FunLove.4099病毒的清除方法
FunLove.4099病毒的清除方法
摘自 www.jiangmin.com.cn
WIN32.FunLove.4099病毒是驻留内存的Win32 病毒,它感染本地和网络中的PE-EXE文件。
病毒本身就是只具有'.code'部分PE格式的可执行文件。
当染毒的文件被运行时,该病毒将在Windows\system目录下创建FLCSS.EXE文件,在其中
只写入纯代码部分,并运行这个生成的文件。
一旦在创建FLCSS.EXE文件的时候发生错误,病毒将从染毒的主机文件中运行传染模块。
该传染模块被作为独立的线程在后台运行,主机程序在执行时几乎没有可察觉的延时。
传染模块将扫描本地从 C: to Z:的所有驱动器,然后搜索网络资源,扫描网络中的子目
录树并感染具有.OCX, .SCR or .EXE扩展名的PE文件。当感染一个文件时,该病毒将其代码
写到文件的尾部并且添加启动程序(8字节长的代码)将控制权传递给病毒体。当被激活,病
毒将首先恢复这8字节的代码然后运行它的主程序。
只有在当前染毒的工作站用户具有对网络资源写访问权利的时候病毒才能感染其中的PE文
件,这样就在相当程
度上限制了病毒的传播。
病毒在感染的时候检查文件名,它不感染以下列4个字母开始的文件:
ALER AMON _AVP AVP3 AVPM F-PR NAVW SCAN SMSS DDHE DPLA MPLA
这个病毒类似Bolzano病毒那样修补NTLDR和WINNT\System32\ntoskrnl.exe
被修补的文件不可以恢复只能通过备份来恢复。该病毒不具有任何有效载体,它包含下
列文本:
"Fun Loving Criminal"
该文字被放置在'This program cannot be run in DOS mode.'的位置。
当病毒“点滴器”从DOS启动时它将输出消息并重启系统。
该病毒重复感染文件,要用软盘引导机器后用KV3000.EXE或KVD3000.EXE多杀几遍。
其步骤如下:
1 使用干净DOS软盘启动机器
2 执行KV3000.EXE, 查杀硬盘
用KVD3000具体清除步骤如下:
1)使用KV3000磁盘中的B盘启动,启动成功后,可以识别光盘驱动器;如果您的硬盘分
两个区(C、D),那么光驱的盘符就是E盘;
2)启动成功后,将用来启动的B盘拿出来,将KV3000的A盘(密钥盘)插入软驱中;
3)将当前盘符更换成光驱的盘符:这里是E盘;如果你的手提电脑只能替换接软驱或光
驱, 请用硬盘引导机器后将KV3000光盘放进光驱, 将KV3000光盘根目录下的KVD3000.EXE;
KV3000A.LIB;KV3000B.LIB;KV3000C.
LIB;KV3000U.LIB拷贝到:C:\KVW3000子目录下, 然后,换上软驱, 将KV3000的A盘(密钥盘)放
进软驱, 再执行C:\KVW3000子目录内的KVD3000即可。
其中KV3000U.LIB是新病毒升级库文件, 可从网站上下载最新的, 下载后覆盖C:\KVW3000
子目录内的旧KV3000U.LIB即可。
4)执行命令:
A>KVD3000 C: /K
该命令可以查杀C盘下的所有文件中的该病毒。
另外,个别病毒感染了文件后是用病毒代码覆盖了文件的一部分,所以在清除病毒以后
文件还是不能用,应再用正常文件覆盖坏文件。
WINDOWS/NT/2000系统的NTFS硬盘分区患有此毒时,处理比较烦琐。因用DOS软盘引导后
不认硬盘分区,所以无法杀毒。在患毒的WINDOWS/NT/2000系统下又杀不干净病毒。
怎么办呢?不管是服务器还是单机的硬盘染此毒了,要想
杀干净病毒,可按如下方法杀毒:
1 找一无毒的并装有WINDOWS/NT/2000系统的机器,将KVW3000按装到硬盘。
2 将患毒的硬盘挂接在无毒的机器上做为副盘。
3 用无毒的主盘引导机器后,调用KVW3000或KVD3000查杀副盘中的病毒。
杀毒方法如上所述。
2001/05/23
摘自 www.jiangmin.com.cn
WIN32.FunLove.4099病毒是驻留内存的Win32 病毒,它感染本地和网络中的PE-EXE文件。
病毒本身就是只具有'.code'部分PE格式的可执行文件。
当染毒的文件被运行时,该病毒将在Windows\system目录下创建FLCSS.EXE文件,在其中
只写入纯代码部分,并运行这个生成的文件。
一旦在创建FLCSS.EXE文件的时候发生错误,病毒将从染毒的主机文件中运行传染模块。
该传染模块被作为独立的线程在后台运行,主机程序在执行时几乎没有可察觉的延时。
传染模块将扫描本地从 C: to Z:的所有驱动器,然后搜索网络资源,扫描网络中的子目
录树并感染具有.OCX, .SCR or .EXE扩展名的PE文件。当感染一个文件时,该病毒将其代码
写到文件的尾部并且添加启动程序(8字节长的代码)将控制权传递给病毒体。当被激活,病
毒将首先恢复这8字节的代码然后运行它的主程序。
只有在当前染毒的工作站用户具有对网络资源写访问权利的时候病毒才能感染其中的PE文
件,这样就在相当程
度上限制了病毒的传播。
病毒在感染的时候检查文件名,它不感染以下列4个字母开始的文件:
ALER AMON _AVP AVP3 AVPM F-PR NAVW SCAN SMSS DDHE DPLA MPLA
这个病毒类似Bolzano病毒那样修补NTLDR和WINNT\System32\ntoskrnl.exe
被修补的文件不可以恢复只能通过备份来恢复。该病毒不具有任何有效载体,它包含下
列文本:
"Fun Loving Criminal"
该文字被放置在'This program cannot be run in DOS mode.'的位置。
当病毒“点滴器”从DOS启动时它将输出消息并重启系统。
该病毒重复感染文件,要用软盘引导机器后用KV3000.EXE或KVD3000.EXE多杀几遍。
其步骤如下:
1 使用干净DOS软盘启动机器
2 执行KV3000.EXE, 查杀硬盘
用KVD3000具体清除步骤如下:
1)使用KV3000磁盘中的B盘启动,启动成功后,可以识别光盘驱动器;如果您的硬盘分
两个区(C、D),那么光驱的盘符就是E盘;
2)启动成功后,将用来启动的B盘拿出来,将KV3000的A盘(密钥盘)插入软驱中;
3)将当前盘符更换成光驱的盘符:这里是E盘;如果你的手提电脑只能替换接软驱或光
驱, 请用硬盘引导机器后将KV3000光盘放进光驱, 将KV3000光盘根目录下的KVD3000.EXE;
KV3000A.LIB;KV3000B.LIB;KV3000C.
LIB;KV3000U.LIB拷贝到:C:\KVW3000子目录下, 然后,换上软驱, 将KV3000的A盘(密钥盘)放
进软驱, 再执行C:\KVW3000子目录内的KVD3000即可。
其中KV3000U.LIB是新病毒升级库文件, 可从网站上下载最新的, 下载后覆盖C:\KVW3000
子目录内的旧KV3000U.LIB即可。
4)执行命令:
A>KVD3000 C: /K
该命令可以查杀C盘下的所有文件中的该病毒。
另外,个别病毒感染了文件后是用病毒代码覆盖了文件的一部分,所以在清除病毒以后
文件还是不能用,应再用正常文件覆盖坏文件。
WINDOWS/NT/2000系统的NTFS硬盘分区患有此毒时,处理比较烦琐。因用DOS软盘引导后
不认硬盘分区,所以无法杀毒。在患毒的WINDOWS/NT/2000系统下又杀不干净病毒。
怎么办呢?不管是服务器还是单机的硬盘染此毒了,要想
杀干净病毒,可按如下方法杀毒:
1 找一无毒的并装有WINDOWS/NT/2000系统的机器,将KVW3000按装到硬盘。
2 将患毒的硬盘挂接在无毒的机器上做为副盘。
3 用无毒的主盘引导机器后,调用KVW3000或KVD3000查杀副盘中的病毒。
杀毒方法如上所述。
2001/05/23
秋风生渭水,落叶满长安。
Funlove还是有几分顽固的,深受其害,痛苦不堪.
【在 three_water (three_water) 的大作中提到:】
<body bgcolor=#cccccc>用金山毒霸不就行了<...
【在 three_water (three_water) 的大作中提到:】
<body bgcolor=#cccccc>用金山毒霸不就行了<...
<marquee width=250 height=20 direction=right behavior=alternate scrollamount=5>轰隆隆</marquee>
funlove还是消灭不掉.每次用瑞星(最新测试版)杀一次都会增长两个,吓得我都不敢检测了.强烈需要强烈杀手!!!!!
【在 kidiom (液压马达) 的大作中提到:】
Funlove还是有几分顽固的,深受其害,痛苦不堪.
【在...
【在 kidiom (液压马达) 的大作中提到:】
Funlove还是有几分顽固的,深受其害,痛苦不堪.
【在...
i love you very much...