流行病毒的消除方法

Win32.FunLove.4099
FunLove是一个非破坏性的内存驻留的Win32病毒，它感染本地驱动器和网络驱动器上的PE格式文件，因为有网络传播能力，它以一个感染的工作站为基地，通过对当前用户写授权的网络资源进行传播。虽然FunLove病毒对数据没有直接的破坏性，但也会占用系统资源，降低运行速度。下面介绍手工清除方法：
Windows 9X系统上：
⒈断开网络，备份重要文件；
⒉将病毒生成的FLCSS.exe文件删除；
⒊用启动盘引导系统，在DOS下查找并清除。
Windows 2000/NT系统上：
若Windows 2000/NT系统的NTFS硬盘分区患有此毒，处理比较烦琐。因为使用DOS软盘引导后不认硬盘分区，所以无法杀毒。在患毒的Windows 2000/NT系统下又杀不干净病毒。
推荐消除方法为：
⒈断开网络，备份重要文件将，病毒生成的FLCSS.exe文件删除；
⒉将患毒的硬盘挂接在无毒的机器上作为从盘；
⒊用无毒的主盘引导机器后，查找并清除从盘中的病毒。
 

欢乐时光（Happytime）
“欢乐时光”（Happytime）是一个VB源程序蠕虫。它专门感染.htm、.html、.vbs、.asp和.htt文件。它作为电子邮件的附件，并利用Outlook Express的功能缺陷把自己传播出去。它利用一个被人们所知的Microsoft Outlook Express的安全漏洞，可以在你没有运行任何附件时就运行自己。它利用Outlook Express的信纸功能，使自己复制在信纸的Html模板上，以便传播。这和“Wscript.KakWorm”病毒很相似，当你发信出去时，“欢乐时光”的源病毒隐藏在HTML文件上。只要你在Outlook Express上预览了隐藏有病毒的HTML文件，甚至你都不用打开它，它就能感染你的电脑。
清除“欢乐时光”病毒方法：
⒈在C:WindowsWeb文件夹下，搜索文件和文件夹，名为“*.htt”；
⒉删除找到的文件；
⒊更改注册表，并删除键值： HKEY_CURRENT_USERSoftwareHelpCount HKEY_CURRENT_USERSoftwareHelp
FileName ；
⒋重新启动机器；
⒌升级IE到6.0。
 

I-Worm.BadTrans.II
“I-Worm.BadTrans.II”是一种蠕虫病毒，如果邮件Client程序上没有修补漏洞，只要读邮件，被设置了储藏键盘输入内容的特洛伊木马，就会通过邮件传播。该蠕虫病毒运行时，会将自己拷贝到Windows的System目录下，并命名为KERNEL32.EXE，并将它加到注册表HKLMSOFTWAREMicrosoftWindows
CurrentVersionRunOnce中，使自己能在下次Windows启动时运行。同时还会生成一个dll文件：KDLL.DLL，该文件是储藏输入键盘内容功能的特洛伊木马。
下面介绍手动清除方法：
Windows 9X系统上：
⒈按Alt+Shift+Ctrl 键，结束Kernel32.exe的进程；
⒉在 Windowssystem 下查找Kernel32.exe 、Kdll.dll文件并删除它们；
⒊删除注册表中HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnceKemel32=Kemel32.exe的主键。
Windows 2000/NT系统上：　　
⒈在Windows 2000/NT下结束进程 ；方法：按Alt+Shift+Ctrl 键出现任务管理器窗口，在进程选项中，查找Kernel32.exe文件，选中后结束程序进程；
⒉回到系统目录 WINNT
system32 删除文件Kernel32.exe和KDLL.dll；
（⒊删除注册表中HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnceKemel32=Kemel32.exe的主键；
最后，别忘了升级IE6.0。
 

尼姆达（Nimda）
在手工查杀尼姆达（Nimda）时，需注意不同的平台采取不同的方法。
对于Windows 98用户：
⒈打开进程管理器，查看进程列表，结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程（其中xxx为任意文件名）；
⒉切换到系统的TEMP目录，寻找文件长度为57344的文件，删掉它们；
⒊切换到系统的System目录，寻找大小为57344字节名称为Riched20.DLL的文件并删掉它；
⒋继续在系统的System目录下寻找名称为load.exe，删掉它；
⒌如果遇到Office运行异常，请将Windows 98安装目录下的压缩包内的RICHED20.DLL文件复制到C:windowssystem下，替换掉到原有的RICHED20.DLL文件；
⒍如发现C:盘共享，请打开共享文件夹管理，将共享“C$”去除；
⒎打开System.ini文件，在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”，则改为“shell=explorer.exe”；
⒏升级IE到6.0版本。
对于Windows2000 Professional/Server /Advanced server/ NT4 Server：
⒈首先安装IIS补丁及IE相应的最新补丁； 
⒉将服务器隔离，断开所有网线；          
⒊将IIS服务的Scripts目录中TFTP*.exe和ROOT.exe文件全部移除；
⒋当受到尼姆达病毒的入侵后，系统中会出现一些新的共享，如C、D等，应该将其共享属性去掉；
⒌另外，查看一下administrators组中是否加进了“guest”用户，如果是，请将guest用户从administrators组中删除；