该病毒运行时,将自动在qq/msn等聊天工具上发送/传染。
它在系统中同时启动三个实例,互为监测,杀掉其中一个进程,另外两个会立刻重新启动它。
并且修改了多处系统注册表,重起仍然会导致自动运行。
删除方法:(以系统目录为c:\winnt为例)
0、先copy c:\winnt\system32\userinit.exe c:\winnt\system32\userinit32.exe
进行文件覆盖。(这一步开始没有试过,但做一下没坏处)
1、必须启动到安全模式下,最好是命令行下,但这时病毒可能仍然已经启动了
2、一般在硬盘根目录下,例如c:\ d:\等可能有funny.exe的一份复制,进行删除
3、在c:\winnt\rundll.exe(或rundll32.exe)文件,大小为55K左右,日期是最近几天生成的,
在c:\winnt\system32\userinit32.exe文件,大小为55K左右,日期是最近几天生成的,
在c:\winnt\system32\IEXPLORE.EXE (或EXPLORER.EXE)文件,大小为55K左右,日期是最近几天生成的,
4、给这三个文件进行删除。删除不了的话,可以予以改名,最好是在命令行下。先改system32目录下的。
有的文件删除/改名后,还会再出现,不用管它。多改几次并在进程中杀几次rundll.exe rundll32.exe iexploer.exe explorer.exe,
多折腾几次,总能改掉/删除的。
5、该病毒修改了注册表,如果只删除userinit32.exe,系统将不能登录(够可以的!)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
将值由c:\winnt\system32\userinit.exe 改为了c:\winnt\system32\userinit32.exe(病毒)
这个键值是系统启动的时候,必定运行的一个程序。
解决方法:
a 暂时拷贝一份 copy userinit.exe userinit32.exe 或者 b 修改注册表,查找所有userinit项
6、删除注册表中Run项中的mmsystem内容,内容是c:\winnt\rundll.exe mmsystem.dll ....
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run\mmsystem
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
7、重起机器,看看上述的文件是否还存在,不存在就没有问题了。
