病毒种类: Trojan
具破坏性: 会
别名: MSN-Worm.Funner
可侦测的最新病毒码: 2.194.00
可侦测的最新扫描引擎: 6.810
风险程度: 低度
感染报告: 低度
破坏力: 低度
感染力: 中度
说明:
在运行时,该蠕虫病毒会在Windows和Windows系统文件夹中生成多个自身拷贝。病毒会在注册表中创建自启动项目,以使自身可在每次系统启动时执行。在Windows98和ME系统中,病毒还会修改SYSTEM.INI文件。
病毒会利用MSN向用户的MSN联系人发送自身拷贝。
病毒会修改HOSTS文件。病毒在HOSTS文件中添加特定行,以阻止用户访问特定网站。
该病毒可运行在Windows 95, 98, ME, NT, 2000和XP系统中。
解决方案:
重启进入安全模式
在 Windows 95系统中
重启机器 在出现 "Starting Windows 95"时按F8 在Windows95启动菜单中选择安全模式,然后按Enter。
在 Windows 98/ME系统中
重启机器
按CTRL键直至出现Windows 启动菜单
选择安全模式选项,按Enter。
在Windows NT 系统中(VGA 模式)
点击开始>设置>控制面板。
双击系统图标。
点击启动/关闭选项卡。
将显示列表选项设置为10秒,点击OK保存更改。
关闭系统然后重启。
选择启动菜单中的VGA模式。
注意:要删除启动列表菜单,将显示列表值改为0即可。
在Windows2000 系统中
重启机器
当看到屏幕底部出现启动Windows横条时,按F8键。
从Windows2000高级选项菜单中,选择安全模式选项,按回车键。
在WindowsXP 系统中
重启机器
当提示出现时,按F8键。
如果Windows XP Professional 启动时没有出现按键选择操作系统启动菜单,重启机器。
在Power-On Self Test (POST)后,按F8。
从Windows高级选项菜单中选择安全模式,按回车。
删除注册表中的自启动项目
从注册表中删除自动运行项目来阻止恶意程序在启动时执行。
在Windows 98和ME系统中
打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter
在左边的面板中,双击:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
在右边的面板中,找到并删除如下项目:
MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"
(注意: %System%是Windows的系统文件夹,在Windows 95, 98, 和ME系统中通常是 C:\Windows\System,在WindowsNT和2000系统中是C:\WINNT\System32,在Windows XP系统中是C:\Windows\System32。)
(注意: %Windows% 是Windows文件夹,通常就是C:\Windows或C:\WINNT。)
在左边的面板中,双击:HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
在右边的面板中,找到并删除如下项目:MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"
关闭注册表编辑器。
在Windows XP和2000系统中
打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter
在左边的面板中,双击:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion>Winlogon
在左边面板中找到如下项目:
Userinit = "userinit32.exe"
将项目值替换成如下值:
Userinit = "userinit.exe"
关闭注册表编辑器。
重启系统进入安全模式。
打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter
在左边的面板中,双击:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
在右边的面板中,找到并删除如下项目:
MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"
(注意: %System%是Windows的系统文件夹,在Windows 95, 98, 和ME系统中通常是 C:\Windows\System,在WindowsNT和2000系统中是C:\WINNT\System32,在Windows XP系统中是C:\Windows\System32。)
(注意: %Windows% 是Windows文件夹,通常就是C:\Windows或C:\WINNT。)
在左边的面板中,双击:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
在右边的面板中,找到并删除如下项目:
MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"
关闭注册表编辑器。
删除系统文件中的自启动项目
恶意程序有时会修改系统文件以使自身在Windows启动时自动运行。在受感染系统安全重启前必须将这些自启动项目删除。
在Windows 98和ME系统中
打开SYSTEM.INI文件。点击开始>运行,输入SYSTEM.INI,按Enter。默认的文本编辑器(通常是记事本)会打开该文件。
在[boot]节中,找到如下行:Shell = %System%\explorer.exe
将其替换成:Shell = explorer.exe
关闭SYSTEM.INI文件,提示保存时点击确定。
按重启按钮重启机器。
使用系统盘启动,然后用未被感染过的RUNDLL32.EXE替换受感染系统中的RUNDLL32.EXE(这是病毒拷贝)。
恢复Windows的HOSTS文件
1.定位HOSTS文件。
右击“开始”,点击查找或搜索(这取决于Windows版本)
在名称输入框中输入:HOSTS
在搜索下拉列表中选择包含有Windows目录的驱动器,然后按回车。
2.使用记事本编辑HOSTS文件。
3.删除恶意程序添加的行。
4.保存HOSTS文件,关闭记事本。
附加Windows ME/XP清除说明
运行Windows ME和XP的用户必须禁用系统还原,从而可以对受感染的系统进行全面扫描。
运行其他Windows版本的用户可以不需要处理上面的附加说明。
运行趋势科技防病毒
使用趋势科技防病毒产品扫描系统并删除所有被检测为WORM_FUNNER.A的文件。趋势科技的用户必须在扫描系统之前下载最新病毒码文件(http://www.trendmicro.com/download/pattern.asp)。其他的互联网用户可以使用Housecall,这是趋势科技的免费在线病毒扫描(http://housecall.trendmicro.com/housecall/start_corp.asp)。
建议
请不要接收陌生人发送过来的文件 。
来源:趋势科技网站
【
