史萊姆論壇 - 查看單個文章

psac · 2004-10-11, 04:15 PM

[原創]funny.exe完美卸載方法，無需任何專殺工具
發信站: 日月光華 (2004年10月11日09:10:43 星期一), 站內郵件

歡迎轉貼至任何地方，hoho，保留Lucian大名就行了

在C碟根目錄建立killme.cmd和stop.cmd兩個空文件即可

剛剛找了個樣本來試了一下，建立這兩個文件的同時，Funny停止執行，並自我移除了∼！
跑到註冊表看了看，那個userinit還是沒改回來∼！大家要記得把註冊表的userinit鍵值改回來！

轉載關於..userinit32另一法...

今天早上被這個userinit鬱悶一早上。直到看到這張帖子。
不用我用的解決方法是另一種，沒有使用WINDOWS安裝光碟進入控制台改註冊表：

從區域網路另外的機器用 //你的機器名/admin$ ，並使用你的管理員密碼進入這台機的WINDOWS目錄。
把windows/system32下的userinit.exe複製一個userinit32.exe。
回到這台機，就可以不改註冊表而登入進去了。
這時在熟悉的界面下再修改註冊表，刪掉 windows/system32/userinit32.exe 重新註銷即可。
======================================================

Nsfocus緊急通告

利用MSN Messenger和QQ傳播的蠕蟲「funny」正在流傳

受影響的軟體及系統：
====================
Microsoft Windows 95
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003

綜述：
======
綠盟科技安全小組監測到網際網路上出現了一個利用MSN Messenger和QQ傳播的蠕蟲，目前在國內的傳播面比較大。由於該蠕蟲修改了重要的註冊表鍵值，不恰當地清除蠕蟲可能導致系統無法登入。

分析：
======
該蠕蟲在系統上執行後，會進行以下動作：

1、將自身拷貝為：
%SystemRoot%\rundll32.exe
%SystemRoot%\system32\IEXPLORE.EXE
%SystemRoot%\system32\explorer.exe
%SystemRoot%\system32\userinit32.exe

2、修改註冊表，將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的「Userinit」修改為指向%SystemRoot%\system32\userinit32.exe。在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中增加執行%SystemRoot%\rundll32.exe的項。

3、修改%system32%\drivers\etc\hosts文件，將大量域名指向222.89.98.219，這樣，用戶訪問這些域名的時候，實際訪問的是222.89.98.219。

4、蠕蟲會同時執行自身的多個拷貝，如果其中一個工作被中止，則其餘工作會立即將它再執行。

5、如果系統執行了QQ或者MSN Messenger，蠕蟲會向每一個聯繫人傳送一條消息，包括一句話和一個指向http://www.78p.com/的連接，並試圖將自身以文件「funny.exe」傳輸。

解決方法：
==========
預防：

如果您接收到包含http://www.78p.com/的消息，和funny.exe的文件傳輸請求，請拒絕。

檢查是否被感染：

檢查系統中是否存在文件%SystemRoot%\system32\userinit32.exe，如果存在，則說明可能已經被蠕蟲感染。

清除：

對於Windows 2000/XP，請按照下面步驟進行：

1、在命令提示字元中輸入下列指令，將蠕蟲改名：
ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir
ren %SystemRoot%\system32\explorer.exe explorer.exe.vir
ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir
ren %SystemRoot%\rundll32.exe rundll32.exe.vir

2、修改註冊表，將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的%SystemRoot%\system32\userinit32.exe修改為%SystemRoot%\system32\userinit.exe。

3、重啟系統

4、在命令提示字元中輸入下列指令，移除蠕蟲文件：
del %SystemRoot%\system32\IEXPLORE.EXE.vir
del %SystemRoot%\system32\explorer.exe.vir
del %SystemRoot%\system32\userinit32.exe.vir
del %SystemRoot%\system32\bsfirst2.log
del %SystemRoot%\rundll32.exe.vir

4、修改註冊表，移除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"MMSystem"項。

5、在命令提示字元中輸入下列指令，修復hosts文件：
type %SystemRoot%\system32\drivers\etc\hosts|find /v "222.89.98.219" > hosts.tmp
copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hosts
del hosts.tmp

如果已經不恰當地移除了蠕蟲，並導致系統無法正常登入。請按照如下步驟進行：

1、用Windows 2000（或者Windows XP/2003）安裝光碟啟始系統，在「歡迎使用安裝程序」的界面上按「R」鍵，選項修復。

2、然後按「C」鍵選項使用故障恢復控制台。

3、按鍵輸入一個數位，選項某個Windows 安裝，通常是「1」。然後輸入管理員密碼。

4、進入system32目錄，輸入指令：
del userinit32.exe
copy userinit.exe userinit32.exe

5、重啟系統，將上面介紹的清除蠕蟲的辦法再進去行一遍。

2004-10-11, 04:15 PM	#8 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	[原創]funny.exe完美卸載方法，無需任何專殺工具發信站: 日月光華 (2004年10月11日09:10:43 星期一), 站內郵件歡迎轉貼至任何地方，hoho，保留Lucian大名就行了在C碟根目錄建立killme.cmd和stop.cmd兩個空文件即可剛剛找了個樣本來試了一下，建立這兩個文件的同時，Funny停止執行，並自我移除了∼！跑到註冊表看了看，那個userinit還是沒改回來∼！大家要記得把註冊表的userinit鍵值改回來！轉載關於..userinit32另一法... 今天早上被這個userinit鬱悶一早上。直到看到這張帖子。不用我用的解決方法是另一種，沒有使用WINDOWS安裝光碟進入控制台改註冊表：從區域網路另外的機器用 //你的機器名/admin$ ，並使用你的管理員密碼進入這台機的WINDOWS目錄。把windows/system32下的userinit.exe複製一個userinit32.exe。回到這台機，就可以不改註冊表而登入進去了。這時在熟悉的界面下再修改註冊表，刪掉 windows/system32/userinit32.exe 重新註銷即可。 ====================================================== Nsfocus緊急通告利用MSN Messenger和QQ傳播的蠕蟲「funny」正在流傳受影響的軟體及系統： ==================== Microsoft Windows 95 Microsoft Windows 98 Microsoft Windows ME Microsoft Windows NT 4 Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows 2003 綜述： ====== 綠盟科技安全小組監測到網際網路上出現了一個利用MSN Messenger和QQ傳播的蠕蟲，目前在國內的傳播面比較大。由於該蠕蟲修改了重要的註冊表鍵值，不恰當地清除蠕蟲可能導致系統無法登入。分析： ====== 該蠕蟲在系統上執行後，會進行以下動作： 1、將自身拷貝為： %SystemRoot%\rundll32.exe %SystemRoot%\system32\IEXPLORE.EXE %SystemRoot%\system32\explorer.exe %SystemRoot%\system32\userinit32.exe 2、修改註冊表，將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的「Userinit」修改為指向%SystemRoot%\system32\userinit32.exe。在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中增加執行%SystemRoot%\rundll32.exe的項。 3、修改%system32%\drivers\etc\hosts文件，將大量域名指向222.89.98.219，這樣，用戶訪問這些域名的時候，實際訪問的是222.89.98.219。 4、蠕蟲會同時執行自身的多個拷貝，如果其中一個工作被中止，則其餘工作會立即將它再執行。 5、如果系統執行了QQ或者MSN Messenger，蠕蟲會向每一個聯繫人傳送一條消息，包括一句話和一個指向http://www.78p.com/的連接，並試圖將自身以文件「funny.exe」傳輸。解決方法： ========== 預防：如果您接收到包含http://www.78p.com/的消息，和funny.exe的文件傳輸請求，請拒絕。檢查是否被感染：檢查系統中是否存在文件%SystemRoot%\system32\userinit32.exe，如果存在，則說明可能已經被蠕蟲感染。清除：對於Windows 2000/XP，請按照下面步驟進行： 1、在命令提示字元中輸入下列指令，將蠕蟲改名： ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir ren %SystemRoot%\system32\explorer.exe explorer.exe.vir ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir ren %SystemRoot%\rundll32.exe rundll32.exe.vir 2、修改註冊表，將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的%SystemRoot%\system32\userinit32.exe修改為%SystemRoot%\system32\userinit.exe。 3、重啟系統 4、在命令提示字元中輸入下列指令，移除蠕蟲文件： del %SystemRoot%\system32\IEXPLORE.EXE.vir del %SystemRoot%\system32\explorer.exe.vir del %SystemRoot%\system32\userinit32.exe.vir del %SystemRoot%\system32\bsfirst2.log del %SystemRoot%\rundll32.exe.vir 4、修改註冊表，移除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"MMSystem"項。 5、在命令提示字元中輸入下列指令，修復hosts文件： type %SystemRoot%\system32\drivers\etc\hosts\|find /v "222.89.98.219" > hosts.tmp copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hosts del hosts.tmp 如果已經不恰當地移除了蠕蟲，並導致系統無法正常登入。請按照如下步驟進行： 1、用Windows 2000（或者Windows XP/2003）安裝光碟啟始系統，在「歡迎使用安裝程序」的界面上按「R」鍵，選項修復。 2、然後按「C」鍵選項使用故障恢復控制台。 3、按鍵輸入一個數位，選項某個Windows 安裝，通常是「1」。然後輸入管理員密碼。 4、進入system32目錄，輸入指令： del userinit32.exe copy userinit.exe userinit32.exe 5、重啟系統，將上面介紹的清除蠕蟲的辦法再進去行一遍。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次