funny exe 木馬病毒的手動刪除方式

2021-03-31 08:56:30 字數 1337 閱讀 1920

刪除方法:(以系統目錄為c:/winnt為例)

0、先copy c:/winnt/system32/userinit.exe  c:/winnt/system32/userinit32.exe

進行檔案覆蓋。(這一步開始沒有試過,但做一下沒壞處)

1、必須啟動到安全模式下,最好是命令列下,但這時病毒可能仍然已經啟動了

2、一般在硬碟根目錄下,例如c:/ d:/等可能有funny.exe的乙份複製,進行刪除

3、在c:/winnt/rundll32.exe檔案,大小為55k左右,日期是最近幾天生成的,

在c:/winnt/system32/userinit32.exe檔案,大小為55k左右,日期是最近幾天生成的,

在c:/winnt/system32/iexplore.exe 、explorer.exe檔案,大小為55k左右,日期是最近幾天生成的,

4、給這幾個檔案進行刪除,刪除不了的話,可以予以改名,最好是在命令列下改名,先改system32目錄下的iexplore.exe 、explorer.exe檔名,再修改winnt下的rundll32.exe,userinit32.exe用copy userinit.exe userinit32.exe方式覆蓋。 有時檔案刪除/改名後,還會再出現,不用管它。多改幾次並在程序中殺幾次rundll32.exe iexploer.exe explorer.exe,多做幾次總能改掉/刪除的。

5、注意:該病毒修改了登錄檔,如果只簡單刪除userinit32.exe,系統將不能登入!   hkey_local_machine/software/microsoft/windows nt/currentversion/winlogon/userinit

病毒將值由c:/winnt/system32/userinit.exe 改為了c:/winnt/system32/userinit32.exe

這個鍵值是系統啟動的時候,必定執行的乙個程式。

解決方法:

a、如果是在控制台下,可以暫時拷貝乙份 copy userinit.exe userinit32.exe

b、如果在視窗環境下可以修改登錄檔,查詢所有userinit32.exe項,改為userinit.exe

6、  刪除登錄檔中run項中的mmsystem內容,內容是c:/winnt/rundll.exe mmsystem.dll ....

位置:hkey_local_machine/software/microsoft/windows nt/currentversion/run/mmsystem

hkey_current_user/software/microsoft/windows/currentversion/run

7、重起機器,看看上述的檔案是否還存在,不存在就沒有問題了。

木馬病毒分析考試

木馬病毒分析考試 1 以下病毒中不屬於引導型病毒的是?c a 病毒 b 小球 病毒 c 衝擊波 病毒 d wyx病毒 2 cih 1.3病毒的發作時間是?d a 4月26日 b 6月26日 c 月份 日期 13 d 每月的26日 3 mbr的作用是?c a 負責從活動分割槽中裝載並執行系統引導程式 ...

防範「ARP欺騙」木馬病毒

關於防範 arp欺騙 木馬病毒的新通知 2006 08 14 11 08 11 近期,出現一種新版的 arp欺騙 木馬病毒在網際網路上迅速擴散,我校校園網內使用者及家屬區使用者均有計算機感染了此病毒,表現為使用者頻繁斷網 ie 瀏覽器頻繁出錯以及一些常用軟體出現故障等問題。目前,已知傳奇遊戲的 傳奇...

MSSQL注入木馬病毒網上橫行!

昨日朋友一 感染病毒,導致 打不開 資料庫顯示混亂。防毒軟體報毒和 癱瘓。後來發現是資料庫多個表中都注入了一段指令碼。真是害人啊!通過分析該段指令碼在資料庫多個表,是nchar型別喜歡注入。而且往往都是mssql資料庫的 據觀察,該病毒於2008年12月24日下午 平安夜前夕 開始在網上傳播,在25...