荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (...........), 信区: Virus
标 题: Re: 请问funlove病毒要如何对付呢?
发信站: 荔园晨风BBS站 (Tue Sep 25 12:37:15 2001), 站内信件
[一] 病毒资料
FUNLOVE病毒是一个寄居内存的Win32良性病毒,全名Win32.Funlove.4070,病毒包
含文本串:Fun loving criminal。当该病毒发作时,它的纯病毒代码被写在
WINDOWS的系统目录,命名为flcss.exe,然后该程序被执行。这是一个Win32 PE格
式的可执行程序,在Windows 95/98/Me是一个隐藏的Windows应用程序,在Windows
NT/2000下作为一个服务,通过感染常规程序取得控制权。然后它通过搜索本地驱
动器(C:- Z:)与网络共享资源,感染所有扩展名为.ocx,.scr,.exe的PE文件,
把病毒模块写在感染文件的最后,感染后的文件功能并不受影响。该病毒传染速度
极快,可造成局域网内的相互感染,在发作时进行大量的路径查找和对比,使得系
统可用资源降低。但由于该部分功能作为一个后台线程运行,以至于用户并不感到
太明显的延迟。
[二] AV95III在WINDOWS下可完全查杀该病毒
由于FUNLOVE通过感染常规程序取得控制权,所以使得目前国内外绝大多数杀毒软
件在杀毒时自身也被感染,并且不能完全清除,出现了“杀不尽”的现象。一些杀
毒软件的DOS版可以清除该病毒,但会把文件杀“死”,并且对于Windows
NT/2000的NTFS分区无效,AV95III(http://www.ynxx.com)是目前国内外唯一可
以在Windows 95/98/Me/NT/2000下对该病毒进行彻底查杀的杀毒软件,2000年12月
29日升级(av1229.exe)可以在Windows 95/98下的完全清除该病毒,2001年5月18日
(av5_18.exe,av5_18x.exe)升级增加了Windows Me/NT/2000下完全清除该病毒的
方案。
[三] AV95III 安装和升级方法
一直保持和正版AV95III同步升级,只需下载av5_18.exe升级即可。
如果重装AV95III,建议用av5_18x.exe进行升级。
[四] 清除方法
首先请确保成功升级到AV95III V3.0C[2001-5-18]版 ( 版本号为:3.0C.03.0D.
06.0A ),然后按以下步骤进行杀毒:
1. 禁止一些开机运行的软件,即不要在Windows进入时自动运行其它软件。
(这一点必须要保证),修改方法:
1)、运行regedit,进入HKLMSoftWareMicroSoftWindows下,检查run,runonce,,
runservice等项,把其它软件添加的启动项删除,建议让有经验的人帮助更改,否
则有可能导致系统启动出现异常。
2)、修改win.ini,让run项为空
3)、点“开始”—“程序”—“启动”,删除所有启动项
当然也可借助一些软件把相应启动项去掉(如超级兔子、系统优化大师等)。
2. 运行AV95III,这时它已带毒,不用理会,点系统配置,注意以下几个选项:
1)、扫描所有文件选项取消
2)、扫描包裹文件选项选中
3)、扫描压缩文件选项取消
4)、启动时运行本程序选项取消
5)、声音提示选项取消
3. 开始杀毒 ( 建议先查杀windows、Program Files、my documents这几个常用
文件夹 ),这时AV95III会把内存中的FUNLOVE首先杀掉。
4. 扫描结束后会弹出“启动方案”窗口,建议按默认方案重启。
5. 重启后,系统文件和其它当时正在运行文件已是干净文件,内存也是干净的,
再对整个系统进行杀毒。
6. %windows%system下有文件名为flcss.exe,是funlove病毒的纯病毒代码,
(在没有运行AV95III杀毒前,该文件是无法删除的),用AV95III杀毒结束后,删除
该文件即可。(%windows%是WINDOWS系统的安装目录)
如果是在局域网内,要先采取隔离方式(拨掉网线或取消登录),或者将所有的共
享文件夹取消或设为只读。然后用AV95III V3.0C对各个机器进行彻底的扫描。
[四] 防范措施
系统已完全清除了该病毒,为什么过一段时间又会感染呢?这关键是缺少对该病毒
的防范知识:
1、 对于他人共享文件夹中的可执行程序,如果要使用,建议拷贝到本机先进行病
毒扫描,确信无毒再运行。
2、 如果本机有完全共享的文件夹,对于其中可执行程序,也要先拷到非共享文件
夹中,先进行病毒扫描,确信无毒再运行。
3、 对于压缩包内的程序,也要先用杀毒软件进行扫描,确信无毒,再解开使用,
如果有毒,一定要解开后杀毒。
4、 对于来自于其它软盘,光盘,硬盘等磁盘介质,以用于来自网上(下载或别人
发来的)的可执行程序,也要先进行病毒扫描,确信无毒再运行。
【 在 flyman (i believe i can fly) 的大作中提到: 】
--
Welcome to my ftp://192.168.48.234
好多靓野咖,得闲搵xhjx灌水啦,^_^
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店