一台WINXP的机器，感染了一个MSN传播的病毒，手工清除了病毒文件后，重启，系统每次登录就直接注销，安全模式下也是，最后正确配置也没用。

     原因是MSN FUNNY病毒把正常的userinit.exe给破坏了，并且把注册表里的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的Userinit 键值由C:\WINDOWS\system32\userinit.exe, 改成了C:\WINDOWS\system32\userinit32.exe

     利用MSN Messenger和QQ传播的蠕虫“funny”

受影响的软件及系统：
Microsoft Windows 95
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003

综述：
互联网上出现了一个利用MSN Messenger和QQ传播的蠕虫，目前在国内的传播面比较大。由于该蠕虫修改了重要的注册表键值，不恰当地清除蠕虫可能导致系统无法登陆。

分析：
该蠕虫在系统上运行后，会进行以下动作：

1、将自身拷贝为：
%SystemRoot%\rundll32.exe
%SystemRoot%\system32\IEXPLORE.EXE
%SystemRoot%\system32\explorer.exe
%SystemRoot%\system32\userinit32.exe

2、修改注册表，将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的“Userinit”修改为指向%SystemRoot%\system32\userinit32.exe。
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加运行%SystemRoot%\rundll32.exe的项。

3、修改%system32%\drivers\etc\hosts文件，将大量域名指向222.89.98.219，这样，用户访问这些域名的时候，实际访问的是222.89.98.219。

4、蠕虫会同时运行自身的多个拷贝，如果其中一个进程被中止，则其余进程会立即将它再运行。

5、如果系统运行了QQ或者MSN Messenger，蠕虫会向每一个联系人发送一条消息，包括一句话和一个指向http://www.78p.com/的链接，并试图将自身以文件“funny.exe”传输。


解决方法：
1、预防：   对付病毒，防是首要的，中了之后即使杀了也是对系统有弊无益

如果接收到包含http://www.78p.com/的消息，和funny.exe的文件传输请求，请拒绝。


2、查是否被感染：

检查系统中是否存在文件%SystemRoot%\system32\userinit32.exe，如果存在，则说明可能已经被蠕虫感染。


3、清除：

对于Windows 2000/XP，请按照下面步骤进行：
（WIN03没怎么用过，WIN9X/ME好久没用了，不知道具体怎么操作，尝试手动杀毒的朋友对系统应该比较熟悉，方法是大同小异的）

1、在命令提示符中输入下列命令，将蠕虫改名：
ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir
ren %SystemRoot%\system32\explorer.exe explorer.exe.vir
ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir
ren %SystemRoot%\rundll32.exe rundll32.exe.vir

2、修改注册表，将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的%SystemRoot%\system32\userinit32.exe修改为%SystemRoot%\system32\userinit.exe。

3、重启系统

4、在命令提示符中输入下列命令，删除蠕虫文件：
del %SystemRoot%\system32\IEXPLORE.EXE.vir
del %SystemRoot%\system32\explorer.exe.vir
del %SystemRoot%\system32\userinit32.exe.vir
del %SystemRoot%\system32\bsfirst2.log
del %SystemRoot%\rundll32.exe.vir

4、修改注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"MMSystem"项。

5、在命令提示符中输入下列命令，修复hosts文件：
type %SystemRoot%\system32\drivers\etc\hosts|find /v "222.89.98.219" > hosts.tmp
copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hosts
del hosts.tmp



如果已经不恰当地删除了蠕虫，并导致系统无法正常登陆。请按照如下步骤进行：

1、用Windows 2000（或者Windows XP/2003）安装光盘引导系统，在“欢迎使用安装程序”的界面上按“R”键，选择修复。

2、然后按“C”键选择使用故障恢复控制台。

3、键入一个数字，选择某个Windows 安装，通常是“1”。然后输入管理员密码。

4、进入system32目录，输入命令：
del userinit32.exe
copy userinit.exe userinit32.exe

5、重启系统，将上面介绍的清除蠕虫的办法再进行一遍。