Funlove病毒的病毒简介
Step I:
如果你的系统是98 95 :
DOS, Windows 95/98/98SE/ME(FAT16/32格式分区)环境下:
一、更新你手头上的杀毒软件或者下载专门的杀毒程序:
1、更新杀毒软件请参见有关说明文件,我这里就不赘述了。
2、下载fixfun.exe,这是Symantec出的一个专门清除funlove病毒小工具
以上任意一个即可,下载后保存到一张空白的软盘上。上述下载和保存过程一定要
在一台确认是无毒的计算机上进行,确保程序本身不会被染毒!
二、去掉网络共享,重新启动计算机:
1、如果你现正运行在Windows环境中,首先查看一下本机有没有设置共享的目录或
共享分区,如果有则取消共享(按鼠标右键点击共享的目录或共享的分区,选择“共享(
H)...”,在弹出的对话框中选择“不共享”,然后按“确定”退出);
2、点击左下角的“开始”菜单,选择“关闭系统”,然后选择“重新启动计算机”
。
三、开启电脑进入纯DOS环境。
开机启动电脑时,拔出软驱中的软盘和拿出光驱中的光盘,按住Ctrl键或在出现"S
t
art Windows98..."时按F8键(如果装了WinNT/2000和Windows9x双系统,在选择Window
s
98系统之后立刻按住Ctrl键或按F8键),然后选择“Command Prompt Only”。
四、删除flcss.exe:(该文件不一定存在,同时假设你的Windows操作系统安装在C
:\Windows目录下)
1、在C盘目录下进入C:\Windows\System,格式如下:
C:\>cd windows\system
2、查找是否有flcss.exe这个文件,运行命令如下:
C:\WINDOWS\SYSTEM>dir flcss.exe
和
C:\WINDOWS\SYSTEM>dir/h flcss.exe
3、如果存在flcss.exe,则需要删除它,运行命令如下:
C:\WINDOWS\SYSTEM>attrib flcss.exe -r -h -s
然后
C:\WINDOWS\SYSTEM>del flcss.exe
五、运行杀病毒程序清除病毒(注:在DOS环境下无法查到压缩文件中的病毒)。运
行您手头上杀毒软件for DOS版程序进行查杀(有关命令格式请参见各自说明文件,注意
要检查所有的文件!),或者运行fixfun.exe进行杀毒:
1、插入保存有fixfun.exe的软盘。
2、转换盘符到A盘,命令格式如下:
C:\>a:
3、运行fixfun.exe进行杀毒:
Step II:
如果你的系统是NT 2k:
Windows NT/2000(NTFS格式分区)环境下:
一、下载在NT/2000环境下专门清除funlove病毒的工具
下载scanfunlove.exe,这是国内创源公司出的一个专门在NT/2000环境下清除funlo
ve病毒小工具,下载地址如下:
以上任意一个即可,下载后保存到一张空白的软盘上。上述下载和保存过程一定要
在一台确认是无毒的计算机上进行,确保程序本身不会被染毒!
二、去掉网络共享,重新启动计算机:
1、如果你现正运行在Windows环境中,首先查看一下本机有没有设置共享的目录或
共享分区,如果有则取消共享(按鼠标右键点击共享的目录或共享的分区,选择“共享(
H)...”,在弹出的对话框中选择“不共享”,然后按“确定”退出);
2、点击左下角的“开始”菜单,选择“关闭系统”,然后选择“重新启动计算机”
。
三、在WinNT/2000环境下清除funlove病毒
(1)目标系统正常引导至NT系统中,用'Administrator'登录,注意,一定要用有
管理员权限的帐号登录!
(2)将含有SCANFUNLOVE.EXE文件的软盘写保护,插入目标系统的软驱中。
(3)运行软盘上的SCANFUNLOVE.EXE文件。
(4)确定系统中没有其它应用程序在运行,点击'Do it!'按钮。
(5)在程序窗口中会出现相应的检测结果,系统有没有被感染,内存中有无激活的
病毒体,是否杀除等信息均有指示。
(6)如果内存发现活动的病毒体并且无法清除时,会提示您重新启动系统,而后立
即再次运行SCANFUNLOVE,重复前面的操作,即可杀除内存中的病毒体。
(7)内存病毒清除后,会卸载名为FLC的服务,然后对NTLDR和NTOSKRNL.EXE两个系
统文件重新打补丁。
(8)SCANFUNLOVE会提醒您将要进行整个文件系统的病毒扫描,要注意这个扫描过
程可能很长,在此过程中不能启动任何其它程序,以防病毒重新被激活。
(9)扫描过程序中对清除病毒、需要重启动才能清除病毒的文件会给出提示,扫描
结束会给出扫描中清除的病毒数量及需重新启才能杀毒的文件数量。
(10)提示重新启动系统以完成系统的修复。
(11)安装最新版的VRV2000 for NT升级文件。(此次升级的方式为安装最新版软
件即可)。
注:当用户在执行第(6)步重新启动系统后立即执行SCANFUNLOVE后发现仍然提醒用
户重新启动系统,如果用户在此步骤上发现循环让用户重新启动达3次以上时,请用户确
认用户的软盘上的文件是否也已经感染了FUNLOVE病毒。
如果是感染了该病毒,请用户重新制作一张软盘并保证该软盘没有病毒并且写保护
它!再重新按照以上步骤执行!
四、复检
在WinNT/2000环境下再次运行scanfunlove.exe,对内存及全盘进行检查,确认病毒
已经被完全清除!
这里给出一些关于FUNLOVE的资料,供大家参考,这里给出的资料是以PE_FUNLOVE.4099为基础的,不过现在FUNLOVE病毒已经出现了很多变种,大家如果手头有反病毒软件的话,赶快到各自厂商那里去升级。
这个病毒不算太新,我记得它是99年的圣诞节前被发现的,危险性不高,但是很烦人,一旦被感染,你会发现你的机器反应极其迟钝,随便点一下鼠标可能都需要挺长时间,你要是想在网上干点什么那就更迟钝得厉害了,除此之外,这个病毒比较善于在局域网内传播,只要其中有一台机器被感染,那其它机器也基本上都好不了!还这种病毒比较顽固,经常是杀不干净,所以要想彻底把它干掉,那还得了解一下它到底是怎么一回事。
PE_FUNLOVE.409病毒,也叫W32/FUNLOVE或FUNLOVE.4099,属文件型病毒,感染Windows 9x 和 Windows NT 4.0平台的.EXE、.SCR和 .OCX等 Win32 PE文件。
透过病毒的名字,我们可以看出这个病毒的一些基本特征,PE是Portable Execute的缩写 (与Native Execute的NE相对照),它表明这个病毒类型是32位寻址的线性增强模型保护模式文件(其实这一句不懂也罢,用不着深究,PE现在没有特别明确的中文说法,大家都直接叫PE,硬要翻译过来,反倒看不懂了),下划线是分隔符,后面的“FUNLOVE”是这个病毒名字的第二部分,也是这个病毒的真实名字,这个名字代表了FUNLOVE病毒这个家族,而这个家族里还有其它变种,其它变种由后面的部分,也就是病毒名字的第三部分来区分,这个病毒名字的第三部分是“.4099”,这部分表征着病毒的属性,即:这个病毒代码大小为4099字节。
病毒被执行后会在C:\WINDOWS; C:\WINDOWS\SYSTEM等系统目录下添加一个名字叫作FLCSS.EXE的文件,而且在感染过程中还会把FLCSS.EXE文件“粘”在被感染文件的尾部,这样,被感染的文件会因为多出来的病毒体而增加4,099字节。病毒还会修改宿主文件的入口,一旦执行的话,程序就会直接跳转到FLCSS.EXE的入口,而不是原程序所应有的入口了。
FUNLOVE病毒还感染系统文件,Windows 加载的时候会执行EXPLORER.EXE和其它系统文件,如果EXPLORER.EXE在内存中的话,每次重新启动机器的时候病毒都会被再次执行,所以在windows下很难把病毒杀干净,开机肯定还有。如果你是先感染病毒然后才装杀毒软件的话,那么连杀毒软件也会被感染,想把它干掉着实得费点功夫才行。此外,这个病毒会在网络里传播,它会搜索网络中有读写权限的共享文件进行感染,现在,你终于知道为什么你的局域网里一台机器也好不了吧?
在NT环境下,病毒会通过修改根目录下的NTLDR文件来应付NTOSKRNL的校验, 还可以通过修改\WINNT\SYSTEM32 目录下的NTOSKRNL文件,来对付读写权限的校验,然后对系统文件进行感染。
解决办法:
去这里: http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_FUNLOVE.4099
下载一个小软件试试,这是专门针对PE_FUNLOVE.4099而做的工具,主要用来清理被
funlove感染过的系统文件,可以在win9x 和Windows NT下运行。
对于Windows 9x它可以清除内存中的病毒并删除系统文件里的病毒文件,对于Windows NT它将进行如下操作将系统情理干净:
1、删除PE_FUNLOVE.4099在注册文件中的病毒入口
2、停止PE_FUNLOVE.4099在内存中的运行
3、停止病毒调用的系统服务,并将在系统重新启动时删除调用系统服务的入口。
4、删除系统目录中的病毒文件
5、保护系统不被病毒感染,防止病毒扩散
6、恢复被病毒破坏的NTLDR、 NTOSKRNL.EXE文件
这个工具在Windows NT下运行需要SHLWAPI.DLL和PSAPI.DLL文件,运行时请确保“Winnt\system32” 目录下含有这两个文件。这个工具已经在Win95、Win98 SE、WinNT 4.0(US、Korean、Japanese、Chinese)、WinNT 3.51(US)平台中测试过,大家可以放心使用。
工具的使用比较简单,在一个干净的机器里下载Fix_Flc.Exe,存到干净的软盘里,关上写保护(千万别忘了),在被病毒感染的机器上运行这张软盘里的程序,它会去掉系统文件和内存里的病毒程序,并清理你的系统。
重新启动机器,关掉所有Explorer窗口,进入DOS,用命令行的方式重新杀毒,当然你得有一个DOS版的杀毒软件(或者是你当初安装杀毒软件时制作的应急盘),不过目前某些厂商的DOS版杀毒软件不带引导功能(有的话当然省事了),你得自力更生找一个干净的启动盘先引导(针对非NT系统而言),再用DOS版杀毒软件杀毒就行了。
杀毒时一般很简单,你会看到软盘里有一个“.exe”的文件,一般运行这个文件就行了(在提示符后面照着文件名敲一遍)
或者自己在dos下杀毒!!
在DOS下杀毒
如果你不会DOS,用了很久的kv还没有看到过它的DOS杀毒界面,那么下面的文字可以帮上你的忙,学会DOS杀毒,这只要三分钟的时间,就这么简单!
简单概念:DOS,DISK OPERATE SYSTEM的缩写,全名叫磁盘操作系统。
第一步:进得去出得来
进入DOS:有两个办法:1.点【开始】、【关闭系统】、选【重新启动系统并切换到MS-DOS方式】2.启动计算机的时候按住Ctrl键不放,等选择界面出来后,按键盘上的上下方向键,选Command Prompt only,回车。说明:如果你用的是win2000和win xp,要先进入win98才行。
最好的办法,就是在系统干净的时候,做一张DOS启动盘,用它启动系统,可以保证你杀毒的完美效果!也就是说,利用硬盘启动的时候,切入DOS操作系统(比上面:等选择界面出来后,按键盘上的上下方向键,选Command Prompt only,回车。)要有效地多!
退出DOS:刚才我们进入了DOS,你看到的可能是c:\WINDOWS> ,它的意思是你现在的位置在c盘的WINDOWS目录下(如果你用上面第二个方法进入dos,你看到的会是c:\>),现在在它后面紧跟着输入个命令win,系统就会退出DOS返回到你熟悉的windows界面。注意,当你输入了win后可能看到电脑没什么反应,不用着急,电脑没坏,保持耐心多等等就行了。win这个命令很好记,win就是windows是缩写。
到此你已经会进入和退出DOS了,心里有底了,恭喜!你已经成功了50%!
第二步:在dos下调出kv的dos杀毒程序进行杀毒
1.在windows下,找到你kv的dos杀毒程序的位置,它在你kv杀毒软件的安装目录下,kv2005dos杀毒程序的文件名叫KVDOS.exe,我们每个人安装kv的位置不一样,默认在安装在c盘,自定义安装位置每人装的不一样,比如说我安装在G盘,那么KVDOS.exe的位置就是G:\KV2005\KVDOS.exe,现在拿笔记下这个位置。
2.用上面说的办法进入DOS,在光标提示符号下输入刚才记下的位置,回车,你会看到dos在加载kv的dos杀毒程序,几秒钟之内你就可以进入kv的dos杀毒界面,选择要杀毒的盘或要杀毒的文件夹、文件就可以开始杀毒了。dos下杀毒可以把毒杀得更彻底,恭喜你,现在可以在dos下杀毒了!
病毒中有'~Fun Loving Criminal~'字样。 该病毒没有故意的破坏性,但是由于NT系统安全性很差而可能造成的破坏还是应当引起注意的。
同一个简单的添加一样,Win32/Funlove.4099将它的代码复制到宿主文件的最后一个扇区的结尾,然后,它修改PE文件头信息以显示新的扇区大小,使扇区的特征适应病毒的需要,同时病毒修改原文件入口点的程序代码以便执行病毒代码。
当一个染毒程序被运行,病毒代码程序获得系统控制权,Win32/Funlove.4099病毒在系统目录下创建FLCSS.EXE文件,并从染毒宿主文件的最后提取出病毒代码,将其写入该文件中,然后FLCSS.EXE被执行。
如果是在NT的许可权限下运行,FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以FLC显示在标准的NT服务列表中,并且被设置为在每次启动时自动运行此服务。在Windows 9X下,它像一个隐含程序一样运行,在任务列表中是不可见的。
在病毒程序第一次运行时,该病毒会按照一定的时间间隔,周期性地检测每一个驱动器上的EXE,SCR(屏保程序)和OCX(ActiveX control)文件,找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源,并感染任何有访问权限的同一类型的文件。因此,它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们:ALER*, AMON*, _AVP*, AVP3*, AVPM*, FPR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
尽管该病毒对数据没有直接的破坏性,但是在NT下,Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改(patch),使得文件的许可请求总是返回允许访问(access allowed),这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上,所有的用户都拥有了对每一个文件的完全控制访问权,即使是在系统中可能拥有最低权限的GUEST,也能读取或修改所有文件,包括通常只有管理员才能访问的文件。在NT启动时,NTLDR将检测NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包(service packs)中起作用,但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后,需要用备份文件对这些被修改的文件进行恢复,或者重新安装这些文件。
如果FLCSS.EXE 运行在DOS下,病毒将显示'~Fun Loving Criminal~'字串,然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败,而计算机则被锁。
释供戈那: FunLove是驻留内存的Win32 病毒,它感染本地和网络中的PE EXE文件.当染毒的文件被运行时,该病毒将在Windows system目录下创建FLCSS.EXE文件,在其中只写入纯代码部分,并运行这个生成的文件.这个文件就变成病毒“点滴器”(...
拉萨市19736361581: 如何彻底杀掉"Win32.Funlove"病毒? - ?
释供戈那: 既然你提到重装系统,那么建议你如下操作: 1.将硬盘上所有分区都删除然后全部格式化一次;(新硬盘就不用这样,直接分区就可以了) 安装的系统最好选择Windows XP sp2版以上,安装时最好将磁盘格式为NTFS格式,因为它在安全性的...
拉萨市19736361581: 电脑病毒的名称大全及解决方法 - ?
释供戈那: 病毒不好说,太多了 木马,英文Trojan horse,带有Trojan的基本就是木马了.机器最好使用杀毒+杀马软件 目前用过的 杀毒软件:小红伞f版【免费】 卡巴斯基 大蜘蛛 avst 推荐小红伞 如果英文还可以的话.杀马软件:windows清理助手 超级巡警 木马克星 强烈推荐助手 杀马不是盖得!漏洞补丁:360安全卫士 卡巴2010套装 鲁大师等
拉萨市19736361581: 如何彻底删掉这个病毒trojan.dl.agent.apb? - ?
释供戈那: Funlove病毒简介 这是WIN32类型的病毒,它可以感染Windows 9x 和Windows NT 4.0操作系统.它感染所有WIN32类型的文件(PE文件),如Windows 和 Program Files 目录及其子目录中的扩展名为.EXE, .SCR, and .OCX 的文件.该病毒搜索...
拉萨市19736361581: FLCSS.EXE是什么文件? - ?
释供戈那: FUNLOVE(Win32.funlove)病毒档案 警惕程度:发作时间:随机病毒类型:系统病毒传播途径:系统文件 依赖系统: WINDOWS 9x/2000/XP病毒介绍:FunLove是驻留内存的Win32 病毒...
拉萨市19736361581: explorer.pif是什么病毒 - ?
释供戈那: 病毒名称:汉城(Worm.Winevar) 危险指数:★★★★ 病毒类型:蠕虫病毒 感染对象:网络/邮件 病毒介绍: 汉城(Worm.Winevar)是一种智能型病毒,具有智能反跟踪技术,并携带FUNLOVE病毒. 此病毒可以在Windows 2000、Windows XP等操...
拉萨市19736361581: explorer.pif - ?
释供戈那: 先还原C盘,,,不要打开任何除了系统盘,去天空下载一个叫windows顽固文件强行删除的东西,(诺顿会报毒)进入运行CMD 在D盘盘符下输入:attrib explorer.pif -s -h 然后马上运行强行删除文件的软件把D盘的explorer.pif的文件删掉删完不...
拉萨市19736361581: 急求清除w32.funlove.4299的杀毒软件,谢谢! - ?
释供戈那: 病毒分类 WINDOWS 病毒名称 PE_FUNLOVE.4099 别 名 W32/FUNLOVE 病毒长度 4099字节 危害程度 重 传播途径 可执行文件 传播程度 广 感 染 文件 病毒发作 瑞 星 版 本 号11.36 这是WIN32类型的病毒,是w32.funlove.4099的升级变种,它...
拉萨市19736361581: 空间打不开 怎么办 - ?
释供戈那: 现在很多人经常会遇到QQ空间打不开的情况,当然解决方法并不是绝对的,QQ空间打不开的情况有很多种,关于打不开QQ空间主要有以下九种解决方法,能够解决目前绝大部分打不开QQ空间的问题,可以根据你的情况,选用以下其中一种或...
拉萨市19736361581: 开机直接提示让按F11选择进入系统或者进入一键还原,5秒倒计时 - ?
释供戈那: 重新安装一键还原软件,开机按f11键进入一键还原软件,选择卸载.调整分区之间的空间,用分区大师可以动态调整硬盘各个分区的容量.
