ypm11111

MSN相片（Worm.Mail.Photocheat.A）详细介绍


该病毒会自动发送通过MSN发送“its only my photos!（这是我的照片）”、“Nice new photos of me!! :p（我的新好看照片）”、“hey regarde mes tof!! :p ”等多种语言版本的诱惑性信息，随后会试图发送一个名为“photos.Zip”的压缩文件，用户接受运行后就会中毒。该病毒除了滥发MSN消息和病毒邮件外，还会试图链接网站“ww w. Free8.Bi*z”，这可能是为了提高该网站的点击率，或者有其它企图。
　　病毒分析：
　　这是一个通过MSN进行传播的蠕虫病毒，病毒行为如下：
　　1、病毒运行后创建自己的压缩包命名为PHOTOS.ZIP释放到%WINDIR%目录下，放出一名为syshosts.dll的动态库到%SYSTEM%目录下，将动态库蛀入系统多个线程中实现其传播的功能。
　　2、病毒会自动创建如下注册表项，实现自启动。
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
　　"syshosts" = {1E3EF678-AFB7-4420-9CCF-3725505ACA10}
　　3、病毒会将生成的PHOTOS.ZIP通过MSN模拟键盘和鼠标操作发送给其他联系人,发送消息如下：
　　 Here are my private pictures for you
　　 Here are my pictures from my vacation
　　 My friend took nice photos of me.you Should see em loL!
　　 its only my photos!
　　 Nice new photos of me and my friends and stuff and when i was young lol...
　　 Nice new photos of me!! :p
　　 Check out my sexy boobs
　　 hey regarde mes tof!! :p
　　 ma soeur a voulu que tu regarde ca!
　　 hey regarde les tof, c'est moi et mes copains entrain de....
　　 j'ai fais pour toi ce photo album tu dois le voire
　　 tu dois voire ces tof
　　 mes photos chaudes
　　 c'est seulement mes tof :p
　　 zijn enige mijn foto's
　　 wanna Hey ziet mijn nieuw fotoalbum?
　　 indigde enkel nieuw fotoalbum!
　　 hey keurt mijn nieuw fotoalbum goed.. :p
　　 het voor yah, doend beeldverhaal van mijn leven lol..
　　 en Fotos ! :p
　　 le mie foto calde :p
　　 mis fotos calientes
　　 as :p
　　 lbum de foto
　　4、病毒运行后将访问w ww. free8.bi的地址，以特定的昵称,登录到特定的IRC频道上，并在IRC聊天频道中散播消息。
　　
　　手工清除方法：
　　一、删除病毒在注册表中的启动项目
　　1、点击“开始”菜单，选择运行。输入“regedit.exe”启动注册表编辑器。
　　2、打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad项，找到名为“syshosts”一项，将其值记录下来。
　　3、将syshosts项删除。
　　4、打开注册表中的HKEY_CLASSES_ROOTCLSID项，找到刚刚记录下的项目，将该项删除。
　　5、重新启动计算机。
　　二、删除病毒文件
　　1、打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。同时取消掉“隐藏已知类型文件的扩展名”前的对勾，然后点击“确定”。
　　2、进入Windows文件夹（默认为C:Windows），找到名为“photos.zip”的文件，将其删除。
　　3、进入系统文件夹（默认为C:Windowssystem32），找到名为“syshosts.dll”的文件，将其删除。
　　4、再次重新启动计算机，查看这两个文件是否存在，若不存在，则说明病毒已经被清除干净。
　　对于一般用户可直接使用专杀工具：江民MSN“性感相册”蠕虫专杀工具帕虫（Worm.Pabug;AV终结者;U盘寄生虫）详细介绍

　金山反病毒中心将该病毒统称为“AV终结者”，瑞星反病毒中心将该病毒称为“帕虫”，江民反病毒中心将该病毒称为“U盘寄生虫”（本文将其称为“AV终结者”）。

　　普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃：
　　1.禁用所有杀毒软件及相关安全工具，让电脑失去安全保障；
　　2.破坏安全模式，致使用户根本无法进入安全模式清除病毒；
　　3.强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登录，用户无法通过网络寻求解决办法；
　　4.格式化系统盘重装后很容易被再次感染。

　　用户格式化后，只要双击其他盘符，病毒将再次运行。

　　此外，用户电脑的安全防御体系被彻底摧毁，安全性几乎为零，而“AV终结者”自动连接到拥有病毒的网站，并下载数百种木马病毒，各类盗号木马、广告木马、风险程序用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。因此提醒电脑用户目前使用电脑需慎之又慎。

　　瑞星反病毒中心目前暂将该病毒称为“帕虫”病毒。据瑞星反病毒中心表示：“该病毒采用了多种技术手段来保护自身不被清除，例如，它会终结几十种常用的杀毒软件，如果用户使用google、百度等搜索引擎搜索‘病毒’，浏览器也会被病毒强制关闭，使得用户无法取得相关信息。尤为恶劣的是，该病毒还采用了IFEO劫持（windows文件映像劫持）技术，修改注册表，使QQ医生、360安全卫士等几十种常用软件无法正常运行，从而使得用户很难手工清除该病毒。”

　　此外，据反病毒专家介绍：“该病毒通过映像劫持技术，将大量杀毒软件‘绑架’，使其无法正常应用，而用户在点击相关安全软件后，实际上已经运行了病毒文件，实现病毒的“先劫持后掉包”的计划。该病毒不但可以劫持大量杀毒软件以及安全工具，而且还可禁止Windows的自更新和系统自带的防火墙，大大降低了用户系统的安全性，这也是近几年来对用户的系统安全破坏程度最大的一个病毒之一。而且该病毒还会在每个磁盘分区上建立自动运行文件（包括U盘），从而使得通过U盘传播的概率大大增加。同时，由于每个分区上都有病毒留下的文件，普通用户即使格式化C盘重装系统，也无法彻底清除该病毒。”

　　其实这些病毒就是我们所称的随机7位字母，8位数字和字母组合的病毒，主要通过U盘等移动存储传播。

　　用户感染该病毒后，打开任务管理器可以看到两个类似不规则的7位字母的进程，如果没有发现两个不规则的7位字母的进程你就可能中了那个8位随机字母数字组合的病毒。



　　专杀工具：“AV终结者”木马专杀工具 V3.7
　　在使用专杀杀毒后我们还需要作一些后续的恢复系统的工作
　　一般恢复系统工作步骤如下：
　　1.恢复IFEO 映像劫持

　　可以使用autoruns这个软件：Autoruns V8.61 汉化版

　　由于这个软件也被映像劫持了 所以我们要把他改个名字
　　打开这个软件后 找到Image hijack (映像劫持）
　　删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft Corporation c:windowssystem32 tsd.exe 以外的所有项目
　　2.恢复显示隐藏文件

　　把下面的 代码拷入记事本中然后另存为1.reg文件
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
　　"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"
　　"Text"="@shell32.dll,-30500"
　　"Type"="radio"
　　"CheckedValue"=dword:00000001
　　"ValueName"="Hidden"
　　"DefaultValue"=dword:00000002
　　"HKeyRoot"=dword:80000001
　　"HelpID"="shell.hlp#51105"
　　双击1.reg把这个注册表项导入
　　3.恢复安全模式
　　下载sreng ：System Repair EngineerV2.5.16.900 版
　　打开sreng
　　“系统修复”---“高级修复”---点击修复安全模式在弹出的对话框中点击---“是”
　　4.最后也是最重要的就是删除各个分区下面的autorun.inf和7位或者8位随机数字母的exe

　　注意：一定不要双击 也不能右键打开一定用winrar删除熊猫烧香（Worm.Nimaya；又称尼姆亚）详细介绍


“熊猫烧香”，又称“武汉男生”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。
　　专杀下载：“熊猫烧香”病毒专杀工具
　　被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件, 它还能中止大量的反病毒软件进程。
　　症状：
　　1：拷贝文件
　　病毒运行后,会把自己拷贝到
　　C:\WINDOWS\System32\Drivers\spoclsv.exe
　　2：添加注册表自启动
　　病毒会添加自启动项
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
　　svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
　　3：病毒行为
　　a：每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
　　QQKav
　　QQAV
　　防火墙
　　进程
　　VirusScan
　　网镖
　　杀毒
　　毒霸
　　瑞星
　　江民
　　黄山IE
　　超级兔子
　　优化大师
　　木马克星
　　木马清道夫
　　QQ病毒
　　注册表编辑器
　　系统配置实用程序
　　卡巴斯基反病毒
　　Symantec AntiVirus
　　Duba
　　esteem proces
　　绿鹰PC
　　密码防盗
　　噬菌体
　　木马辅助查找器
　　System Safety Monitor
　　Wrapped gift Killer
　　Winsock Expert
　　游戏木马检测大师
　　msctls_statusbar32
　　pjf(ustc)
　　IceSword
　　并使用的键盘映射的方法关闭安全软件IceSword
　　添加注册表使自己自启动
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
　　svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
　　并中止系统中以下的进程：
　　Mcshield.exe
　　VsTskMgr.exe
　　naPrdMgr.exe
　　UpdaterUI.exe
　　TBMon.exe
　　scan32.exe
　　Ravmond.exe
　　CCenter.exe
　　RavTask.exe
　　Rav.exe
　　Ravmon.exe
　　RavmonD.exe
　　RavStub.exe
　　KVXP.kxp
　　kvMonXP.kxp
　　KVCenter.kxp
　　KVSrvXP.exe
　　KRegEx.exe
　　UIHost.exe
　　TrojDie.kxp
　　FrogAgent.exe
　　Logo1_.exe
　　Logo_1.exe
　　Rundl132.exe
　　b：每隔18秒
　　点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
　　共存在的话就运行net share命令关闭admin$共享
　　c：每隔10秒
　　下载病毒作者指定的文件，并用命令行检查系统中是否存在共享
　　共存在的话就运行net share命令关闭admin$共享
　　d：每隔6秒
　　删除安全软件在注册表中的键值
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　RavTask
　　KvMonXP
　　kav
　　KAVPersonal50
　　McAfeeUpdaterUI
　　Network Associates Error Reporting Service
　　ShStartEXE
　　YLive.exe
　　yassistse
　　并修改以下值不显示隐藏文件
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
　　删除以下服务：
　　navapsvc
　　wscsvc
　　KPfwSvc
　　SNDSrvc
　　ccProxy
　　ccEvtMgr
　　ccSetMgr
　　SPBBCSvc
　　Symantec Core LC
　　NPFMntor
　　MskService
　　FireSvc
　　e：感染文件
　　病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
　　并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
　　用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
　　增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
　　WINDOW
　　Winnt
　　System Volume Information
　　Recycled
　　Windows NT
　　WindowsUpdate
　　Windows Media Player
　　Outlook Express
　　Internet Explorer
　　NetMeeting
　　Common Files
　　ComPlus Applications
　　Messenger
　　InstallShield Installation Information
　　MSN
　　Microsoft Frontpage
　　Movie Maker
　　MSN Gamin Zone
　　g：删除文件
　　病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
　　使用户的系统备份文件丢失。灰鸽子（Backdoor.Gpigeon）详细介绍


　灰鸽子(backdoor.gpigeon)是国内一款著名后门。比起前辈冰河、黑洞来，backdoor.gpigeon可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，backdoor.gpigeon是一款优秀的远程控制软件。但如果拿它做一些非法的事，backdoor.gpigeon就成了很强大的黑客工具。对backdoor.gpigeon完整的介绍也许只有backdoor.gpigeon作者本人能够说清楚，在此我们只能进行简要介绍。
　　backdoor.gpigeon客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

　　特点：
　　1、运行后，病毒进程插入所有当前正在运行的进程中；
　　2、隐藏病毒自身进程；
　　3、隐藏病毒文件；
　　4、将自身注册为系统服务，实现启动加载。

　　灰鸽子的运行原理

　　灰鸽子木马分两部分：客户端和服务端。黑客操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载
　　G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

　　Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

　　灰鸽子的手工检测

　　由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

　　但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。

　　由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

　　1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

　　2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。

　　3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

　　4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

　　经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。

　　灰鸽子的手工清除

　　经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

　　注意：为防止误操作，清除前一定要做好备份。

　　一、清除灰鸽子的服务

　　2000／XP系统：

　　1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

　　2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。

　　3、删除整个Game_Server项。

　　98／me系统：

　　在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。

　　二、删除灰鸽子程序文件

　　删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

　　小结

　　本文给出了一个手工检测和清除灰鸽子的通用方法，适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时，最好找有经验的朋友帮忙解决。

　　病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。征途木马（Trojan.PSW.ZhengTu）详细介绍


　该病毒采用PECompact加壳处理，运行后会释放一个名为“1.dLl”的文件到系统目录中。同时在注册表中添加启动项目，实现随系统启动自动运行。该病毒自动在后台运行，会试图窃取网络游戏“征途”的账号和密码等信息并发送给黑客。

　　病毒特征：这是个将自己与一个征途多个辅助工具捆绑在一起的征途盗号木马。

　　发作症状：开机就弹出很多病毒警告，病毒文件是ztdll.dll，隔离和清除都失败，重新启动进入安全模式杀毒，把ztdll.dll清除掉，重启后进入系统又弹出同样的病毒警告，证明病毒源未找到。

　　后来在系统进程里发现一个不正常的进程svhost32.exe，经过查找，发现果然是它在做怪，其运行原理是开机自动加载运行，然后释放ztdll.dll。

　　病毒原理：该病毒在被执行时首先执行捆绑的病毒体，然后弹出一个征途多开辅助工具的界面。病毒体执行的过程中会释放病毒文件到 %UserDir%\Local Settings\Temp\zt.exe下并执行。由病毒文件zt.exe释放文件%system%\dll.dll，并将其设置为只读、系统和隐藏属性，并且修改注册表项。该木马病毒不断的查找征途客户端窗口，获得用户帐号信息后发送到指定网站。

　　清除病毒办法：

　　1. 任务管理器里结束进程 svhost32.exe

　　2. 删除文件 C:\ProgramFiles\svhost32.exe

　　3. 运行regedit.exe进入注册表，删除启动项:

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

　　"load"="%ProgramFiles%\svhost32.exe"ARP病毒（多个病毒均具有ARP攻击行为）详细介绍


　ARP病毒也叫ARP地址欺骗类病毒，这是一类特殊的病毒。该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。

　　ARP病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到企业网络、网吧、校园网络等局域网的正常运行。

　　以下六个步骤，即可有效防范ARP病毒：

　　1、做好IP－MAC地址的绑定工作（即将IP地址与硬件识别地址绑定），在交换机和客户端都要绑定，这是可以使局域网免疫ARP病毒侵扰的好办法。

　　2、全网所有的电脑都打上MS06-014和MS07-017这两个补丁，这样可以免疫绝大多数网页木马，防止在浏览网页的时候感染病毒。

　　MS06-014 中文版系统补丁下载地址：
　　http://www.microsoft.com/china/t ... letin/MS06-014.mspx

　　MS07-017 中文版系统补丁下载地址：
　　http://www.microsoft.com/china/t ... letin/MS07-017.mspx

　　3、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。禁用Windows 系统的自动播放功能的方法：在运行中输入 gpedit.msc 后回车，打开组策略编辑器，依次点击：计算机配置－＞管理模板－＞系统－＞关闭自动播放－＞已启用－＞所有驱动器－＞确定。

　　4、在网络正常时候保存好全网的IP－MAC地址对照表，这样在查找ARP中毒电脑时很方便。

　　5、部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC地址是否正确。

　　6、安装杀毒软件，及时升级病毒库，定期全网杀毒QQ通行证（Trojan.PSW.QQPass）详细介绍


该病毒及其变种在运行之后，病毒会窃取用户的QQ号码及密码并发送给黑客，可能造成用户的个人信息泄漏。病毒还会从网络下载文件到染毒的计算机，终止多种杀毒软件运行，造成这些杀毒软件无法正常使用。
　　Trojan.PSW.QQPass（QQ通行证）病毒会启动一个伪系统进程SVOHOST.EXE。是不是和SVCHOST很象呢。所以我们要先把这个进程结束掉。OK。这时候杀毒软件就已经能开启了。本来是不能开启的。它会把瑞星在内的一般杀毒软件都阻止掉。XP的防火墙也不放过。然后打开开始-运行-MSCONFIG-看启动项那里。有个SVOHOST.EXE的我们把勾去掉。然后在后面的路径里找到那个文件的所在。要看到那个病毒需要把文件夹选项里面的保护系统文件去掉勾。再点显示所有文件才能看到。
　　注意：
　　1.这个病毒会通过U盘等手段传播。
　　.
　　2.那个病毒会在每个盘根目录建一个文件AUTORUN.INF属性SH 还有一个执行文件 SXS.EXE，属性也是SH
　　AUTORUN.INF的内容就是每次双击打开磁盘就运行SXS.EXE.因为它把磁盘右键菜单 里面第一个内容给为AUTO.我们双击的时候就又恢复病毒了。要注意杀的时候用右 键---然后选择打开进入盘内删除掉AUTORUN.INF和SXS.EXE.
　　对了，假如连文件夹选项也给篡改了的话。只能用ATTRIB来实行解除那些文件的隐藏属性了.在运行里面输入CMD.打开MS-DOS.
　　输入：
　　ATTRIB C:\WINDOWS\SYSTEM32\SVOHOST -S -H
　　-S就是驱除系统属性-H就是去掉隐藏属性了，那样我们就能看到他们，关于AUTORUN.INF和SXS.EXE也可以使用同样办法来处理。命令格式如下：
　　ATTRIB 路径 -S -H
　　弄好了之后就把他们[SVOHOST.EXE/AUTORUN.INF/SXS.EXE]都删除了。
　　然后重启。
　　专杀工具：QQ病毒专杀工具XP 2007 Build 0201梅勒斯（Trojan.DL.Mnless）详细介绍


Trojan.DL.MnLess是一个木马下载器，从黑客指定站点下载其它木马，并在被感染的计算机上自动运行。开机后随系统启动而运行，所以开机后点击右键删除被病毒感染的文件是不可能的杀毒软件也不能将病毒清除。想不重装系统，可以下载Unlocker手动删除顽固的病毒文件。
　　1.用unlocker软件，他的作用是可以将单一文件有关联的关系全部解除。
　　2.找到该文件（中毒的文件)在他上面点右键选者unlocker，然后会跳出一个窗口，再点选「全部解锁」。
　　3.删除被感染的文件
　　4.删除后最好用杀毒软件做一次全面扫描。
　　5.重启系统，就会发现trojan.dl.mnless木马病毒已经被清除了。网游木马（Trojan.PSW.OnlineGames）详细介绍


网游木马（Trojan.PSW.OnlineGames）及其多个变种运行后将自身复制到Windows目录中，修改注册表实现自启动。会中止多种杀毒软件的运行,造成它们无法使用。病毒会记录用户的键盘和鼠标操作，窃取网络游戏玩家的游戏账号和密码。

　　手工清除办法：
　　
　　开始--运行--regedit，打开注册表，点注册表中的"我的电脑"—>点"编辑"—>查找，输入mppds.exe ，找到的项目就点右键--删除，按F3继续，直到查找完毕.（用同样的方法查找并删除c0nime.exe ，winform.exe ，upxdnd.exe ，msccrt.exe ，wsttrs.exe ，cmdbcs.exe ，mppds.exe ，Updaterun.exe）

　　清除方案： （建议先下载个UNLOCKER）
　　
　　1、关闭系统还原（一定要关闭，建议删掉所有的系统还原文件），结束两个进程rundll32.exe；

　　2、打开选项“显示受保护的操作系统文件”“显示隐藏文件”（我的电脑--工具--文件夹选项--查看--）
　　删除以下文件：（文件删不掉的 安装UNLOCKER 右键--UNLOCKER后--再删除）
　　！！（打不开隐藏文件的：
　　把下面的内容保存成 ****.reg 文件后，双击导入注册表即可！
　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
　　"Text"="@shell32.dll,-30500"
　　"Type"="radio"
　　"CheckedValue"=dword:00000001
　　"ValueName"="Hidden"
　　"DefaultValue"=dword:00000002
　　"HKeyRoot"=dword:80000001
　　"HelpID"="shell.hlp#51105"）

　　删掉以下文件
　　C:\WINDOWS\Microsoft\rundll32.exe
　　C:\program files\internet explorer\use6.dll
　　C:\WINDOWS\system32\dt.dll
　　WINDOWS文件夹内的cmdbcs.exe，mppds.exe，msccrt.exe，upxdnd.exe，winform.exe之类文件手动删除,
　　TEMP文件夹下的upxdnd.exe和upxdnd.dll文件手动删除。
　　C:下的SYS...之类包含ghook.dll和svchost.exe的2个文的文件夹删除;
　　（也可以进安全模式下直接删除）

　　3、修改注册表，删除以下两项：
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
　　
　　4、使用unlocker删除C:\\WINDOWS\system32\drivers\etc\hosts

　　5、使用资源管理器（开始-所有程序-附件-windows资源管理器）打开各个分区，删除所有分区下面的Autorun.inf及mplay.com （也可右键打开进去，但不要双击进入）

　　6、检查并清理启动项，（开始--运行--输入“MSCONFIG”--启动）

　　7、重启威金蠕虫（Worm.Viking）详细介绍


　　专杀：瑞星“威金Worm.Viking”病毒专杀工具V1.0

　　用户感染威金蠕虫（Worm.Viking），会在进程管理器看到logo_1.exe进程
　　主要症状：
　　1、占用大量网速，使机器使用变得极慢。
　　2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。
　　3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。
　　详细技术信息：
　　病毒运行后，在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件。
　　%WinDir%virDll.dll
　　该蠕虫会在系统注册表中生成如下键值：
　　[HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW]
　　"auto" = "1"
　　盗取密码
　　病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。
　　阻止以下杀毒软件的运行
　　病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等。98%的杀毒软件运行。
　　通过写入文本信息改变"%System%driversetchosts" 文件。这就意味着，当受感染的计算机浏览许多站点时（包括众多反病毒站点），浏览器就会重定向到66.197.186.149。
　　病毒感染运行windows操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算机中的.exe文件。
　　网吧遭此病毒破坏造成大面积的卡机，瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播，传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3分钟内必定中招。中招后你安装　rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe 　kill NAV 等杀毒软件 都无法补救你的系统，病毒文件 Logo1_.exe 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件，外观典型表现症状为 传奇 ，泡泡堂，等游戏图标变色。 此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次。
　　该病毒对于防范意识较弱，还原软件未能及时装到位的网吧十分致命，其网络传播速度十分快捷有效。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒，那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
　　病毒发作会生成另外病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50倍以上。在WIN98平台下，改病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的，运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了，最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
　　病毒清理办法
　　如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
　　一、找到注册表中[HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW]
　　"auto" = "1"
　　删除DownloadWWW主键
　　二、找到
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingsystem.iniboot]
　　winlogo 项
　　把WINLOGO 项 后面的C:WINNTSWS32.DLL 删掉
　　接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中 /RunOnce/RunOnceEx 两个中其中有个是也是
　　C:WINNTSWS32.dll
　　把类似以上的全部删掉 注意不要删除默认的键值（删了的话后果自负）
　　如果没有以上键值，则直接跳过此步骤
　　
　　三、结束进程
　　按“Ctrl+Alt+Del”键弹出任务管理器，找到logo1_.exe 等进程，结束进程，可以借助绿鹰的进程管理软件处理更方便。找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）。
　　四、装杀毒软件
　　装完后不要重新启动（切记）直接升级病毒库，升级完后，把C:winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。
　　五、看看杀毒后的系统。
　　缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。
　　以上操作只是阻断传播，如果怕在使用中感染此病毒，您还需要按照如下操作，这样即使病毒感染，也不能运行主体病毒程序。当然这里说的操作实针对win2000系统的，其他的系统可以参考操作。
　　运行 gpedit.msc 打开组策略
　　依次单击用户配置---管理模块---系统---指定不给windows运行的程序点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件

[ 本帖最后由 ypm11111 于 2008-1-16 09:25 编辑 ]