查杀可恶的“蠕虫”病毒

金钱猫  Wuhanman 
2001年 33期

　　现在假设你收到一封新邮件，信的标题表明这是一位林小姐的简历。可你并不认识她，但有一点可以肯定：E-mail的附件里有一个文件名为Resume.doc的Word文档。那么，看一眼这个附件应该不会有问题吧？请再仔细想一想。打开一封来自未知地址的E-mail，尤其是同时带有附件的，这相当于小孩子从陌生人手中拿糖果一样危险。如果你轻易打开那个Resume.doc，可能会将蠕虫病毒带到你的计算机中。病毒程序会获取你的数据，并对系统造成破坏。如果你使用Outlook收发E-mail，含有蠕虫病毒的文件会被发往通讯簿中的每一个E-mail信箱，以至于病毒给你带来的悲哀同样会波及到你的朋友、家庭成员、同事或者你的客户。
　　　　这一切听起来是那么的可怕，然而很有可能这些正发生在你的身上。怎么办？远离互联网当然不是办法，了解病毒的相关知识，然后对症下药，这才是我们最终的解决办法!
　　　　蠕虫是一种病毒程序，它利用Unix系统中电子邮件的脆弱性，首次于1988年11月2日进入美国最大的计算机网络Inter-net，并在网中不断地自我复制，一夜之间给广大的计算机用户造成了巨大的损失。这种病毒主攻击小型机，其自我复制能力力很强，并主要通过自我复制来对计算机系统进行攻击，其传染途径主要是计算机网络。
　　#1　　【QAZ】
　　　　某日上网，发现浏览器下载特别慢。没办法的情况下，下网后重新连接，打开IE浏览器，无论敲入什么网址都没反应，按“Ctrl+Alt+Del”键查看运行任务，发现IE没有响应，重新打开IE，情况依旧，只好把IE结束。
　　　　接着再按“Ctrl+Alt+Del”键，看看还有什么程序没有响应，赫然发现运行了Notepad任务。我根本就没有运行过记事本程序，还是结束任务吧，记事本程序也没有响应。突然灵光一闪，想起前几天看到一条黑客病毒的警报，该不会“中招”了吧？立刻单击“开始”→“查找”→“文件或文件夹”，输入“Note.com”，果然Windows目录下发现此文件。
　　#2　　【解决方法】
　　　　①开机后立即按“Ctrl+Alt+Del”键，检查是否有Notepad程序在运行。
　　　　②单击“开始”→“查找”检查是否有Note.com文件。如果有应删除“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVision\Run”的“StartIE=XXXX\Notepad.exe”键值，其中“XXXX”一般为Windows（即QAZ蠕虫程序所在的目录）。然后结束进程中的“Notepad”任务，最后到QAZ相应的目录中删掉Notepad.exe文件。
　　　　③用杀毒软件，将病毒码更新后扫描所有硬盘。
　　#2　　【注意】
　　　　QAZ还带来了一些麻烦。随便双击一个文本文件，发现Windows打不开文本文件。再用资源管理器找到Notepad程序，打开“属性”，发现Notepad的扩展名是.COM。利用启动盘进入Dos状态，执行“Rename notepad.com notepad.exe”命令。返回Windows，可随意打开文本文件了。但现在依然存在问题，仔细看看，notepad.exe图标是Dos程序的，而不是Notepad自身的图标。单击“开始”→“设置”→“任务栏和开始菜单”→“开始菜单程序”→“删除”，找到Notepad，删除后单击“关闭”按钮，再单击“添加”→“浏览”，找到Windows目录下的Notepad程序，把它添加到“开始”菜单中，绿色的记事本图标又回到开始菜单了。
　　　　蠕虫病毒有许多，危害各有不同。参见2001年《电脑报》27期、31期相继介绍的Happytime（欢乐时光）和W32.Sircam（齿轮先生）。目前互联网上最活跃的应该算是红色代码家族，而在局域网中则首推是Funlove。还是让我们来好好瞧瞧这两个可恶病毒的常用伎俩吧。
　　#1　　【红色代码】
　　#2　　一、认识篇──红色代码，来势汹汹
　　　　1.黑影初现
　　　　2001年6月18日，微软公司宣布在该公司的IIS（Internet信息服务器）软件中发现一个漏洞，而有近600万网站的使用该软件。仅仅一个月，一种专门利用该漏洞进行传染的新型病毒产生了。7月16日，多名精英编程者开始分析这个病毒的代码。他们熬夜工作，消耗了数打“红色代码（CodeRed B）”牌的高咖啡因软饮料以支撑工作，这个病毒因此得名为“红色代码”。
　　　　“红色代码”利用微软网络服务器软件（IIS）的一个漏洞来入侵计算机，发送邮件时，会出现一个空白的页面，上面写着“Hacked by Chinese！”。“红色代码”感染所有的IIS主机，但只修改英文网页。来自趋势全球病毒网的数据称它已感染了全球数十万台计算机。到8月1日，肆虐全球互联网的“红色代码”病毒估计已经让整个互联网损失了12亿美元。其中包括用于清除、监控和检查系统中“红色代码”蠕虫病毒的开销。
　　　　2.魔王再世
　　　　2001年8月7日，据公安部门计算机病毒防治产品检测中心报告，我国的一些单位、部门的计算机系统也感染了“红色代码”病毒。“红色代码”不是只感染英文的计算机系统吗？原来，这是由原病毒变异而成的新病毒！它被称为“红色代码Ⅱ（CodeRed B）”。“红色代码Ⅱ”比“红色代码”病毒有更强的感染力和破坏力。甚至能让被感染的计算机受到黑客的远程控制。公安部门已就此发出紧急通告。提醒大家注意防范。
　　　　3.三代同堂
　　　　当“红色代码Ⅰ”、“红色代码Ⅱ”父子还国外互联网肆虐的时候，被称为“红色代码Ⅲ（CodeRed C）”的最新变异版本又出现在人们眼前。原“红色代码”病毒造成的后果是引发对白宫网络服务器的DOS（拒绝服务）攻击，而“红色代码Ⅲ”会造成全然不同的后果──允许黑客拥有远程访问Web服务器的完全权限。专家认为“红色代码Ⅲ”具有很高的危险性。
　　“红色代码”家族的危害在于它们可怕的传染性。假如一台上网的服务器被病毒感染，在很短的时间里，该病毒会传染到局域网内所有能感染的机器，并且每天还在不停地复制中。其结果就是造成网络堵塞。不但损害了公司的利益，也让个人用户受到了伤害。同时对于“红色代码Ⅱ”和“红色代码Ⅲ”来说，感染了它们也就等于被种上了木马程序，因此所有的WinNT和Win2000用户都有可能遭到黑客的攻击！
　　　　让互联网损失惨重的“红色代码”终于登陆中国了。是否我们真的就束手无策了吗？别急，让笔者一步步教你如何破解。
　　#2　　二、分析篇──剥茧抽丝，原来如此
　　　　1.“红色代码”攻击方式分析
　　　　“红色代码”实际上是一个蠕虫病毒。它利用了安装有IIS的Web服务器的.IDA 缓冲区溢出漏洞进行感染并传播。该漏洞只有在IIS主机安装有索引服务的时候才会有效。 如果它感染了一个主机，将会在受影响机器上作如下活动：
　　　　1）建立初始蠕虫环境。
　　　　2）建立100个蠕虫线程。
　　　　3）前99个线程会传染其它主机。
　　    4）第100个线程会检查自身是否运行于一个英文版本的 WinNT/2000。
　　　　如果是，它将会替换该主机页面为：“Welcome to http://www.worm.com!， Hacked By Chinese!”该信息会在10小时后自动消失，除非再次受到感染。
　　　　打个比方说，“红色代码”就像感冒病毒一样，它潜伏在已经被感染的计算机上，利用网络这个感染途径（感冒则是利用唾沫、灰尘），继续感染其他的计算机。其他的计算机之所以会被感染，是因为“免疫力下降”（有了漏洞）的原因。
　　　　“红色代码”有两个发作日期，如果电脑系统日期为20日之后，病毒会自动执行，对目标网站发动攻击；当电脑系统日期小于20日，病毒会任意产生网络地址，自我散播及复制自己。
　　　　2.“红色代码Ⅱ”攻击方式分析
　　　　与“红色代码”相比，“红色代码Ⅱ”并不是一个简单的变种，由于能够在计算机上自动安装木马程序，因此该病毒变得极为危险。它的攻击过程如下：
　　　　1）“红色代码Ⅱ”同样通过IIS主机的缓冲区溢出的漏洞感染计算机。之后该病毒判断当前操作系统是否为中文。如果是中文操作系统，“红色代码”会潜伏两天，而非中文操作系统测潜伏一天。接下来该病毒开始“繁殖”，复制自己的线程──根据系统语言有所不同。非中文系统为300条线程，而中文系统竟有600条！最后，“红色代码Ⅱ”会在系统中安装一个特洛伊木马程序（explore.exe）。
　　　　2）被“红色代码Ⅱ”感染的主机会自动与某些IP地址（由病毒自动生成）的主机建立联系，一旦成功就会感染对方，从而恶性循环下去。
　　　　3）该病毒会有计划地把cmd.exe 以root.exe的名字复制到msadc 和scripts 目录下，更名后的root.exe成为了一个可怕的后门。并且将名为explore.exe的木马拷贝到本地的驱动器“c:\”和“d:\”。该木马会把“c:”\和“d:\”变成IIS的虚拟目录，以上两点就已经是非常可怕的后门。
　　　　打个比方说，“红色代码Ⅱ”就像更厉害的感冒病毒，不但可以让计算机“伤风咳嗽”，不及时治疗的话，还会继续恶化，转成“肺炎”（被黑客完全控制系统）。
　　　　3.“红色代码Ⅲ”攻击方式分析
　　　　“红色代码Ⅲ”的攻击方式与“红色代码Ⅰ、Ⅱ”相差无几，只是线程数更多，感染范围更大，能够探测更多的IP地址。使得Internet访问量增加，并导致网络速度的下降。
　　　　4.中毒现象
　　　　“红色代码”主要攻击语种为英文的装有IIS的微软服务器系统。中毒后，网页会替换该主机的网页页面，同时在特定时间里向网址www.whitehouse.gov 发送 100K 字节数据。假如整个局域网内有多台计算机受到感染，必然会导致整个网络下降。
　　　　“红色代码Ⅱ、Ⅲ”的主要目的是为了给计算机开启黑客入侵的后门，所以一旦发现本地的驱动器“c:\”和“d:\”下有隐藏属性的“explore.exe”你就要小心了。也可以查看以下目录是否存在cmd.exe文件：
　　　　\inetpub\scripts
　　　　\program files\common files\system\msadc
　　　　此外，病毒会将受害主机的C盘和D盘的根目录映射为Web的虚拟目录，所以查看IIS管理器里是否有”C：”和“D：”虚拟目录，也可以得知是否中毒。
　　#2　　三、预防篇──多管齐下，防患未然
　　　　安装有IIS 4.0或者IIS 5.0的Microsoft WinNT和Win2000的主机，是“红色代码”病毒家族传染的对象。我们可以采取以下措施进行病毒预防。
　　　　●确定是否被感染
　　　　1.查看系统日志
　　　　查看系统日志的内容能够分析出是否感染了“红色代码”。该日志位于C:\winnt\system32\logfiles\w3svc1下的文件中，如果发现含有以下内容的文件，则说明主机已经感染“红色代码”病毒。
　　　　“GET/default.ida?NNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0”
　　　　如果发现含有以下内容的文件，则说明主机已经感染“红色代码Ⅱ”病毒。
　　GET/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
　　　　2.用工具软件检查
　　　　可以使用查杀工具RedCode 2 KILLER进行检测和清除，下载网址：http://www.virusview.net/download/sptools/other/killrc2.exe。同时也可以试试Symantec Security Check，该软件可供检测自己的计算机是否处于危险中，大家可以到www.symantec.com上免费获得。
　　　　●预防措施
　　　　1.下载补丁程序
　　　　从微软的网站下载补丁程序：http://www.microsoft.com/technet/security/bulletin/MS01-033.asp。
　　　　从CCERT的网站下载补丁程序：
　　　　WinNT系统：
　　　　ftp://ftp.ccert.edu.cn/pub/CHSQ3009 72i.exe
　　　　Win2000系统：
　　　　ftp://ftp.ccert.edu.cn/pub/Q300972_ W2k_SP3_x86_cn.exe
　　　　2.备份%windowsdir%\system32中的idq.dll文件，然后删除。
　　　　3.不安装IIS的索引服务。
　　　　4.下载相关补丁程序：http://www.kill.com.cn/maindoc/virus/download/mspatch.zip
　　#2　　四、治疗篇──兵来将挡，水来土掩
　　　　一旦发现某主机遭到“红色代码”病毒系列的感染。我们应该立即采取果断措施，防止事态进一步扩大。
　　　　●人工呼吸
　　　　1. 断开该主机的网络连接，避免病毒扩散和影响网络内的速度。
　　　　2. 立即停止IIS服务。方式是：在“控制面板”中打开“服务”，点击“World Wide Web Publishing Service”，选择“已禁用”。
　　　　3. 重新启动机器，在命令行模式运行删除病毒留下的后门。也就是“C（D）:\explorer.exe”、“C（D）:\inetpub\scripts\root.exe”、，注意应先去掉文件的隐藏和只读属性。
　　　　4.在硬盘目录\inetpub\scripts 和 \program files\common files\system\msadc中， 如果发现cmd.exe文件，一定要立即删除！
　　　　5.修复注册表。
　　　　点击“开始”、“运行”，输入“regedit”回车。将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SFCDisable键值改为0删除HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots中c:和d:的完全控制键值，硬盘目录\inetpub\scripts和\program files\common files\system\msadc如有cmd.exe，坚决删掉。对于Win 2000系统，需要将HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon中的SFCDisable键值改为0。
　　　　6.最后一步，一定要记得重启计算机。
　　　　●心脏按摩
　　　　在杀除了“红色代码Ⅱ、Ⅲ”带来的木马之后，别忘了剿灭“元凶祸首”啊！打上微软提供的补丁就可以轻松搞定“红色代码”系列病毒，并且还堵上了病毒再次入侵的后门。微软补丁的网址是：http://www.microsoft.com/technet/security/bulletin/MS01-033.asp。
　　#1　　【Funlove】
　　#2　　一、何谓“欢爱”
　　　　“欢爱”不是一个美丽的形容词，更不是QQ上可爱的MM昵称。“欢爱”的英文名字叫做“Funlove”，自1999年以来就遍布全球，让无数的电脑陷入了“悲痛”之中。 “欢爱”古怪精灵，许多杀毒软件总也赶不走她。“杀毒结果”里明明写着“病毒已清除”，可回过头来，你又发现了“欢爱”的踪迹。“欢爱”古怪精灵，不断地变化出她的姐姐妹妹，从“FunLove.4608”到“Funlove.4099”，“欢爱”化身千万，让无数杀毒软件跟在她后面疲于奔命。“欢爱”没有格式化过别人的硬盘，也没有盗走过别人的银行密码，可是“欢爱”喜欢把摇滚乐队“Fun Loving Criminal”的名字反复加到其它文件中，让文件长度增大，占用系统资源，也让你的计算机运行速度急剧下降。被“欢爱”纠缠上的计算机，不管是“奔驰（奔腾4）”还是“毒龙”，都会慢慢回到486的时代，甚至崩溃死机，而网络速度也成了老牛拉破车……
　　#2　　二、病毒原理
　　　　“欢爱”在局域网中特别难缠，赶走又来，屡禁不止。网管们常常被折磨得有气无力。那么“欢爱”的特点是什么呢？
　　　　“欢爱”病毒是通过网络传播，感染微软操作系统，这种病毒具有高度的灵活性，对反病毒软件的躲避达到了空前的水平。“欢爱”病毒通过网络中的共享目录实现其传播。运行一个受到感染的文件将会使一个新的系统感染上病毒。当“欢爱”病毒首次在一个Win95/98计算机上运行时，它会查看Windows系统目录里是否存在FLCSS.exe文件。如果不存在，将会创建一个。FLCSS.exe是“欢爱”病毒的“打手”，它能够在Win9X系统下作为隐含程序运行（任务列表中看不见），在WinNT系统下作为后台服务运行。这样，病毒就能在计算机启动的同时驻留到内存中。在WinNT中，如果用户具有管理员权限，那么该病毒会向两个文件（NTOSKRNL.EXE和NTLDR）中插入代码。当WinNT计算机重新启动时，所有用户在网络上均被授予管理员权限。在这一点上，“欢爱”显得不那么可爱，有点像“流感”，直接降低了系统的“免疫力”。
　　　　在本地的局域网中如果有完全共享的目录，“欢爱”病毒就会乘虚而入，不过“欢爱”病毒绝不感染以下列字母为首的程序文件：aler、amon、avp、avp3、avpm、f-pr、navw、scan、smss、ddhe、dpla、mpla。为什么呢？因为这些字母都对应于流行杀毒程序的名称。不感染这些文件，就能避免提前被杀毒软件发现，够狡猾了吧？
　　　　由于“欢爱”病毒通过感染常规程序取得控制权，所以使得目前国内外绝大多数杀毒软件在杀毒时自身也被感染，并且不能完全清除，出现了“杀不尽”的现象。一些杀毒软件的Dos下可以清除该病毒，但同时也会把“无辜”的文件也“杀死”，且对于WinNT/2000的NTFS分区无效。
　　　　如果不小心被“欢爱”病毒入侵，计算机会变得异常缓慢，无论是上网还是做其他事情，程序的经常会出现无法响应的现象。这是因为在病毒发作时，进行了大量的路径查找和对比，使得系统可用资源降低的原因。选择一个系统文件，比如“win.com”，然后记下它的文件长度，和正常的计算机上的文件（相同系统）比较，如果该文件比正常长，那你就要小心了。什么都没有做而计算机的硬盘灯却闪个不停，也是感染了“欢爱”的现象之一。
　　　　WinNT和Win2000服务器版的用户可查看计算机上的后台服务，点“开始”→“设置”→“控制面板”→“服务”，如果发现有一个名为“FLCSS.exe”在上面，不用怀疑了，你中招了！
　　#2　　三、赶尽杀绝
　　　　专家们把“欢爱”病毒称为“良性病毒”，可不管是“良性”还是“恶性”，病毒终究是病毒，它给我们的计算机带来了无穷的烦恼，为此我们必须将其赶尽杀绝！
　　　　1.KV3000杀除法
　　　　以KV3000为例，谈谈如何彻底清除“欢爱”病毒。使用其它杀毒软件也可参考以下步骤。
　　　　第一步：使用干净DOS系统软盘启动计算机。
　　　　第二步：执行KV3000.EXE，查杀硬盘。
　　　　第三步：使用KVD3000（光盘）来清除病毒，使用KV3000磁盘中的B盘启动计算机。
　　　　第四步：启动成功后，可以识别光盘驱动器。如果硬盘分两个区（C、D），那么光驱的盘符就是E盘。
　　　　第五步：将KV3000的A盘（密钥盘）插入软驱中。
　　　　第六步：当前盘符更换成光驱的盘符，如E盘。
　　　　第七步：如果使用的是笔记本电脑，只能替换接软驱或光驱。可以用硬盘启动，然后将KV3000光盘放进光驱，将KV3000光盘根目录下的KVD3000.EXE、　KV3000A.LIB、KV3000B.LIB、KV3000C.LIB、KV3000U.LIB拷贝到C:\KVW3000子目录下。然后，换上软驱，将KV3000的A盘密钥盘　放进软驱，再执行C:\KVW3000子目录内的KVD3000即可。其中KV3000U.LIB是新病毒升级库文件，可从网站上下载最新版本（网址：http://www.jiangmin.com.cn/file/kv3000u/kv3000u.lib），下载后覆盖C:\KVW3000子目录内的旧KV3000U.LIB即可。
　　　　第八步：执行命令“A：>KVD3000 C:/K”该命令可以查杀C盘下的所有文件中的该病毒。
　　　　第九步：在清除病毒以后某些文件可能已经损坏，应再用正常文件覆盖坏文件，或者重装系统。
　　　　Win9x/NT/2000系统的NTFS硬盘分区感染“欢爱”病毒后，因用DOS软盘引导后不认硬盘分区，所以无法杀毒。而在患毒的Win9x/NT/2000系统下又杀不干净病毒。怎么办呢？可按如下方法杀毒。
　　　　第一步：找一无毒的并装有Win9x/NT/2000系统的机器，将KVW3000安装到硬盘中。
　　　　第二步：将患毒的硬盘挂接在无毒的机器上做为从盘。
　　　　第三步：启动计算机后，调用KVW3000或KVD3000查杀从盘中的病毒。
　　　　2.综合杀除法
　　　　第一步：更新手头上的杀毒软件或者下载专门的杀毒程序。
　　　　第二步：下载Symantec公司出品的一个专门清除funlove病毒的小工具（FixFun）：
　　　　http://go2.163.com/~cnav/avsoft/fixf
　　　　un.exe
　　　　http://cnav.myrice.com/avsoft/fixfun.exe
　　　　http://cnav.533.net/avsoft/fixfun.exe
　　　　以上任意一个即可，下载后保存在软盘上。
　　　　第三步：如果你现正运行在Windows环境中，首先查看一下本机有没有设置共享的目录或共享分区，如果有则取消共享（按鼠标右键点击共享的目录或共享的分区，选择“共享（H）...”，在弹出的对话框中选择“不共享”，然后按“确定”退出）。
　　　　第四步：点击左下角的“开始”菜单，选择“关闭系统”，然后选择“重新启动计算机”。
　　　　第五步：开机启动电脑时，拿出软驱中的软盘和光驱中的光盘，按住“Ctrl”键或在出现“Start Windows98...”时按“F8”键，然后选择“Command Prompt Only”，进入纯Dos系统。
　　　　第六步：删除C:\Windows目录下的FLCSS.exe（假设你的系统目录在C盘上）。
　　　　1）在C盘目录下进入C:\Windows\System，格式如下：
　　　　C:\>cd Windows\System
　　　　2）查找是否有FLCSS.exe这个文件，格式如下：
　　　　C:\Windows\System>dir flcss.exe
　　　　3）如果存在FLCSS.exe，则需要删除它，格式如下：
　　　　C:\Windows\System>attrib flcss.exe -r -h -s
　　　　C:\Windows\System>del flcss.exe
　　　　第七步：运行杀病毒程序清除病毒，或者运行fixfun.exe进行杀毒：
　　　　1）插入保存有fixfun.exe的软盘。
　　　　2）转换盘符到A盘，格式如下：
　　　　C:\>a:
　　　　3）运行fixfun.exe进行杀毒：
　　　　对C盘进行杀毒：
　　　　A:\>fixfun c:
　　　　对全盘进行杀毒：
　　　　A:\>fixfun /a
　　　　第八步：在Windows环境下运行杀毒软件，检查文件类型注意选择所有文件类型。然后对所有分区进行检查，确认病毒已经完全清除。
　　　　3.查杀NTFS分区的“欢爱”病毒
　　　　第一步：下载scanfunlove.exe，这是创源公司出的一个专门在WinNT/2000环境下清除funlove病毒小工具，下载地址如下：
　　　　http://go2.163.com/~cnav/avsoft/scanfunlove.exe
　　　　http://cnav.myrice.com/avsoft/scanfunlove.exe
　　　　http://cnav.533.net/avsoft/scanfunlove.exe
　　　　以上任意一个即可，下载后保存到一张空白的软盘上。
　　　　第二步：去掉网络共享，重新启动计算机。
　　　　第三步：正常引导至NT系统中，用Administrator登录。
　　　　第四步：将含有scanfunlove.exe文件的软盘写保护，插入软驱中。
　　　　第五步：运行软盘上的scanfunlove.exe文件。
　　　　第六步：确定系统中没有其它应用程序在运行，点击“Do it!”按钮。
　　　　第七步：在程序窗口中会出现相应的检测结果。
　　　　第八步：如果内存发现活动的病毒并且无法清除时，会提示重新启动系统，而后立即再次运行SCANFUNLOVE，重复前面的操作，即可杀除内存中的病毒。
　　　　第九步：内存病毒清除后，会卸载名为FLC的服务，然后对NTLDR和NTOSKRNL两个系统文件重打补丁。
　　　　第十步：SCANFUNLOVE会提示将要进行整个文件系统的病毒扫描，要注意这个扫描过程可能很长，在此过程中不能启动任何其它程序，以防病毒重新被激活。
　　　　由于“欢爱”病毒的危害性主要在于通过局域网内的共享目录传播，因而常常杀之不绝，并严重影响网络速度。因此，在同一局域网内的用户应该提高各自的安全意识，安装病毒防火墙，并及时更新。绝对不要在没有病毒防火墙的保护下开启完全共享目录。此外，还可以在下载金山毒霸Ⅱ附带的Funlove清扫器（网址：http://www.iduba.net/download/other/Kill Fu-nlove.exe），“时时勤拂拭，当使免尘埃”。
　　
　　 
 