• 当前位置:首页>>编程开发A>>安全防御>>MSN小尾巴病毒分析及清除方案
  • MSN小尾巴病毒分析及清除方案
  •  

    病毒种类:Worm (蠕虫病毒)
     
      具破坏性:会
     
      别名:MSN小丑, I-Worm/MsnFunny, 烦恼, Worm.MSNFunny, MSN小尾巴, MSN-Worm.Funner, MSN骗子, Worm.msn.funny
      说明:

    在运行时,该蠕虫病毒会在Windows和Windows系统文件夹中生成多个自身拷贝。病毒会在注册表中创建自启动项目,以使自身可在每次系统启动时执行。在Windows98和ME系统中,病毒还会修改SYSTEM.INI文件。

      病毒会利用MSN向用户的MSN联系人发送自身拷贝。

      病毒会修改HOSTS文件。病毒在HOSTS文件中添加特定行,以阻止用户访问特定网站。

      该病毒可运行在Windows 95, 98, ME, NT, 2000和XP系统中。

      解决方案:

      自动清除方法

      下载专杀工具,并在下载后解压缩到任意目录,执行其中的tsc.exe进行自动清除。

      手工清除方法

      一、重启进入安全模式:

      Windows 98/ME系统:

      重启机器

      按CTRL键直至出现Windows 启动菜单

      选择安全模式选项,按Enter。

      Windows NT 系统(VGA 模式)

      点击开始>设置>控制面板。
      双击系统图标。
      点击启动/关闭选项卡。
      将显示列表选项设置为10秒,点击OK保存更改。
      关闭系统然后重启。
      选择启动菜单中的VGA模式。
      注意:要删除启动列表菜单,将显示列表值改为0即可。

      Windows2000 系统

      重启机器

      当看到屏幕底部出现启动Windows横条时,按F8键。

      从Windows2000高级选项菜单中,选择安全模式选项,按回车键。

      WindowsXP 系统

      重启机器

      当提示出现时,按F8键。
      如果Windows XP Professional 启动时没有出现按键选择操作系统启动菜单,重启机器。

      在Power-On Self Test (POST)后,按F8。
      从Windows高级选项菜单中选择安全模式,按回车。

      二、删除注册表中的自启动项目

      从注册表中删除自动运行项目来阻止恶意程序在启动时执行。

      Windows 98和ME系统

      打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter

      在左边的面板中,双击:

      HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

      在右边的面板中,找到并删除如下项目:

      MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"

      (注意: %System%是Windows的系统文件夹,在Windows 95, 98, 和ME系统中通常是C:\Windows\System,在WindowsNT和2000系统中是C:\WINNT\System32,在Windows XP系统中是C:\Windows\System32。
       %Windows% 是Windows文件夹,通常就是C:\Windows或C:\WINNT。

    在左边的面板中,双击:


      HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

      在右边的面板中,找到并删除如下项目:

      MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"

      关闭注册表编辑器。

      Windows XP和2000系统

      打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter

      在左边的面板中,双击:

      HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion>Winlogon

      在左边面板中找到如下项目:
      Userinit = "userinit32.exe"
      将项目值替换成如下值:
      Userinit = "userinit.exe"
      关闭注册表编辑器。

      重启系统进入安全模式。

      打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter
      在左边的面板中,双击:

      HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

      在右边的面板中,找到并删除如下项目:

      MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"

      在左边的面板中,双击:

      HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

      在右边的面板中,找到并删除如下项目:

      MMSystem = "%\Windows%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"

      关闭注册表编辑器。

      三、删除系统文件中的自启动项目

      恶意程序有时会修改系统文件以使自身在Windows启动时自动运行。在受感染系统安全重启前必须将这些自启动项目删除。

      Windows 98和ME系统

      打开SYSTEM.INI文件。点击开始>运行,输入SYSTEM.INI,按Enter。默认的文本编辑器(通常是记事本)会打开该文件。

      在[boot]节中,找到如下行:

      Shell = %System%\explorer.exe

      将其替换成:

      Shell = explorer.exe

      关闭SYSTEM.INI文件,提示保存时点击确定。
      按重启按钮重启机器。
      使用系统盘启动,然后用未被感染过的RUNDLL32.EXE替换受感染系统中的RUNDLL32.EXE(这是病毒拷贝)。

      四、恢复Windows的HOSTS文件

      定位HOSTS文件。

      右击“开始”,点击查找或搜索(这取决于Windows版本)
      在名称输入框中输入:
      HOSTS
      在搜索下拉列表中选择包含有Windows目录的驱动器,然后按回车。
      使用记事本编辑HOSTS文件。
      删除恶意程序添加的行。
      保存HOSTS文件,关闭记事本。

      建议

      请不要接收陌生人发送过来的文件 。

  • 上一篇:网络安全防护:黑客营传奇故事三 - QQ下的阴谋
    下一篇:五个反弹后门的源代码