病毒资料:
1.复制自身
%WINDOWS%\rundll32.exe, 56320字节
%SYSTEM%\explorer.exe, 56320字节
%SYSTEM%\iexplore.exe, 56320字节
%SYSTEM%\userinit32.exe, 56320字节
在Windows 98系统下,病毒会替换系统文件Rundll32.exe,可能造成系统不能关机,进而崩溃。
2. 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MMSystem" = %SYSTEM%\mmsystem.dll"", rundll32
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = %SYSTEM%\userinit32.exe,
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MMSystem" = %SYSTEM%\mmsystem.dll"", rundll32
3.在Windows 2000/XP系统下,病毒会修改系统文件HOSTS,屏蔽937个网站,使用户登陆这些网站时会转向www.**78p.com,造成用户无法正常上网浏览。
4.利用MSN、QQ疯狂发送广告信息,诱骗用户登陆www.**78p.com网站。
5.向MSN、QQ好友发送“FUNNY.EXE”文件,传播自身。
处理方法:
Windows 9X操作系统:
此病毒已经破坏了Windows 95/98操作系统的核心文件:rundll32.exe,系统已经无法启动,此时无法通过杀毒软件进行修复,请采用以下步骤进行手工修复:
1.用Windows 98启动软盘或者启动光盘启动电脑。
2.从相同的干净操作系统下拷贝%WINDOWS%\rundll32.exe到软盘上。
3.将软盘上的%WINDOWS%\rundll32.exe拷贝到中毒机器的%WINDOWS%目录下。
4.重新启动进入Windows操作系统。
5.使用瑞星杀毒软件或者专杀工具进行杀毒。
WIN2K/XP操作系统
针对WIN2K/XP的系统若计算机可正常启动但无法登陆且该计算机在局域网中可尝试以下方法:
1:在局域网内的其他计算机上(最好是2K/XP)运行REGEDIT "文件"->"连接网络注册表" 在“输入要选择的对象名称”框中输入已出现问题的计算机的IP或计算机名 点击“确定” 在打开的远程计算机的注册表中找到如下注册表键
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]
查看 “Userinit”项目的注册表键值
正常值为:C:\WINDOWS\system32\userinit.exe,
感染病毒的计算机的键值为:C:\WINDOWS\system32\userinit32.exe 或该项目已经丢失
请按照正确的注册表键值进行修改后重新启动计算机即可正常登陆,正常登陆后请使用专杀工具进行杀毒处理
2:使用98启动盘启动,进入C:\WINDOWS\SYSTEM32\目录,首先查看userinit32.exe文件是否存在,若存在则删除该文件,找到userinit.exe,请复制该文件为userinit32.exe文件后启动感染病毒的计算机
启动后计算机可正常登陆系统,运行注册表编辑器[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]
查看 “Userinit”项目的注册表键值
正常值为:C:\WINDOWS\system32\userinit.exe,
感染病毒的计算机的键值为:C:\WINDOWS\system32\userinit32.exe 或该项目已经丢失
请按照正确的注册表键值进行修改后重新启动计算机即可正常登陆,正常登陆后请使用专杀工具进行杀毒处理