40种电脑常见病毒讲述.doc

40种常见病毒及处理 1. Trojan.PSW.Win32.Mapdimp.a 病毒运行后有以下行为： ??? 1.病毒释放midimap??.dll和midimap??.dat的文件到系统目录(??代表两个随机字母)。 ??? 我们可以首先利用Windows的搜索功能在系统目录下搜索名为midimap??.dll的文件(注意:midimap.dll不是病毒,后面必须有两个随机字母且midimap??.dll和midimap??.dat是成对出现的才是病毒)? ??? 2.病毒还会修改注册表信息达到开机被自动加载的目的。HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E0-4f0d-0018-708476C7815F} 指向midimap??.dll文件 ??? 开始-运行-输入regedit 打开注册表编辑器展开：??? HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID??? 然后在下面查找有无{4F4F0064-71E0-4f0d-0018-708476C7815F}的子键??? 如果有展开该子键，此时我们会看到该子键指向了病毒文件%systemroot%\system32\midimap??.dll? ??? 如果这时看到的midimap??.dll文件名和刚才搜索到的文件相同，则证明中毒了。图3 ??? 3.另外，熟知Process Explorer的朋友亦可用Process Explorer查找explorer.exe的线程里面是否有midimap??.dll ??? 4.病毒运行后会访问黑客指定的网址下载其他木马病毒，盗取网游账号，并将盗取的信息在后台发送给黑客，使网游玩家的利益受损。 手动处理方法： ??? 第一步，删除病毒文件： ??? 使用wsyscheck工具，文件管理，进入系统目录（默认为c:\windows\system32）找到midimap??.dll和midimap??.dat文件，在文件上面点击右键，选择“发送到重启删除列表中”。 ??? 第二步，删除被病毒修改的注册表键值： ??? 1、使用wsyscheck工具或使用注册表编辑器，删除以下键值内容：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E0-4f0d-0018-708476C7815F}的值“c:\windows\system32\midimap??.dll” 2、重启计算机。 2.Trojan.PSW.Win32.GameOL.qku. 盗号木马病毒 这是一个偷游戏密码的病毒。病毒采用Delphi语言编写，Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件，设置自身属性为系统，隐藏，改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。（依赖系统：Windows NT/2000/XP/2003） 3. Trojan.DL.Win32.Mnless. bdz 木马病毒 这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下，加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序，在系统目录下保存病毒文件名为6位或8位的EXE文件，并在用户计算机上运行。同时，这些病毒都会修改注册表启动项，实现随系统自启动，给用户的查杀和正常使用计算机带来极大的不便。（依赖系统：Windows NT/2000/XP/2003） 4. Trojan.PSW.Win32.GameOL.qli 盗号木马病毒 这是一个偷游戏密码的病毒。病毒采用Delphi语言编写，Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件，设置自身属性为系统，隐藏，改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。 5. Worm.Win32.DownLoader.iz蠕虫病毒 病毒运行后，会释放一个名字为beep.sys的驱动，替换掉系统的同名文件，恢复SSDT列表。关闭一些安全软件的服务，结束一些安全软件的进程，以躲避对其的查杀。随后会替换dllcache和system32目录中的wuauclt.exe，然后把自己复制到该目录下并且改名为