安装,通常是“1”。然后输入管理员密码。
4、进入system32目录,输入命令:
del userinit32.exe
copy userinit.exe userinit32.exe
5、重启系统,将上面介绍的清除蠕虫的办法再进行一遍。
