“MSN騙子”手動處理方法

病毒資料： 　　1.復制自身 　　%WINDOWS%\rundll32.exe, 56320字節 　 %SYSTEM%\explorer.exe, 56320字節 　　%SYSTEM%\iexplore.exe, 56320字節 　 %SYSTEM%\userinit32.exe, 56320字節 　 在Windows 98系統下，病毒會替換系統文件Rundll32.exe，可能造成系統不能關機，進而崩潰。 　　2. 在注冊表中添加下列啟動項： 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 　　"MMSystem" = %SYSTEM%\mmsystem.dll"", rundll32 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 　　 "Userinit" = %SYSTEM%\userinit32.exe, 　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 　　"MMSystem" = %SYSTEM%\mmsystem.dll"", rundll32 　　3.在Windows 2000/XP系統下，病毒會修改系統文件HOSTS，屏蔽937個網站，使用戶登陸這些網站時會轉向**78p.com，造成用戶無法正常上網浏覽。 　　4．利用MSN、QQ瘋狂發送廣告信息，誘騙用戶登陸**78p.com網站。 　　5．向MSN、QQ好友發送“FUNNY.EXE”文件，傳播自身。 　　 　　處理方法：　　 　　Windows 9X操作系統： 　 此病毒已經破壞了Windows 95/98操作系統的核心文件：rundll32.exe，系統已經無法啟動，此時無法通過殺毒軟件進行修復，請采用以下步驟進行手工修復： 　　1.用Windows 98啟動軟盤或者啟動光盤啟動電腦。 　　2.從相同的干淨操作系統下拷貝%WINDOWS%\rundll32.exe到軟盤上。 　　3.將軟盤上的%WINDOWS%\rundll32.exe拷貝到中毒機器的%WINDOWS%目錄下。 　　4.重新啟動進入Windows操作系統。 　　5.使用瑞星殺毒軟件或者專殺工具進行殺毒。
WIN2K/XP操作系統　　 　　針對WIN2K/XP的系統若計算機可正常啟動但無法登陸且該計算機在局域網中可嘗試以下方法：　 　 1：在局域網內的其他計算機上（最好是2K/XP）運行REGEDIT "文件"－>"連接網絡注冊表" 在“輸入要選擇的對象名稱”框中輸入已出現問題的計算機的IP或計算機名 點擊“確定” 在打開的遠程計算機的注冊表中找到如下注冊表鍵 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]　　 　　查看 “Userinit”項目的注冊表鍵值　　 　　正常值為：C:\WINDOWS\system32\userinit.exe,　　 　 感染病毒的計算機的鍵值為：C:\WINDOWS\system32\userinit32.exe 或該項目已經丟失　 　　請按照正確的注冊表鍵值進行修改後重新啟動計算機即可正常登陸，正常登陸後請使用專殺工具進行殺毒處理　　 　　2:使用98啟動盤啟動，進入C:\WINDOWS\SYSTEM32\目錄，首先查看userinit32.exe文件是否存在，若存在則刪除該文件，找到userinit.exe，請復制該文件為userinit32.exe文件後啟動感染病毒的計算機　　 　　啟動後計算機可正常登陸系統，運行注冊表編輯器[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\] 　　查看 “Userinit”項目的注冊表鍵值　　 　　正常值為：C:\WINDOWS\system32\userinit.exe,　　 　　感染病毒的計算機的鍵值為：C:\WINDOWS\system32\userinit32.exe 或該項目已經丟失　　 　　請按照正確的注冊表鍵值進行修改後重新啟動計算機即可正常登陸，，正常登陸後請使用專殺工具進行殺毒處理