回首頁

今天MSN裡出現病毒---funny.exe,如果有別人給你一個exe文件,千萬別點!!!!!

--------------------------------------------------------------------------------

Q:
今天MSN裡出現病毒,如果有別人給你一個exe文件,千萬別點!!!!!
他的檔名叫funny.exe...
訊息還會附帶一句話,好像是什麼關於《商業現況狀調查》
說什麼「自從你走後,XXX的檢查工作就難做了!」雖說我沒有離開什麼的,莫名其妙,但是是一大朋友們(我好友們)發給我,措辭挺嚴厲的,後面又慇勤的送來一個文件給檢視看,可能不明所以就接受了!
後來一看感覺想想,這個帖子就知道不對徑,趕緊跟我公司友間聯繫談,已驗證是應該是病毒,立刻就下載了Norton最新的病毒資料庫包,昇級了一下,現在沒有什麼症狀不對呀!
QQ能使,MSN照上,還沒有看見異常的地方!
但發覺同樣公司很多人都中了,要小心!!
中招過後了,情形...殺掉工作MSN還會自己啟動∼!
真生氣,才離開一會兒就..........以後離開電腦一定要上密碼∼!!
!也現在QQ不能用..剛剛msn不能用了,登出之後可以使用了,但是這個exe程序不能移除

初步..剛剛用如用...超級兔子看了一下,發現啟動組裡有一個名為MMSystem的一項,應該是有關的

c:\winnt\rundll32.exe "c:\winnt\system32\mmsystem.dll"", RunDll32
自己差點中招:已經另儲存為,然後取消。驚險一下...

同仁描述現象如是使用OS win98中的話...
98都不能啟動了,說缺少PSAPI.DLL,拷過來了也沒有用,那個有解決辦法啊。
收到好友發的funny.exe,開啟後執行出錯,然後就沒有什麼現象了,只覺告訴可能是病毒,開啟工作管理器多了funny.exe這個工作,殺調後查註冊表啟動項,多了mmsystem,目前尚無異常現象
它把剪貼板裡的內容發給全部的聯絡人....還好剪貼板裡沒什麼個人的內容....
移除後, 有的軟體不能正常顯示中文了, 而有的人不能通過msn向我發文件了....不知道還有什麼問題.也不知道它有沒有從我的電腦上偷走什麼... 煩

funny.exe我收到了,msn7直接阻止掉了!
有什麼解決方法嗎?或誰有徹底的解決方法.



A:

檢討會中的原因有2。 1是相信哪個朋友不會傳什麼病毒給我
2是我裝了NORTON和SYGATE 防火牆 。但是不幸的是NORTON 根本沒有反應。 起先以為不是病毒。
後來發現工作中多了兩個
IEXPLORE.EXE 注意O其實是0 零. 然後就刪不掉了, 殺一個工作就自動啟動, explorer.exe
也有兩個. 更可怕的是 到安全模式下依然存在。 而且在系統服務中找不到這個東西,關不掉.

這個東西好像是一個MSN的外掛 HOOK 程序.會自動傳送消息給所有在線的好友,然後視窗
是隱藏的. 應該是利用MSN的安全漏洞. 唉. MS 的東西就是容易被找出後門.目標太大了。
弄的現在MSN 也不正常了。

瑞星說他們可以了
http://it.rising.com.cn/newSite/Cha...0-180517100.htm

自己摸索出臨時的解決方法:

病毒會往x:\winnt\system32\寫2個原本沒有的文件explorer.exe和iexplorer.exe,還有x:\winnt下多出一個rundll32.exe.工作管理器中可以看到有2個explorer.exe,一個winnt 下的,一個是system32下的,當然system32下的就是假的帶毒的.

原版explorer.exe應該是在x:\winnt下的而rundll32.exe是在x:\winnt\system32\下的

解決方法就是到dos下把system32下的explorer.exe和iexplorer.exe還有mmsystem.dll刪掉,然後從x:\winnt複製一個正宗的explorer.exe過來.或者如果一定要在windows操作,是不能直 接移除這幾個文件的,只能通過改名.當然要及時重啟,免得再次產生帶毒文件.

還有記得將msconfig中2條mmsystem項目刪掉應該就可以解決.

雖然按照這樣的方法解決了公司3台機器,但是這樣做肯定有風險,後果自負.

病毒種類: Trojan


ftp://ftp.trendmicro.com.cn/Support/Public/%B2M%ACr%A4u%A8%E3/?用工具/Fix_WORM_FUNNER.A/

具破壞性: 會

別名: MSN-Worm.Funner

可偵測的最新病毒碼: 2.194.00

可偵測的最新掃瞄引擎: 6.810

風險程度: 低度

--------------------------------------------------------------------------------

感染報告: 低度

破壞力: 低度

感染力: 中度



--------------------------------------------------------------------------------

說明:



在執行時,該蠕蟲病毒會在Windows和Windows系統檔案夾中產生多個自身拷貝。病毒會在註冊表中新增自啟動項目,以使自身可在每次系統啟動時執行。在Windows98和ME系統中,病毒還會修改SYSTEM.INI文件。

病毒會利用MSN向用戶的MSN聯繫人傳送自身拷貝。

病毒會修改HOSTS文件。病毒在HOSTS文件中增加特定行,以阻止用戶訪問特定網站。

該病毒可執行在Windows 95, 98, ME, NT, 2000和XP系統中。

解決方案:



重啟進入安全模式


在 Windows 95系統中

重啟機器
在出現 "Starting Windows 95"時按F8
在Windows95啟動功能表中選項安全模式,然後按Enter。
在 Windows 98/ME系統中

重啟機器

按CTRL鍵直至出現Windows 啟動功能表

選項安全模式選項,按Enter。
在Windows NT 系統中(VGA 模式)

點擊開始>設定>控制台。
雙按系統圖示。
點擊啟動/關閉選擇項。
將顯示列表選項設定為10秒,點擊OK儲存更改。
關閉系統然後重啟。
選項啟動功能表中的VGA模式。
注意:要移除啟動列表功能表,將顯示列表值改為0即可。

在Windows2000 系統中

重啟機器

當看到螢幕底部出現啟動Windows橫條時,按F8鍵。

從Windows2000進階選項功能表中,選項安全模式選項,按Enter鍵鍵。
在WindowsXP 系統中

重啟機器

當提示出現時,按F8鍵。
如果Windows XP Professional 啟動時沒有出現按鍵選項操作系統啟動功能表,重啟機器。

在Power-On Self Test (POST)後,按F8。
從Windows進階選項功能表中選項安全模式,按Enter鍵。
移除註冊表中的自啟動項目

從註冊表中移除自動執行項目來阻止惡意程序在啟動時執行。

在Windows 98和ME系統中

開啟註冊表編輯器。點擊開始>執行,輸入REGEDIT,按Enter
在左邊的面板中,雙按:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
在右邊的面板中,找到並移除如下項目:
MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"
(注意: %System%是Windows的系統檔案夾,在Windows 95, 98, 和ME系統中通常是 C:\Windows\System,在WindowsNT和2000系統中是C:\WINNT\System32,在Windows XP系統中是C:\Windows\System32。)
(注意: %Windows% 是Windows資料夾,通常就是C:\Windows或C:\WINNT。)
在左邊的面板中,雙按:
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
在右邊的面板中,找到並移除如下項目:
MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"
關閉註冊表編輯器。
在Windows XP和2000系統中

開啟註冊表編輯器。點擊開始>執行,輸入REGEDIT,按Enter
在左邊的面板中,雙按:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows NT>CurrentVersion>Winlogon
在左邊面板中找到如下項目:
Userinit = "userinit32.exe"
將項目值取代成如下值:
Userinit = "userinit.exe"
關閉註冊表編輯器。
重啟系統進入安全模式。
開啟註冊表編輯器。點擊開始>執行,輸入REGEDIT,按Enter
在左邊的面板中,雙按:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
在右邊的面板中,找到並移除如下項目:
MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"
(注意: %System%是Windows的系統檔案夾,在Windows 95, 98, 和ME系統中通常是 C:\Windows\System,在WindowsNT和2000系統中是C:\WINNT\System32,在Windows XP系統中是C:\Windows\System32。)
(注意: %Windows% 是Windows資料夾,通常就是C:\Windows或C:\WINNT。)
在左邊的面板中,雙按:
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
在右邊的面板中,找到並移除如下項目:
MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"
關閉註冊表編輯器。
移除系統檔案中的自啟動項目

惡意程序有時會修改系統檔案以使自身在Windows啟動時自動執行。在受感染系統安全重啟前必須將這些自啟動項目移除。

在Windows 98和ME系統中

開啟SYSTEM.INI文件。點擊開始>執行,輸入SYSTEM.INI,按Enter。預設的文本編輯器(通常是記事本)會開啟該檔案。
在[boot]節中,找到如下行:
Shell = %System%\explorer.exe
將其取代成:
Shell = explorer.exe
關閉SYSTEM.INI文件,提示儲存時點擊確定。
按重啟按鈕重啟機器。
使用系統碟啟動,然後用未被感染過的RUNDLL32.EXE取代受感染系統中的RUNDLL32.EXE(這是病毒拷貝)。
恢復Windows的HOSTS文件

定位HOSTS文件。
右擊「開始」,點擊尋找或搜尋(這取決於Windows版本)
在名稱輸入項中輸入:
HOSTS
在搜尋下拉列表中選項包含有Windows目錄的驅動器,然後按Enter鍵。
使用記事本編輯HOSTS文件。
移除惡意程序增加的行。
儲存HOSTS文件,關閉記事本。
附加Windows ME/XP清除說明

執行Windows ME和XP的用戶必須禁用系統還原,從而可以對受感染的系統進行全面掃瞄。

執行其他Windows版本的用戶可以不需要處理上面的附加說明。

執行趨勢科技防病毒

使用趨勢科技防病毒產品掃瞄系統並移除所有被檢測為WORM_FUNNER.A的文件。趨勢科技的用戶必須在掃瞄系統之前下載最新病毒碼文件。其他的網際網路用戶可以使用Housecall,這是趨勢科技的免費在線病毒掃瞄。

建議

請不要接收陌生人傳送過來的文件 。

趨勢科技為企業及個人電腦提供best-of-breed 防毒及訊息安全解決方案.

回首頁