|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2004-10-10, 09:29 PM | #1 |
榮譽會員
|
今天MSN裡出現病毒,如果有別人給你一個exe文件,千萬別點!!!!!
Q:
今天MSN裡出現病毒,如果有別人給你一個exe文件,千萬別點!!!!! 他的檔名叫funny.exe... 訊息還會附帶一句話,好像是什麼關於《商業現況狀調查》 說什麼「自從你走後,XXX的檢查工作就難做了!」雖說我沒有離開什麼的,莫名其妙,但是是一大朋友們(我好友們)發給我,措辭挺嚴厲的,後面又慇勤的送來一個文件給檢視看,可能不明所以就接受了! 後來一看感覺想想,這個帖子就知道不對徑,趕緊跟我公司友間聯繫談,已驗證是應該是病毒,立刻就下載了Norton最新的病毒資料庫包,昇級了一下,現在沒有什麼症狀不對呀! QQ能使,MSN照上,還沒有看見異常的地方! 但發覺同樣公司很多人都中了,要小心!! 中招過後了,情形...殺掉工作MSN還會自己啟動∼! 真生氣,才離開一會兒就..........以後離開電腦一定要上密碼∼!! !也現在QQ不能用..剛剛msn不能用了,登出之後可以使用了,但是這個exe程序不能移除 初步..剛剛用如用...超級兔子看了一下,發現啟動組裡有一個名為MMSystem的一項,應該是有關的 c:\winnt\rundll32.exe "c:\winnt\system32\mmsystem.dll"", RunDll32 自己差點中招:已經另儲存為,然後取消。驚險一下... 同仁描述現象如是使用OS win98中的話... 98都不能啟動了,說缺少PSAPI.DLL,拷過來了也沒有用,那個有解決辦法啊。 收到好友發的funny.exe,開啟後執行出錯,然後就沒有什麼現象了,只覺告訴可能是病毒,開啟工作管理器多了funny.exe這個工作,殺調後查註冊表啟動項,多了mmsystem,目前尚無異常現象 它把剪貼板裡的內容發給全部的聯絡人....還好剪貼板裡沒什麼個人的內容.... 移除後, 有的軟體不能正常顯示中文了, 而有的人不能通過msn向我發文件了....不知道還有什麼問題.也不知道它有沒有從我的電腦上偷走什麼... 煩 funny.exe我收到了,msn7直接阻止掉了! 有什麼解決方法嗎?或誰有徹底的解決方法. A: 檢討會中的原因有2。 1是相信哪個朋友不會傳什麼病毒給我 2是我裝了NORTON和SYGATE 防火牆 。但是不幸的是NORTON 根本沒有反應。 起先以為不是病毒。 後來發現工作中多了兩個 IEXPLORE.EXE 注意O其實是0 零. 然後就刪不掉了, 殺一個工作就自動啟動, explorer.exe 也有兩個. 更可怕的是 到安全模式下依然存在。 而且在系統服務中找不到這個東西,關不掉. 這個東西好像是一個MSN的外掛 HOOK 程序.會自動傳送消息給所有在線的好友,然後視窗 是隱藏的. 應該是利用MSN的安全漏洞. 唉. MS 的東西就是容易被找出後門.目標太大了。 弄的現在MSN 也不正常了。 瑞星說他們可以了 http://it.rising.com.cn/newSite/Chan...-180517100.htm 自己摸索出臨時的解決方法: 病毒會往x:\winnt\system32\寫2個原本沒有的文件explorer.exe和iexplorer.exe,還有x:\winnt下多出一個rundll32.exe.工作管理器中可以看到有2個explorer.exe,一個winnt 下的,一個是system32下的,當然system32下的就是假的帶毒的. 原版explorer.exe應該是在x:\winnt下的而rundll32.exe是在x:\winnt\system32\下的 解決方法就是到dos下把system32下的explorer.exe和iexplorer.exe還有mmsystem.dll刪掉,然後從x:\winnt複製一個正宗的explorer.exe過來.或者如果一定要在windows操作,是不能直 接移除這幾個文件的,只能通過改名.當然要及時重啟,免得再次產生帶毒文件. 還有記得將msconfig中2條mmsystem項目刪掉應該就可以解決. 雖然按照這樣的方法解決了公司3台機器,但是這樣做肯定有風險,後果自負. |
送花文章: 3,
|
2004-10-11, 10:52 AM | #6 (permalink) |
榮譽會員
|
Q:
慎用瑞星and毒霸的MSN專殺工具 AVP已經可殺 -------------------------------------------------------------------------------- 昨天同事中有三位中了MSN的FUNNY.exe病毒,早上三位用瑞星的專殺工具殺病毒,專殺工 具移除了三個文件(同事說的),重新啟動後,在登入進入的時候不斷要求輸入密碼,循環輸入就 是不能進入系統,請各位使用的時候注意。 P.S:AVP已經可以查殺MSN病毒了,病毒名為「MSN-Worm.Funner」 載入的是增強病毒庫,相信普通病毒庫也可以查殺了! 瑞星好像把windows\explorer.exe給刪了,現在進入系統到登入視窗就返回,就是出不來桌面,安全模式和遠端登入都不行 ..... 救命啊!!! A: 用瑞星專殺MSN病毒工具殺毒後無法進入系統的解決方法 出現這種情況是瑞星對病毒行為分析的不夠透徹所致,漏掉了很重要的一點: 病毒修改了這個鍵值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 正常的值應該是像這樣的: C:\WINDOWS\system32\userinit.exe, 病毒修改成了userinit32.exe 我未中此毒,故推測是瑞星專殺工具將userinit32.exe移除導致登入後立刻註銷的情況出現 解決方法: 用Windows的安裝光碟啟動電腦,進故障恢復控制台,將userinit.exe複製一份命名為userinit32.exe,重啟能正常進系統後再修改此鍵為正常值 有關故障恢復台的安裝使用,請見微軟的KB: Windows 2000: http://support.microsoft.com/default...b;zh-cn;318752 Windows XP: http://support.microsoft.com/default...b;zh-cn;307654 |
送花文章: 3,
|
2004-10-11, 10:55 AM | #7 (permalink) |
榮譽會員
|
按照趨勢的
http://www.trendmicro.com/vinfo/zh-c...=WORM_FUNNER.A -------------------------------------------------------------------------------- 病毒種類: Trojan 具破壞性: 會 別名: MSN-Worm.Funner 可偵測的最新病毒碼: 2.194.00 可偵測的最新掃瞄引擎: 6.810 風險程度: 低度 -------------------------------------------------------------------------------- 感染報告: 低度 破壞力: 低度 感染力: 中度 -------------------------------------------------------------------------------- 說明: 在執行時,該蠕蟲病毒會在Windows和Windows系統檔案夾中產生多個自身拷貝。病毒會在註冊表中新增自啟動項目,以使自身可在每次系統啟動時執行。在Windows98和ME系統中,病毒還會修改SYSTEM.INI文件。 病毒會利用MSN向用戶的MSN聯繫人傳送自身拷貝。 病毒會修改HOSTS文件。病毒在HOSTS文件中增加特定行,以阻止用戶訪問特定網站。 該病毒可執行在Windows 95, 98, ME, NT, 2000和XP系統中。 解決方案: 重啟進入安全模式 在 Windows 95系統中 重啟機器 在出現 "Starting Windows 95"時按F8 在Windows95啟動功能表中選項安全模式,然後按Enter。 在 Windows 98/ME系統中 重啟機器 按CTRL鍵直至出現Windows 啟動功能表 選項安全模式選項,按Enter。 在Windows NT 系統中(VGA 模式) 點擊開始>設定>控制台。 雙按系統圖示。 點擊啟動/關閉選擇項。 將顯示列表選項設定為10秒,點擊OK儲存更改。 關閉系統然後重啟。 選項啟動功能表中的VGA模式。 注意:要移除啟動列表功能表,將顯示列表值改為0即可。 在Windows2000 系統中 重啟機器 當看到螢幕底部出現啟動Windows橫條時,按F8鍵。 從Windows2000進階選項功能表中,選項安全模式選項,按Enter鍵鍵。 在WindowsXP 系統中 重啟機器 當提示出現時,按F8鍵。 如果Windows XP Professional 啟動時沒有出現按鍵選項操作系統啟動功能表,重啟機器。 在Power-On Self Test (POST)後,按F8。 從Windows進階選項功能表中選項安全模式,按Enter鍵。 移除註冊表中的自啟動項目 從註冊表中移除自動執行項目來阻止惡意程序在啟動時執行。 在Windows 98和ME系統中 開啟註冊表編輯器。點擊開始>執行,輸入REGEDIT,按Enter 在左邊的面板中,雙按: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run 在右邊的面板中,找到並移除如下項目: MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32" (注意: %System%是Windows的系統檔案夾,在Windows 95, 98, 和ME系統中通常是 C:\Windows\System,在WindowsNT和2000系統中是C:\WINNT\System32,在Windows XP系統中是C:\Windows\System32。) (注意: %Windows% 是Windows資料夾,通常就是C:\Windows或C:\WINNT。) 在左邊的面板中,雙按: HKEY_CURRENT_USER>Software>Microsoft> Windows>CurrentVersion>Run 在右邊的面板中,找到並移除如下項目: MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32" 關閉註冊表編輯器。 在Windows XP和2000系統中 開啟註冊表編輯器。點擊開始>執行,輸入REGEDIT,按Enter 在左邊的面板中,雙按: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows NT>CurrentVersion>Winlogon 在左邊面板中找到如下項目: Userinit = "userinit32.exe" 將項目值取代成如下值: Userinit = "userinit.exe" 關閉註冊表編輯器。 重啟系統進入安全模式。 開啟註冊表編輯器。點擊開始>執行,輸入REGEDIT,按Enter 在左邊的面板中,雙按: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run 在右邊的面板中,找到並移除如下項目: MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32" (注意: %System%是Windows的系統檔案夾,在Windows 95, 98, 和ME系統中通常是 C:\Windows\System,在WindowsNT和2000系統中是C:\WINNT\System32,在Windows XP系統中是C:\Windows\System32。) (注意: %Windows% 是Windows資料夾,通常就是C:\Windows或C:\WINNT。) 在左邊的面板中,雙按: HKEY_CURRENT_USER>Software>Microsoft> Windows>CurrentVersion>Run 在右邊的面板中,找到並移除如下項目: MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32" 關閉註冊表編輯器。 移除系統檔案中的自啟動項目 惡意程序有時會修改系統檔案以使自身在Windows啟動時自動執行。在受感染系統安全重啟前必須將這些自啟動項目移除。 在Windows 98和ME系統中 開啟SYSTEM.INI文件。點擊開始>執行,輸入SYSTEM.INI,按Enter。預設的文本編輯器(通常是記事本)會開啟該檔案。 在[boot]節中,找到如下行: Shell = %System%\explorer.exe 將其取代成: Shell = explorer.exe 關閉SYSTEM.INI文件,提示儲存時點擊確定。 按重啟按鈕重啟機器。 使用系統碟啟動,然後用未被感染過的RUNDLL32.EXE取代受感染系統中的RUNDLL32.EXE(這是病毒拷貝)。 恢復Windows的HOSTS文件 定位HOSTS文件。 右擊「開始」,點擊尋找或搜尋(這取決於Windows版本) 在名稱輸入項中輸入: HOSTS 在搜尋下拉列表中選項包含有Windows目錄的驅動器,然後按Enter鍵。 使用記事本編輯HOSTS文件。 移除惡意程序增加的行。 儲存HOSTS文件,關閉記事本。 附加Windows ME/XP清除說明 執行Windows ME和XP的用戶必須禁用系統還原,從而可以對受感染的系統進行全面掃瞄。 執行其他Windows版本的用戶可以不需要處理上面的附加說明。 執行趨勢科技防病毒 使用趨勢科技防病毒產品掃瞄系統並移除所有被檢測為WORM_FUNNER.A的文件。趨勢科技的用戶必須在掃瞄系統之前下載最新病毒碼文件。其他的網際網路用戶可以使用Housecall,這是趨勢科技的免費在線病毒掃瞄。 建議 請不要接收陌生人傳送過來的文件 。 趨勢科技為企業及個人電腦提供best-of-breed 防毒及訊息安全解決方案. |
送花文章: 3,
|
2004-10-11, 04:15 PM | #8 (permalink) |
榮譽會員
|
[原創]funny.exe完美卸載方法,無需任何專殺工具
發信站: 日月光華 (2004年10月11日09:10:43 星期一), 站內郵件 歡迎轉貼至任何地方,hoho,保留Lucian大名就行了 在C碟根目錄建立killme.cmd和stop.cmd兩個空文件即可 剛剛找了個樣本來試了一下,建立這兩個文件的同時,Funny停止執行,並自我移除了∼! 跑到註冊表看了看,那個userinit還是沒改回來∼!大家要記得把註冊表的userinit鍵值改回來! 轉載關於..userinit32另一法... 今天早上被這個userinit鬱悶一早上。直到看到這張帖子。 不用我用的解決方法是另一種,沒有使用WINDOWS安裝光碟進入控制台改註冊表: 從區域網路另外的機器用 //你的機器名/admin$ ,並使用你的管理員密碼進入這台機的WINDOWS目錄。 把windows/system32下的userinit.exe複製一個userinit32.exe。 回到這台機,就可以不改註冊表而登入進去了。 這時在熟悉的界面下再修改註冊表,刪掉 windows/system32/userinit32.exe 重新註銷即可。 ====================================================== Nsfocus緊急通告 利用MSN Messenger和QQ傳播的蠕蟲「funny」正在流傳 受影響的軟體及系統: ==================== Microsoft Windows 95 Microsoft Windows 98 Microsoft Windows ME Microsoft Windows NT 4 Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows 2003 綜述: ====== 綠盟科技安全小組監測到網際網路上出現了一個利用MSN Messenger和QQ傳播的蠕蟲,目前在國內的傳播面比較大。由於該蠕蟲修改了重要的註冊表鍵值,不恰當地清除蠕蟲可能導致系統無法登入。 分析: ====== 該蠕蟲在系統上執行後,會進行以下動作: 1、將自身拷貝為: %SystemRoot%\rundll32.exe %SystemRoot%\system32\IEXPLORE.EXE %SystemRoot%\system32\explorer.exe %SystemRoot%\system32\userinit32.exe 2、修改註冊表,將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的「Userinit」修改為指向%SystemRoot%\system32\userinit32.exe。在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中增加執行%SystemRoot%\rundll32.exe的項。 3、修改%system32%\drivers\etc\hosts文件,將大量域名指向222.89.98.219,這樣,用戶訪問這些域名的時候,實際訪問的是222.89.98.219。 4、蠕蟲會同時執行自身的多個拷貝,如果其中一個工作被中止,則其餘工作會立即將它再執行。 5、如果系統執行了QQ或者MSN Messenger,蠕蟲會向每一個聯繫人傳送一條消息,包括一句話和一個指向http://www.78p.com/的連接,並試圖將自身以文件「funny.exe」傳輸。 解決方法: ========== 預防: 如果您接收到包含http://www.78p.com/的消息,和funny.exe的文件傳輸請求,請拒絕。 檢查是否被感染: 檢查系統中是否存在文件%SystemRoot%\system32\userinit32.exe,如果存在,則說明可能已經被蠕蟲感染。 清除: 對於Windows 2000/XP,請按照下面步驟進行: 1、在命令提示字元中輸入下列指令,將蠕蟲改名: ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir ren %SystemRoot%\system32\explorer.exe explorer.exe.vir ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir ren %SystemRoot%\rundll32.exe rundll32.exe.vir 2、修改註冊表,將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的%SystemRoot%\system32\userinit32.exe修改為%SystemRoot%\system32\userinit.exe。 3、重啟系統 4、在命令提示字元中輸入下列指令,移除蠕蟲文件: del %SystemRoot%\system32\IEXPLORE.EXE.vir del %SystemRoot%\system32\explorer.exe.vir del %SystemRoot%\system32\userinit32.exe.vir del %SystemRoot%\system32\bsfirst2.log del %SystemRoot%\rundll32.exe.vir 4、修改註冊表,移除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"MMSystem"項。 5、在命令提示字元中輸入下列指令,修復hosts文件: type %SystemRoot%\system32\drivers\etc\hosts|find /v "222.89.98.219" > hosts.tmp copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hosts del hosts.tmp 如果已經不恰當地移除了蠕蟲,並導致系統無法正常登入。請按照如下步驟進行: 1、用Windows 2000(或者Windows XP/2003)安裝光碟啟始系統,在「歡迎使用安裝程序」的界面上按「R」鍵,選項修復。 2、然後按「C」鍵選項使用故障恢復控制台。 3、按鍵輸入一個數位,選項某個Windows 安裝,通常是「1」。然後輸入管理員密碼。 4、進入system32目錄,輸入指令: del userinit32.exe copy userinit.exe userinit32.exe 5、重啟系統,將上面介紹的清除蠕蟲的辦法再進去行一遍。 |
送花文章: 3,
|
2004-10-11, 05:32 PM | #9 (permalink) |
榮譽會員
|
symantec官方網站上很早就有病毒分析報告了
W32.HLLW.Kickin.D@mm 這個是列印版的 http://securityresponse.symantec.com...ckin.d@mm.html 病毒報告:MSN騙子(Worm.MSN.funny) http://it.rising.com.cn/newSite/Chan...-213317103.htm funny.exe的訊息: File Version Information : Version language : English (United States) CompanyName : Tastysoft SD ProductName : bsVirus FileVersion : 3.00.0023 ProductVersion : 3.00.0023 InternalName : explorer OriginalFilename : explorer.exe MSN收到附件時,會使用用戶自己定義的殺毒程序進行掃瞄 KAV5.0 156 這個是VPC裡的,電腦上的3。5沒反應,看來要昇級了 病毒改了註冊表Winlogon的鍵值! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit那一項原來正常的是C:\WINNT\system32\userinit.exe,丫改成了 C:\WINNT\system32\userinit32.exe, 瑞星的工具也沒把註冊表改回來,重啟後就........... 現在已經搞定了,用DOS啟動碟啟動,然後把 userinit.exe 改名為userinit32.exe,成功進入桌面,然後到註冊表把上面的鍵值和檔案名改回來即可∼! 各種方法......................... 如圖設定 工具>選項>訊息>檔案傳輸 選擇掃毒程式進行掃描 ,打句取... 1. 但現在殺毒程序很多,大家來說說各自使用殺毒軟體的主程序吧 Mcafee 的話,可能是這個 Program Files\Network Associates\VirusScan\scan32.exe 2. 空白,人工智慧基本上不接受.. 3. 空白...防火牆阻止.譬如:ZA的 im行動通信控制PORT(MSN .YAHOO. aol) 4. Rtvscan.exe NAV CE應該是這個吧 5. C:\Program Files\Norton AntiVirus\NAVW32.exe 6. 是NAVW32.exe?我的norton裝上後,msn預設的病毒掃瞄程序是C:\Program Files\Norton AntiVirus\ccIMScan.exe norton antivirus 2004中文版 7. Avp32.exe AVP 4.5.0.58的 |
送花文章: 3,
|