40种电脑常见病毒.doc

40种常见病毒及处理1. Trojan.PSW.Win32.Mapdimp.a 病毒运行后有以下行为： 1.病毒释放midimap?.dll和midimap?.dat的文件到系统目录(?代表两个随机字母)。 我们可以首先利用Windows的搜索功能在系统目录下搜索名为midimap?.dll的文件(注意:midimap.dll不是病毒,后面必须有两个随机字母且midimap?.dll和midimap?.dat是成对出现的才是病毒) 2.病毒还会修改注册表信息达到开机被自动加载的目的。HKEY_LOCAL_MACHINESOFTWAREClassesCLSID4F4F0064-71E0-4f0d-0018-708476C7815F 指向midimap?.dll文件 开始-运行-输入regedit 打开注册表编辑器展开： HKEY_LOCAL_MACHINESOFTWAREClassesCLSID 然后在下面查找有无4F4F0064-71E0-4f0d-0018-708476C7815F的子键 如果有展开该子键，此时我们会看到该子键指向了病毒文件%systemroot%system32midimap?.dll 如果这时看到的midimap?.dll文件名和刚才搜索到的文件相同，则证明中毒了。图3 3.另外，熟知Process Explorer的朋友亦可用Process Explorer查找explorer.exe的线程里面是否有midimap?.dll 4.病毒运行后会访问黑客指定的网址下载其他木马病毒，盗取网游账号，并将盗取的信息在后台发送给黑客，使网游玩家的利益受损。手动处理方法： 第一步，删除病毒文件： 使用wsyscheck工具，文件管理，进入系统目录（默认为c:windowssystem32）找到midimap?.dll和midimap?.dat文件，在文件上面点击右键，选择“发送到重启删除列表中”。 第二步，删除被病毒修改的注册表键值： 1、使用wsyscheck工具或使用注册表编辑器，删除以下键值内容：HKEY_LOCAL_MACHINESOFTWAREClassesCLSID4F4F0064-71E0-4f0d-0018-708476C7815F的值“c:windowssystem32midimap?.dll”2、重启计算机。2.Trojan.PSW.Win32.GameOL.qku. 盗号木马病毒这是一个偷游戏密码的病毒。病毒采用Delphi语言编写，Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件，设置自身属性为系统，隐藏，改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。（依赖系统：Windows NT/2000/XP/2003）3. Trojan.DL.Win32.Mnless. bdz 木马病毒这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下，加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序，在系统目录下保存病毒文件名为6位或8位的EXE文件，并在用户计算机上运行。同时，这些病毒都会修改注册表启动项，实现随系统自启动，给用户的查杀和正常使用计算机带来极大的不便。（依赖系统：Windows NT/2000/XP/2003）4. Trojan.PSW.Win32.GameOL.qli 盗号木马病毒这是一个偷游戏密码的病毒。病毒采用Delphi语言编写，Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件，设置自身属性为系统，隐藏，改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。5. Worm.Win32.DownLoader.iz蠕虫病毒病毒运行后，会释放一个名字为beep.sys的驱动，替换掉系统的同名文件，恢复SSDT列表。关闭一些安全软件的服务，结束一些安全软件的进程，以躲避对其的查杀。随后会替换dllcache和system32目录中的wuauclt.exe，然后把自己复制到该目录下并且改名为wuauclt.exe，在每一个盘符下面生成AUTORUN.INF和YS.PIF，达到再次运行和传播病毒的目的，写入注册表启动项，以实现开机自动启动。最终病毒会访问指定网页下载大量病毒到本地运行，容易反复感染，彻底清除困难。依赖系统：Windows NT/2000/XP/20036. Backdoor.Win32.Gpigeon2007.cel 灰鸽子病毒该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。它还会新建IE进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。如此用户计算机将被远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等，给用户的计算机和隐私安全带来很大隐患。7. Worm.Win32.DownLoad.iy 蠕虫病毒病毒把自己伪装成一个图片的样子，名字叫“照片”并且有很长的空格，如果不易发现扩展名是EXE，诱惑用户打开。病毒运行后会关闭大量的安全软件，以躲避对其的查杀，随后会删除dllcache中的wuauclt.exe，然后把自己复制到该目录下并且改名为wuauclt.exe，再删除system32下的wuauclt.exe，复制自己到该目录下命名为wuauclt.exe，在每一个盘符下面生成AUTORUN.INF和WINDOWS.PIF，达到再次运行和传播病毒的目的，写入注册表启动项，以实现开机自动启动。最终病毒会访问指定网页下载大量病毒到本地运行，容易反复感染，彻底清除困难。8. Worm.Win32.Agent. znu 蠕虫病毒这是一个蠕虫病毒。病毒运行后会把自己复制到系统目录下，并修改注册表启动项实现开机自启动。同时病毒修改注册表信息，来禁用系统任务管理器，禁止WINDOWS自动升级，将系统文件和隐藏文件设置为不可见，以及锁定用户默认浏览器主页，并且试图关闭杀毒软件和安全工具。当病毒发现有标题为“瑞星主动防御”或者“恶意行为检测”的对话框时，就发消息模拟鼠标点击不处理，以此躲避杀毒软件查杀。它还会从网上下载新的木马病毒，并在可移动存储设备写入病毒，以此传播9. Worm.Win32.DownLoader.cm 蠕虫病毒病毒把自己伪装成一个图片的样子，名字叫“照片”并且有很长的空格，如果不易发现扩展名是EXE，诱惑用户打开。病毒运行后会关闭大量的安全软件，以躲避对其的查杀，随后会删除dllcache中的wuauclt.exe，然后把自己复制到该目录下并且改名为wuauclt.exe，再删除system32下的wuauclt.exe，复制自己到该目录下命名为wuauclt.exe，在每一个盘符下面生成AUTORUN.INF和WINDOWS.PIF，达到再次运行和传播病毒的目的，写入注册表启动项，以实现开机自动启动。最终病毒会访问指定网页下载大量病毒到本地运行，容易反复感染，彻底清除困难。10. Trojan.Win32.Undef.qls 这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息。11. Trojan.DL.Win32.Mnless. bci这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下，加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序，在系统目录下保存病毒文件名为6位或8位的EXE文件，并在用户计算机上运行。同时，这些病毒都会修改注册表启动项，实现随系统自启动。12. Trojan.DL.Win32.Mnless. bch这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下，加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序，在系统目录下保存病毒文件名为6位或8位的EXE文件，并在用户计算机上运行。同时，这些病毒都会修改注册表启动项，实现随系统自启动。13. Backdoor.Win32.Gpigeon2008.ee这是一种灰鸽子后门变种，该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。它还会新建IE进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。如此用户计算机将被远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等。14. Trojan.DL.Win32.Undef.aon这是一个木马下载器病毒。该病毒运行后会释放一个动态库文件，该文件会从黑客指定网站下载一个config.ini文件，并且从下载的config.ini文件中获取具体要下载的木马、病毒的地址，然后下载到用户计算机上并执行。15. Trojan.PSW.Win32.GameOL.qaa这是一种网路游戏盗号木马，病毒采用Delphi语言编写，Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件，设置自身属性为系统，隐藏，改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。16. Rootkit.Win32.RESSDT.eh这是个Rootkit病毒驱动，通常与其它盗号木马病毒结合传播。该驱动运行之后，可以通过用户层计算出来的服务函数地址和索引，在驱动层恢复SSDT（系统服务描述符表），这样可以使某些反病毒软件的自我保护和监控失效。杀毒软件失效之后，别的病毒和木马就可以对系统进行肆意破坏。17. Worm.Win32.DownLoader.ir病毒把自己伪装成一个图片的样子，名字叫“照片”并且有很长的空格，如果不易发现扩展名是EXE，诱惑用户打开。病毒运行后会关闭大量的安全软件，以躲避对其的查杀，随后会删除dllcache中的wuauclt.exe，然后把自己复制到该目录下并且改名为wuauclt.exe，再删除system32下的wuauclt.exe，复制自己到该目录下命名为wuauclt.exe，在每一个盘符下面生成AUTORUN.INF和WINDOWS.PIF，达到再次运行和传播病毒的目的，写入注册表启动项，以实现开机自动启动。最终病毒会访问指定网页下载大量病毒到本地运行。18. Trojan.PSW.Win32.GameOL.qac这是一个偷游戏密码的病毒。病毒采用Delphi语言编写，Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件，设置自身属性为系统，隐藏，改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。19. Trojan.Win32.Undef.qet这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，20. Trojan.Win32.Undef. ptt这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，21. Worm.Win32.Ackiller.bpy这是一个蠕虫病毒。病毒通过FSG加壳，Delphi语言编写。该病毒运行后会在%systemroot%system32下释放多个病毒文件，病毒会通过发送消息、添加映像劫持、删除文件等方式关闭和破坏安全类软件以逃避杀毒软件的查杀，并且会禁止系统显示隐藏文件、破坏安全模式使系统异常，添加注册表启动项和autorun.inf文件以实现自动运行，最终病毒会下载大量的木马病毒，22. Trojan.DL.Win32.Undef.auh这是一个木马下载器病毒。该病毒运行后会释放一个动态库文件，该文件会从黑客指定网站下载一个config.ini文件，并且从下载的config.ini文件中获取具体要下载的木马、病毒的地址，然后下载到用户计算机上并执行。23. Backdoor.Win32.Gpigeon.gel该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。它还会新建IE进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。如此用户计算机将被远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等。24. Trojan.Clicker.Win32.PopHot.edq这是一个木马病毒。病毒运行后会将自身复制到系统目录下，并释放多个病毒文件。并且，病毒会注入到系统正常进程，试图关闭多种主流杀毒软件和安全工具，以及把自身添加到防火墙信任列表，以此躲避防火墙在病毒刷新页面时的拦截。病毒还会利用浏览器频繁地刷新页面并点击页面广告等，使用户上网和计算机运行速度缓慢甚至死机。25. Trojan.PSW.Win32.GameOL.puq这是一个偷游戏密码的病毒。病毒采用Delphi语言编写，Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件，设置自身属性为系统，隐藏，改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身。26. Trojan.DL.Win32.Mnless. aze这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下，加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序，在系统目录下保存病毒文件名为6位或8位的EXE文件，并在用户计算机上运行。同时，这些病毒都会修改注册表启动项，实现随系统自启动。27. Worm.Win32.CnVampire.e这是个蠕虫病毒，病毒通过U盘、局域网弱密码猜解、网页挂马、dll劫持等方式传播。该病毒会在%systemroot%Tasks中释放多个病毒文件，通过修改注册表键值实现开机自动启动，为了躲避杀毒软件查杀，该病毒还会关闭破坏多种主流杀毒软件和安全工具，并且会屏蔽常见安全网站。病毒会每隔360000ms下载一次新病毒到本地运行，达到其不断更新的目的，还会删除Windows目录中help下的所有文件，和扩展名为gho,GHO,Gho的文件。28. Trojan.Win32.Undef. lbk这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客。29. Worm.Win32.Agent. wk这是一个蠕虫病毒。病毒运行后会把自己复制到系统目录下，并修改注册表启动项实现开机自启动。同时病毒修改注册表信息，来禁用系统任务管理器，禁止WINDOWS自动升级，将系统文件和隐藏文件设置为不可见，以及锁定用户默认浏览器主页，并且试图关闭杀毒软件和安全工具。当病毒发现有标题为“瑞星主动防御”或者“恶意行为检测”的对话框时，就发消息模拟鼠标点击不处理，以此躲避杀毒软件查杀。它还会从网上下载新的木马病毒，并在可移动存储设备写入病毒。30. Backdoor.Win32.Gpigeon2007.bxj该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。它还会新建IE进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。如此用户计算机将被远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等。31. Trojan.DL.Win32.Mnless. avx这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下，加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序，在系统目录下保存病毒文件名为6位或8位的EXE文件，并在用户计算机上运行。同时，这些病毒都会修改注册表启动项，实现随系统自启动，给用户的查杀和正常使用计算机带来极大的不便。32. Trojan.PSW.Win32.GameOL.poi这是一个偷游戏密码的病毒。病毒采用Delphi语言编写，Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件，设置自身属性为系统，隐藏，改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身。33. Worm.Win32.Logogo.b这是个蠕虫病毒，病毒通过U盘或网络方式传播。该病毒会在系统目录中建立文件夹并释放wdfmgr.exe病毒文件，病毒为了自动运行，在每个硬盘分区中生成ntldr.exe和autorun.inf病毒文件，通过修改注册表键值实现开机自动启动，为了躲避杀毒软件查杀，该病毒还会通过注册表映像劫持使得多款杀毒软件或安全工具无法打开，该病毒会下载大量木马病毒到本机，清除困难。34. Backdoor.Win32.Gpigeon2007.bxj该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。它还会新建IE进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。如此用户计算机将被远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等。35. Worm.Win32.Agent. wb这是一个蠕虫病毒。病毒运行后会把自己复制到系统目录下，并修改注册表启动项实现开机自启动。同时病毒修改注册表信息，来禁用系统任务管理器，禁止WINDOWS自动升级，将系统文件和隐藏文件设置为不可见，以及锁定用户默认浏览器主页，并且试图关闭杀毒软件和安全工具。当病毒发现有标题为“瑞星主动防御”或者“恶意行为检测”的对话框时，就发消息模拟鼠标点击不处理，以此躲避杀毒软件查杀。它还会从网上下载新的木马病毒，并在可移动存储设备写入病毒。36.Backdoor.Win32.IRCbot. dtd该病毒运行后复制自身到驱动程序目录下，文件名为wmiadapi