funny.exe 木马病毒的手动删除方式

聊天工具病毒的运行机制与删除方法
最新推荐文章于 2008-04-21 10:58:00 发布
原创 最新推荐文章于 2008-04-21 10:58:00 发布 · 1.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c #system #聊天 #工具

该博客介绍了一种能在QQ、MSN等聊天工具上自动发送和传染的病毒。此病毒会启动三个实例相互监测,修改系统注册表实现自动运行。同时详细给出了删除该病毒的方法,包括文件覆盖、在安全模式下删除特定文件、修改注册表等步骤。
 

该病毒运行时,将自动在qq/msn等聊天工具上发送/传染。
它在系统中同时启动三个实例,互为监测,杀掉其中一个进程,另外两个会立刻重新启动它。
并且修改了多处系统注册表,重起仍然会导致自动运行。

删除方法:(以系统目录为c:/winnt为例)

0、先copy c:/winnt/system32/userinit.exe  c:/winnt/system32/userinit32.exe
    进行文件覆盖。(这一步开始没有试过,但做一下没坏处)

1、必须启动到安全模式下,最好是命令行下,但这时病毒可能仍然已经启动了

2、一般在硬盘根目录下,例如c:/ d:/等可能有funny.exe的一份复制,进行删除

3、在c:/winnt/rundll.exe(或rundll32.exe)文件,大小为55K左右,日期是最近几天生成的,
   在c:/winnt/system32/userinit32.exe文件,大小为55K左右,日期是最近几天生成的,
   在c:/winnt/system32/IEXPLORE.EXE (或EXPLORER.EXE)文件,大小为55K左右,日期是最近几天生成的,

4、给这三个文件进行删除。删除不了的话,可以予以改名,最好是在命令行下。先改system32目录下的。
   有的文件删除/改名后,还会再出现,不用管它。多改几次并在进程中杀几次rundll.exe rundll32.exe iexploer.exe explorer.exe,
   多折腾几次,总能改掉/删除的。
  

5、该病毒修改了注册表,如果只删除userinit32.exe,系统将不能登录(够可以的!)
   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
   将值由c:/winnt/system32/userinit.exe 改为了c:/winnt/system32/userinit32.exe(病毒)
   这个键值是系统启动的时候,必定运行的一个程序。
  
   解决方法:
   a 暂时拷贝一份 copy userinit.exe userinit32.exe 或者 b 修改注册表,查找所有userinit项

6、删除注册表中Run项中的mmsystem内容,内容是c:/winnt/rundll.exe mmsystem.dll ....
   位置:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Run/mmsystem
         HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
        

7、重起机器,看看上述的文件是否还存在,不存在就没有问题了。
【高级持续性威胁跟踪】红队视角看Sunburst后门中的TTPs
further_eye的博客
01-04 3139
最近FireEye披露的黑客组织入侵SolarWinds的供应链攻击让安全从业人员印象深刻。一是影响规模大,SolarWinds官方称受影响的客户数量可能有18000家。二是攻击者留下的后门程序-Sunburst,十分隐蔽和具有迷惑性。
funny.exe病毒,让我受骂
快乐天堂
10-14 2754
前天MSN上突然有个网友给我发了一个文件,叫做funny.exe。什么也没想,就下载运行。在屏幕上一阵猛烈的闪烁之后,同事告诉我这是一个病毒。我的MSN上共有联系人80多名。所以上线的朋友都收到了我转发的病毒。于是,过了不久,我上海的同学发了三个短信痛斥我,最后直接打电话兴师问罪。原因是他的机器连系统都进不去了。我无话可说。。。。。。
遭遇Funny病毒
weixin_33762130的博客
10-13 275
       一早朋友打电话说系统登录不了了,每次一登录就直接显示注销,然后又回到了启动界面上。去了一看,确实如此,但是发现这台机器除了不能登录,其它一切正常,包括服务、共享目录都可以正常访问。用另一台机器连上病毒机的服务,启动telnet,然后用telnet登录,发现可以登录成功,dir了一下c盘,至此发现有文件funny.exe存在,可以确定是病毒的问题了。        然后迅速到csdn上...
funny_app.exe
01-09
一款基于electron 的 搞笑的简易app (注:仅限娱乐)
中了MSN FUNNY病毒后,电脑登录时总是注销,无法进入系统的解决办法
tabby的专栏
11-08 4861
一次中了MSN FUNNY病毒,用IceSword工具强力删除病毒体文件后,重新启动电脑。系统出现用户登录窗口后,输入密码,出现了“正在加载个人设置……”提示,且桌面也在眼前闪了一下,不过马上又显示“正在注销……”的提示,随后停在了登录窗口,无论我重试多少次,总是出现两样的问题,就是进入不了系统。本以为在安全模式下可以解决该问题,不过问题依旧。后来在网上查到,是病毒把注册表开机加载项修改了(本
funny-word.exe
09-16
Rust编写的小工具,定时拉取一段有趣的话并推送通知
funny.smart-phone.cn客户端的android源码使用androidstudio开发.rar
07-30
5. 异步处理:使用AsyncTask、Handler、RxJava等方式进行异步操作,以避免阻塞主线程。 在学习过程中,建议按照以下步骤进行: 1. 了解项目结构和主要类的功能。 2. 阅读并理解`MainActivity`的启动逻辑。 3. 分析...
场景照片合成器(Funny Photo Maker) v2.4.8.exe
07-09
Funny Photo Maker是一个免费的英文照片场景合成软件,有点像美图秀秀的一些功能哦,它内置几十种经典场景,将自己的图片合成嵌入进去,达到奇妙有趣的效果,也可以用来恶搞好友的照片哦! 还有面部合成以及照片美化...
R语言-用来存放一些自娱自乐的小项目_R-Small_Projects_for_Funny.zip
09-22
R语言是一种广泛应用于统计分析和数据科学的编程语言,其强大的数据处理能力和丰富的统计分析库使得它在学术研究和数据分析领域得到了广泛应用。R语言不仅适用于数据分析,同样适合于机器学习、图形绘制和报告生成等...
Trojan program Trojan-Downloader.JS.IstBar.ai 病毒样本
weixin_34038652的博客
07-08 246
//detected: Trojan program Trojan-Downloader.JS.IstBar.ai    URL: http://www.ffkan.com/js/newsp2.jsvar paypopupURL = "http://www.m117.cn/?f";var usingActiveX = true;function blockError(){return true;}...
病毒测试包(exe版)
08-09
病毒测试包,用于测试杀毒软件,并没有病毒!
编程必备知识大杂烩
sanshao27的专栏
04-21 4323
 亲手打造一个QQ恶作剧程程序原理:获取系统中的所有进程,并保存在一个数组中,然后在数组中查找含有QQ,oicq,qq,OICQ字样的进程,如果找到就立即杀掉该进程.这样你一运行QQ,QQ进程就会被立即杀掉,也就是说如果该恶作剧程序一直运行你就不能上QQ了.呵呵,这招是不是有点毒啊?好了,现在一步一步的来讲程序的编写过程. 程序原理:获取系统中的所有进程,并保存在一个数组中,然后在数组中查
瑞星发布“MSN骗子”病毒技术分析报告
辰风的专栏--Oracle/ClearCase管理员日记
10-11 1401
      10月10日,瑞星全球反病毒监测网截获了一个传播速度极快的蠕虫病毒,它可以通过QQ和MSN传播,向线上好友发送“FUNNY.EXE”文件,用户点击后就会中毒。病毒会屏蔽937个主流网站,可能造成Win98崩溃。并且,此病毒会利用MSN、QQ等疯狂发送信息,很有可能借以推广某网站。  瑞星反病毒专家提醒说,当用户收到QQ、MSN好友发来的可疑文件时,一定要先用最新版本的杀毒软件进行杀
导入lxml运行文件,报错funny.py
最新发布
09-02
由于没有具体的报错信息,下面列举一些常见的导入 `lxml` 运行 `funny.py` 文件报错的原因及解决方法: ### 1. `lxml` 未安装 如果 `lxml` 库没有安装,Python 解释器在导入时会找不到该模块从而报错。 解决方法:使用 `pip` 安装 `lxml`。 ```bash pip install lxml ``` ### 2. 版本不兼容问题 `lxml` 版本可能与 Python 版本或者其他依赖库不兼容。 解决方法:尝试升级或降级 `lxml` 版本。 升级: ```bash pip install --upgrade lxml ``` 降级:指定特定版本安装 ```bash pip install lxml==<指定版本号> ``` ### 3. 环境问题 可能在虚拟环境中没有正确安装 `lxml`,或者系统中有多个 Python 环境,安装的 `lxml` 不在当前使用的环境中。 解决方法:确保在正确的虚拟环境中安装和运行代码。激活虚拟环境后再安装 `lxml`。 例如,使用 `venv` 创建的虚拟环境: ```bash source <虚拟环境路径>/bin/activate # Linux/Mac <虚拟环境路径>\Scripts\activate # Windows pip install lxml ``` ### 4. 代码中路径问题 如果 `funny.py` 中有相对路径引用,可能会因为当前工作目录的问题导致找不到相关文件。 解决方法:确保 `funny.py` 运行时的工作目录正确,或者使用绝对路径。 ### 5. 代码语法错误 可能 `funny.py` 文件中使用 `lxml` 的代码存在语法错误。 解决方法:仔细检查代码,特别是与 `lxml` 相关的部分,确保语法正确。可以使用代码检查工具如 `pylint` 或 `flake8` 来检查。 ```bash pip install pylint pylint funny.py ``` ### 6. 系统依赖问题 `lxml` 依赖一些系统库,如 `libxml2` 和 `libxslt`,如果这些系统库缺失或版本不兼容,可能会导致安装或导入失败。 解决方法:安装相应的系统依赖。 在 Ubuntu 上: ```bash sudo apt-get install libxml2-dev libxslt1-dev python-dev ``` 在 CentOS 上: ```bash sudo yum install libxml2-devel libxslt-devel python-devel ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值