Worm.Viking.dr病毒解决办法

瑞星2007杀毒软件免费下载  修复被威金感染的.EXE文件办法
Worm.Viking.dr病毒相关连接： Worm.Viking.dr威金病毒解决办法   威金病毒专杀工具：  Worm.Viking.dr维金病毒手动清除解决办法   瑞星专杀   江民专杀  ,更多..中了Worm.Viking.dr病毒怎么办? 解决办法: Worm.Viking.dr病毒解决办法   维金病毒手动清除解决办法


1、首先请尝试下使用专杀工具对付：

维金蠕虫病毒：

“维金”金山的 维金蠕虫病毒专杀工具： http://db.kingsoft.com/download/3/246.shtml  
“维金”瑞星的维金蠕虫病毒专杀工具： http://down1.tech.sina.com.cn/download/down_contents/1151769600/28441.shtml

2、将杀毒软件升级到最升病毒库，一般情况下Rising、Notron、KingsoftKAV等目前都能够查杀

3、我认为比较实用的方法: 安装杀毒软件升级到最新版本. 然后在桌面按F3搜索电脑所有分区扩展名为*.exe的文件. 再选中所有搜索到的文件杀毒就可以了. 杀完后如果发现有些游戏和软件不可用,那是因病毒所至可以重装游戏和软件.或者从别的电脑里将游戏和软件运行的图标exe文件复制过来安装到相应路径下就可解决.


4、Worm.Viking ：
这几天一直看到不少求援的帖子，从帖子内容看一直都只认为是个QQ尾巴，通过QQ自动发送如下消息：
看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ !h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C4/
看LOG时注意到rundl132.exe这个文件，此外，某个杀软会不断提示logo_1.exe这个东西。 拿到样本后才知道不是这么简单，各大杀软都对这个病毒做了应急处理。参考各杀软厂商的分析结果做如下简介：

病毒被激活后，释放以下文件：
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll

添加以下启动项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%SystemRoot%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%SystemRoot%\rundl132.exe"

感染所有分区下大小27KB-10MB的可执行文件（但不感染系统文件夹和programe files文件夹下的文件），并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话，恭喜恭喜，估计十有八九已遭遇不幸了，并且感染后会造成一些网友说的“EXE文件图标花了”

通过不安全的共享网络传播，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接\IPC$、\admin$等共享目录，连接成功后进行网络感染。

结束一些国内的反病毒软件进程，如毒霸，瑞星，木马客星等。

vdll.dll注入Explorer或者Iexplore进程，当外网可用时，下载其他木马程序(如前段时间比较BT的红底黑色龙头图案的WINLOGON)。

将拿到的几个样本文件看了下，其中rundl132.exe为病毒文件，VThunder为感染后的文件，Thunder为原文件。
winhex将这3个文件打开，发现感染方式为“头寄生”，VThunder文件头被插入了rundl132的代码。

rundl132.exe

VThunder.exe

Thunder.exe

offset删除至00069E6后另存为，即可还原到原来的thunder了。

维金病毒查杀记...

一、扩军备战。

1、要处理的的对象：

A、病毒文件（要删除）：win2k操作系统系统目录为winnt
c:\windows\logo_1.exe
c:\windows\rundl132.exe
c:\windows\dll.dll（也可能是c:\windows\vdll.dll)
大量存在各文件夹下的_desktop.ini

B、许多被感染的exe文件，使用最新引擎和病毒库的杀软消灭，瑞星2006和kv2006都能有效清除而不需删除。

C、注册表相关启动对象要删除，仅仅可以使用开始|运行|msconfig命令实现（注册表里面的操作我看网友们的介绍也比较详细了，挣分还是要讲究技巧的）。

特别申明：不要相信专杀工具，在彻底清除前，不要轻易运行任何exe文件。

二、全面战争：

1、再次备战，呵呵：
新建4个txt文本文档，并分别改名为
logo1_.exe,rundl132.exe,vdll.dll,dll.dll，在cmd界面下将他们设置为系统和只读属性，

命令为attirb 文件名.扩展名 +s +r，

他们大小都是0字节。将杀毒软件升级到最新。

2、肉搏战！！
方式1（麻烦）：
A、进入带命令行的安全模式，使用
del 路径\文件
的格式删除c:\windows下我提到的病毒文件。
B、使用
copy 源路径\文件 目标路径
的命令格式将我们伪造的文件替换病毒文件，（病毒说道：好毒一招，名曰：偷天换日）。
C、使用系统的搜索功能找出硬盘上所有的_desktop.ini文件并全部删除，使用最新病毒库的杀毒软件（瑞星2006或kv2006）清除所有硬盘上 exe文件上的病毒。晕！如何打开杀软或使用搜索功能，可以使用杀软主执行文件的路径打开程序或键入explorer，在桌面环境下使用杀软或搜索功能。
D、使用msconfig删除启动项（最好用regedit），使用杀软全盘杀毒。
方式2（不麻烦，所提到的命令的使用同方式1）：
A、不进入安全模式，打开cmd
B、使用进程手术刀(因为任务管理器权限不够终止不到,还有有的机器运行的进程是logo1_.exe,有的机器的进程是 rundl132.exe在运行)终止explorer（dll.dll和vdll.dll的注入进程)、logo1_.exe、 rundl132.exe，前面网友说的用任务管理器终止进程是行不通D。
C、使用del命令删除四个病毒文件，并用我伪造的文件替换，然后打开c:\windows\explorer.exe使用搜索功能找出全部的_desktop.ini并删除。
D、使用msconfig删除启动项（最好用regedit），使用杀软全盘杀毒。
ok，到此搞定。恭喜你，你已经消灭病毒，并拥有病毒免疫功能。（当然，你也可以将你的开机必须启动的文件，比如有的网友开机要启动无敌小闹钟啊，改名为病毒文件名修改为只读系统也行）

IE 浏览器顽固性连接某网站的解决办法 第一：右键点击IE浏览器，打开属性检查internet选项设置“主页”项是否被修改，如果是请改为空白页，并清空IE的临时文件夹。
　　第二：升级“瑞星杀毒软件”至最新版，查杀内存中是否有病毒运行（只查杀内存即可）。
　　第三：在开始菜单中的“运行”项中输入msconfig命令调出“系统配置实用程序”，检查“启动”项（2000系统可以从XP系统拷贝MSCONFIG.EXE使用）。记录每个不明启动项的文件名及所在路径，并取消这些自启动项。
　　第四：CTRL+ALT+DEL 打开 任务管理器 ，检查“进程”中是否有和启动项中同名的的程序在运行，尝试结束该进程！（注意，该名称很可能与某些系统程序同名，即恶意攻击程序伪装成系统进程运行。也许会有两个同名进程存在，这很可能就是你要找的凶手。）
　　第五：按照在启动项里所找到的文件路径，查找你刚刚你所结束的可以进程的文件。打开我的电脑，在窗口上方菜单中依次打开“工具——文件夹选项 ——查看，点选显示所有文件和文件夹”项，同时取消“隐藏受保护的操作系统文件”前的对勾，以便完全检查所有文件。（注意，已知恶意程序均为深度隐藏， 98系统下需打开显示隐藏文件功能，2000、XP系统下必须同时取消隐藏受保护的操作系统文件功能）
　　第六：找到目标文件后，请右键该文件查看属性。注意其创建时间和修改时间，多数病毒文件这两个时间都会一致或相差较小，这个时间就是你中招的时间。还有，请将查看设置为详细信息检查是否在该文件夹下还有同时间创建的文件，病毒有可能伪装成影音或其他格式的文件，不要被它迷惑更不要点击运行它。马上原地将它们压缩，改为其他名称，这样以来可以解除威胁，二来可以防止误删除系统文件。（如果提示你该程序正在运行，你可以重起机器后连续按F8键进入安全模式，然后压缩）当然，如果你可以确认是病毒，最好直接删除~
　　第七：使用开始菜单中的“搜索”功能在硬盘上完全查找你发现的可以文件，看是否在其他位置还有该文件副本一并删除。（笔者所遭遇的恶意程序就是在伪装成任务管理器的同时又伪装成notepad.exe记事本程序，并使得所有记事本文件都会通过它打开，也就是说你打开某个记事本文件的同时恶意程序会再度运行。）另外，请手动检查windows文件夹下是否存留同名病毒文件，还有windows下的system和system32文件夹也要仔细检查，笔者发现最近的病毒都将自身副本加入了上述三个文件夹中，如果清楚不干净很可能死灰复燃！
　　第八：重新启动你的电脑，连线上网打开IE，看看是否已经恢复正常。如果不行请再次按上述方法更详细的分析一下，看看是否有遗漏。
　　第九：问题解决不要高兴的太早，这种恶意程序引导的网站很有可能带有病毒或木马程序。请将杀毒软件升级至最新版本进入安全模式完全查杀一遍，保证安全！

cmd.exe病毒的清除方法
md.exe 病毒的清除方法如下：开机CPU就是100％，查进程，原来是cmd.exe 占用了绝大部分的CPU。关闭cmd.exe后，CPU实用率恢复正常。但是再次开机的时候，CPU又是100％，cmd.exe 依然占用了绝大部分的CPU。
　　
1.装了ewido 查杀木马，查出了几个感染目标，已删除。但是今
　　天早上开机，CPU又是100％，cmd.exe 依然占用了绝大部分的CPU。
　　
2.再装“木马清除专家2006”，查杀，结果没有发现木马。
　　
3.查system 32 中的 CMD.EXE 大小，结果如下：　　CMD.EXE 大小：459 KB (470,016 字节) 　　占用空间：460 KB (471,040 字节) 　应该没有异常。
如果出现这种情况，很不幸，你99％是中了木马了。不过不妨继续验证一下，假定你的windows安装盘位于C:\，并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项，则
查看你的c:\Program Files\Internet Explorer\PLUGINS\目录，应该会发现有new123.bak和new123.sys两个文件；
查看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目录，应该会发现有 MicroSoft.bat这个文件；你可以用记事本打开MicroSoft.bat文件，发现其中提到一个exe文件（具体名称会有不同），你也会在该目录下发现这个exe文件；
如果以上两步你并未发现相应文件，请将你的文件查看改为不隐藏已知文件后缀，并在系统盘内进行文件搜索，确认是否的确没有相关的文件。

木马描述
该木马主要是因为用户安装了嵌入木马程序的安装程序所致，这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序（比如qq的一些版本等）。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE 插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件，所以才出现“症状描述”中所描述的情况。  

该木马的母体就是new123.sys，属于Trojan-PSW.Win32.Delf.mc，可能会偷取你的一些应用的帐号和密码。
木马清除
该木马可以很方便的手工清除，过程如下：
打开“任务管理器”，在“进程”中结束cmd.exe的运行，此时CPU占用率会明显下降；
进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录，删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件；（这一步不做也没有问题，但最好清除掉）
进入c:\Program Files\Internet Explorer\PLUGINS\目录，删除new123.bak文件，但此时你无法删除new123.sys文件，因为系统正在使用，你有两种方式处理new123.sys文件： 重启机器并进入安全模式对new123.sys进行删除；当前状态虽无法删除该文件，但可更改new123.sys的文件名为new123.sysdel，并且重启机器（无需进入安全模式）后，再把 new123.sysdel进行删除。 处理完后，如果“症状描述”中的情况消失，则说明清除成功。
XP系统里并没有cmd.exe的进程，cmd.exe是XP系统的命令提示符程序，可以执行一些在DOS下执行的应用程序，但是并不会随系统启动时运行，这有可能是个木马或者其他病毒程序，建议查杀
1、如果安装文件就在硬盘上，而且系统是从硬盘的安装目录装的，那先将这个安装目录改个名字
2、删除c:\winnt\system32\dllcache\cmd.exe，
3、然后再删除system32\cmd.exe
4、系统会提示说系统文件丢失要求插入光盘，忽略就行了
禁止运行命令解释器和批处理文件方法：通过修改注册表，可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。新建一个双字节 (REG＿DWORD)执行HKEY＿CURRENT＿USER＼Software＼Policies＼ Microsoft＼Windows＼ System＼DisableCMD，修改其值为2，命令解释器和批处理文件都不能被运行。修改其值为1，则只是禁止命令解释器的运行。
就是替换掉系统的cmd.exe文件。但是由于此文件受系统保护，所以必须用一种特殊的办法。至于那个用来替换cmd.exe的文件，可以随便找一个运行时候没有什么提示的东西就行。C:\Windows\system32下面有很多这样的文件，随便找一个就行。替换方法是：首先删除C:\WINDOWS\ system32\Dllcache\下面的cmd.exe，然后尽快将C:\WINDOWS\system32\下面的cmd.exe替换成所需的文件。当系统提示要求插入WINDOWS安装光盘的时候，不要理他，直接单击“取消”就可以了。之后当你开始-〉运行-〉cmd的时候，dos窗口自然不会出现了百度提供的解决方法如下： 1：XP系统里并没有cmd.exe的进程，cmd.exe是XP系统的命令提示符程序，可以执行一些在DOS下执行的应用程序，但是并不会随系统启动时运行，这有可能是个木马或者其他病毒程序，建议查杀 1）、如果安装文件就在硬盘上，而且系统是从硬盘的安装目录装的，那先将这个安装目录改个名字 2）、删除c:\winnt\system32\dllcache（没有这个子文俭） \cmd.exe， 3）、然后再删除system32\cmd.exe 4、系统会提示说系统文件丢失要求插入光盘，忽略就行了禁止运行命令解释器和批处理文件方法：通过修改注册表，可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。新建一个双字节 (REG＿DWORD)执行HKEY＿CURRENT＿USER＼Software＼Policies＼ Microsoft＼Windows＼ System＼DisableCMD，修改其值为2，命令解释器和批处理文件都不能被运行。修改其值为1，则只是禁止命令解释器的运行。就是替换掉系统的cmd.exe文件。但是由于此文件受系统保护，所以必须用一种特殊的办法。至于那个用来替换cmd.exe的文件，可以随便找一个运行时候没有什么提示的东西就行。C:\Windows\system32下面有很多这样的文件，随便找一个就行。替换方法是：首先删除C:\WINDOWS \ system32\Dllcache\下面的cmd.exe，然后尽快将C:\WINDOWS\system32\下面的cmd.exe替换成所需的文件。当系统提示要求插入WINDOWS安装光盘的时候，不要理他，直接单击“取消”就可以了。之后当你开始-〉运行-〉cmd的时候，dos窗口自然不会出现了 2：这个问题我最近也才遇到,系统装配和你的一样,懒得重装,所以就特别注意了一下,还好问题解决了! 我的电脑症状最开始是开机过会出现 CMD.EXE进程,当初只要结束此任务就可以了,可是后来装了杀毒软件后只要一打开新的窗口或刷新桌面就会出现,还是每个页面出现一个CMD.EXE进程. 还好最近工作少,我就跟踪了一下,发现每当出现CMD.EXE进程之前都会出现bow.dll进程,通过搜索发现是在IE PLUGINS中的一个控件,做好重装机器准备将其删除还有bow.bak和bow.sys结果CMD.EXE进程不见了! 个人不是专业搞杀毒的,希望此方法对你有所帮助,另外我也把注册表中Explorer Bars->{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}-> FileNamedMRU中有关bow删除掉,顺便搜索一下其它键值是否也包含一起删除,以防万一. 这里我根本不能找到bow.bak 以及 BOW.SYS,我已经把所有的文件全部显示出来，还是找不到。所以不知道从那里删起。 3：其一：病毒感染 据我所知的某些木马程序，通常会利用 CMD.EXE这个命令行系统进行病毒加载或者是DLL插入，并且文件的大小会改变 CMD.EXE 大小：459 KB (470,016 字节) 占用空间：460 KB (471,040 字节) 若与该数字不太吻合，请注意，肯定是病毒感染了没错解决办法：进入安全模式，删除CMD.EXE然后从windows\\servicespackfiles\\i386 文件夹中再复制一份到system32文件夹下。 其二：有启动项目是需要 cmd.exe命令行支持运行的，若你的CMD.EX不能正常运行的话，会始终出现提示解决办法：修复cmd.exe即可，参照第一种情况的解决办法  我的那个文件是三百多k,而且system32下以及i386下的cmd.exe一样大小。 4：我现在每次关机先把那个进程结束掉，然后就ok乐，没有什么其它的问题。

十大流行病毒手动查杀详解

2006十大病毒手工查杀方法
　　一、“灰鸽子”
　　病毒名称：Backdoor/Huigezi
　　病毒中文名：“灰鸽子”
　　病毒类型：后门
　　影响平台：Win9X/ME/NT/2000/XP
　　描述：Backdoor/Huigezi.**“灰鸽子”是一个未经授权远程访问用户计算机的后门。以 “灰鸽子”变种cm为例，该变种运行后，会自我复制到系统目录下。修改注册表，实现开机自启。侦听黑客指令，记录键击，盗取用户机密信息，例如用户拨号上网口令，URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外，“灰鸽子”变种cm可下载并执行特定文件，发送用户机密信息给黑客等。
　　手工清除方法：
　　对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。
　　由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows 启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“SafeMode”或“安全模式”。
　　1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。
　　2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录(默认98/xp为C:\windows，2k/NT为C:\Winnt)。
　　3、经过搜索，我们在Windows目录(不包含子目录)下发现了一个名为*****_Hook.dll的文件。
　　4、根据灰鸽子原理分析我们知道，如果*****_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有*****.exe和 *****.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的*****Key.dll文件。
　　5、打开注册表编辑器(点击“开始”-》“运行”，输入“Regedit.exe”，确定。)，打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
　　6、点击菜单“编辑”-》“查找”，“查找目标”输入“*****.exe”，点击确定，我们就可以找到灰鸽子的服务项(此例为*****_Server)。
　　7、删除整个*****_Server项。
　 二、“传奇窃贼”
　　病毒名称：Trojan/PSW.LMir
　　病毒中文名：“传奇窃贼”
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win9x/2000/XP/NT/Me
　　描述：传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后，主程序文件自己复制到系统目录下。修改注册表，实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后，会自动重启。窃取“传奇2”帐号密码，并将盗取的信息发送给黑客。
　　手动清除方法：
　　它会在%WinDir%目录下生成的explorer.com文件也很迷惑人，与explorer.exe就差一个扩展名(如图2)。病毒经过UPX加壳处理，脱掉后可以看出是用VisualC++6.0编写的。
　　1、先再任务管理器中结束explorer.com进程，注意：是explorer.com而不是explorer.exe。
　　2再将每个硬盘分区根目录下bbs.exe和web.exe两个文件删除掉，注意：删除后就不要再打开这个分区了，否则会再次感染。
　　3删除%WinDir%\explorer.com文件(注：WindowsXP系统在C:\windows\explorer.com，Windows2000/NT系统在C:\WINNT\explorer.com。)
　　4最后在注册表中删除
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"Net"=%WinDir%\services.exe
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows]
　　"Load"=%WinDir%\assistse.exe
　　这两个键值，这样病毒就不会随这机器开机运行了。
　　三，高波和瑞波
　　高波： Backdoor/Agobot.** “高波”主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOM RPC漏洞提升权限，允许黑客利用IRC通道远程进入用户计算机。该程序运行后，程序文件自我复制到系统目录下，并修改注册表，以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道，侦听黑客指令。
　　瑞波：该病毒经过多层压缩加密壳处理，可以利用多种系统漏洞进行传播，感染能力很强。中毒计算机将被黑客完全控制，成为"僵尸电脑"。由于此病毒会扫描感染目标，因此可以造成局域网拥堵。
　　高波：
　　第一种
　　1、自动清除：断开网络，升级杀毒软件对电脑进行全盘扫描。
　　2、高波手工清除：打好微软MS03-007、MS03-026、MS04-011、MS04-031补丁，在系统目录下找到病毒文件名为Medman.exe，并将其删除。
　　第二种
　　1、进入任务管理器，结束winaii.exe和netlink32.exe进程，然后打开资源管理器，进入c:\windows\ system32目录，查找winaii.exe和netlink32.exe两文件，将其删除。在系统启动项目(开始>运行> msconfig进入)中去掉其相应的加载启动项。然后安装杀毒软件，升级病毒库后进行杀毒。接着安装相应windowsXP或windows2000的补丁程序，重启系统。
　　2、如果按如上的方法不能清除病毒，可以从安全模式下进行处理，方法如下：在安全模式下，打开注册表，在“编辑”中“查找” “winaii.exe”和“netlink32.exe”,删除找到的“winaii.exe”和“netlink32.exe”项目。查看 windows\system32目录下是否有winaii.exe和netlink32.exe这两个文件，有则删除。最后杀毒、打补丁并重启计算机。
　　3、该病毒具有密码库，能够破解机子的一些较简单的密码(密码仅包含数字或26个字母称为简单密码)，尤其是对于windows2000系统，往往刚杀完病毒后又染上该病毒了。所以建议在杀毒的过程中最好断开网络连接，确定杀完病毒和打好补丁(MS03- 007、MS03-026、MS04- 011、MS04-031补丁)后，为机子重设一个复杂的密码(密码包含问号，点号等特殊符号)。
　　瑞波：
　　手工清除：在系统目录下找到病毒文件msxml32.exe，在注册表中找到键值msxml32.exe，将其删除。打上微软MS03-007、MS03-026、MS04-011、MS04-031四个漏洞补丁
　　四、“CHM木马”
　　病毒名称：Exploit.MhtRedir
　　病毒中文名：“CHM木马”
　　病毒类型：木马、脚本
　　危险级别：★★
　　影响平台：Windows98/ME/NT/2000/XP/2003
　　描述：
　　利用IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本，
　　自从2003年以来，一直是国内最为流行的种植网页木马的恶意代码类型，
　　2005年下半年，泛滥趋势稍有减弱，2006年上半年的感染数量仍然很大，
　　没有短期内消亡的迹象。
　　手工清除方法：
　　打上微软MS03-014和MS04-023系统漏洞补丁，找到以下病毒和配置文件并将其删除：
　　%SystemDir%\dllcache\pk.bin,3680字节，病毒配置文件
　　%SystemDir%\dllcache\phantom.exe,393216字节，病毒程序
　　%SystemDir%\dllcache\kw.dat,803字节，病毒配置文件
　　%SystemDir%\dllcache\phantomhk.dll,8704字节，病毒模块
　　%SystemDir%\dllcache\phantomi.dll,215040字节，病毒模块
　　%SystemDir%\dllcache\phantomwb.dll,40960字节，病毒模块
　　在注册表中定位到键值，并将该键值删除：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom"=%SystemDir%\dllcache\phantom.exe
　　五、“QQ大盗”
　　病毒名称：Trojan/QQPass
　　病毒中文名：“QQ大盗”
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win9X/2000/XP/NT/Me
　　描述：Trojan/QQPass.ak是用Delphi编写并经过压缩的木马，用来窃取游戏"传奇"信息。
　　传播过程及特征：
　　1.创建下列文件：
　　%System%\winsocks.dll,91136字节
　　%Windir%\intren0t.exe,91136字节
　　2.修改注册表：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"Intren0t"=%Windir%\intren0t.exe
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]"Intren0t"=%Windir%\intren0t.exe
　　这样，在Windows启动时，病毒就可以自动执行。
　　注：%Windir%为变量，一般为C:\Windows或C:\Winnt;%System%为变量，一般为C:\Windows\ System(Windows95/98/Me),C:\Winnt\System32(WindowsNT/2000),或C:\Windows\ System32(WindowsXP)。
　　手工清除：
　　在系统目录找到病毒文件winsocks.dll和intren0t.exe，并将其删除。打开注册表并定位到以下键值，将键值删除：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"Intren0t"=%Windir%\intren0t.exe
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
　　"Intren0t"=%Windir%\intren0t.exe
　六、“工行钓鱼木马”
　　病毒名称：TrojanSpy.Banker.**
　　病毒中文名：“工行钓鱼木马”
　　病毒类型：木马
　　危险级别：★★★
　　影响平台：Windows98/ME/NT/2000/XP/2003
　　描述：这是一个十分狡猾的盗取网上银行密码的木马病毒。病毒运行后，在系统目录下生成svchost.exe文件，然后修改注册表启动项以使病毒文件随操作系统同时运行。
　　病毒运行后，会监视微软IE浏览器正在访问的网页，如果发现用户在工行网上银行个人银行登录页面上输入了帐号、密码，并进行了提交，就会弹出伪造的IE窗，内容如下：“为了给您提供更加优良的电子银行服务，6月25日我行对电子银行系统进行了升级。请您务必修改以上信息!”
　　病毒以此诱骗用户重新输入密码，并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒，感染灰鸽子的用户系统将被黑客远程完全控制。
　　手工清除：在系统目录下找到svchost.exe病毒文件，并将其删除，打开注册表找到svchost.exe的关联键值，并将其删除。
　七、“敲诈者”
　　病毒名称：Trojan/Agent.**
　　病毒中文名：“敲诈者”
　　病毒类型：木马
　　危险级别：★★★
　　影响平台：Win9X/ME/NT/2000/XP/2003
　　描述：毒在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹，名为“控制面板. {21EC2020-3AEA-1069-A2DD -08002B30309D}”，同时搜索本地磁盘上的用户常用格式文档(包括.xls、.doc、.mdb、.ppt、wps、.zip、.rar)，把搜索到的文件移动到上述备份文件夹中，造成用户常用文档丢失的假象
　　手工清除方法:
　　1、打开工具选项—〉文件夹选项—〉选择显示所有文件和文件夹并且将隐藏受保护的操作系统把文件前的√去掉。
　　2、将根目录下的名为“控制面板”隐藏文件夹用WinRAR压缩，然后启动WinRAR，切换到该文件夹的上级文件夹，右键单击该文件夹，在弹出菜单中选择"重命名"。
　　3、去掉文件夹名“控制面板”后面的ID号，即可变为普通文件夹了;也可直接进入该文件夹找回丢失的文件。
　　八、维京
　　该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点，进入用户的电脑之后，它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒的电脑中，窃取用户的网络游戏密码，严重时造成系统完全崩溃。
　　手工清除方法：
　　在下列系统目录中找到相应病毒文件并删除：
　　%SystemRoot%\rundl132.exe
　　%SystemRoot%\logo_1.exe
　　病毒目录\vdll.dll
　　定位到以下注册表键值并将其删除：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\current\Version\Run]
　　"load"="C:\\Windows\\rundl132.exe"
　　[HKEY_CURRENT_USER\Softwre\Microsoft\Windows NT\CurrentVersion\Windows]
　　"load"="C:\\Windows\\rundl132.exe"
　　九，爱情后门
　　一、感染后的症状
　　在每个盘里自动生成几个压缩包，install.ZIP pass.ZIP setup.ZIP bak.RAR
　　pass.RAR
　　二、方法
　　第一种
　　结束进程： hxdef.exe iexplore.exe NetMeeting.exe
　　(如果结束不了，进安全模式(开机,按F8)在杀毒。或者先删注册表中的各项，重启后再删文件)
　　删掉%systemroot%system32下(systemroot,即安装系统的分区,一般为 C:\ )的：
　　hxdef.exe
　　ravmond.exe
　　iexplore.exe
　　kernel66.dll
　　odbc16.dll
　　msjdbc11.dll
　　MSSIGN30.DLL
　　spollsv.exe
　　NetMeeting.exe
　　(注意，有的文件是隐藏文件)
　　删掉%systemroot%目录下的systra.exe
　　删掉各个磁盘跟目录下的autorun.inf和command.exe(都是隐藏文件)
　　删掉各个磁盘跟目录下的rar和zip文件(大小126k)
　　关闭系统还原(此病毒可能感染系统还原目录内的文件)
　　搜索各磁盘中的.zmx文件，把相应目录中的exe文件删掉(如果是abc.zmx，就删掉 abc.exe，注意，此文件是125k。)然后把 zmx文件改回exe(如abc.zmx改成abc.exe)。文件属性被修改，通过下面这条命令改回属性：attrib -s -h *.zmx /s(在发现zmx文件的磁盘跟目录下运行，如：F:>attrib -s -h *.zmx /s
　　删掉注册表中下面各项：
　　HKEY_LOCAL_MACHINESOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
　　"Hardware Profile"="%Windir%\System32\hxdef.exe"
　　"VFW Encoder/Decoder Settings"="
　　RUNDLL32.EXE MSSIGN30.DLL　ondll_reg"
　　"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
　　"Program In Windows"="%Windir%\System32\IEXPLORE.EXE"
　　"Shell Extension"="%Windir%\System32\spollsv.exe"
　　"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL　ondll_reg"
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
　　unServices
　　"SystemTra"="%Windir%\SysTra.EXE"
　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices_reg
　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows
　　Management Protocol v.0 (experimental)
　　进入注册表的方法: "开始" \ "运行" \ 输入"regedit" \ 回车
　　第二种
　　手工杀毒步骤为：
　　1.删除了以上列出的病毒文件，有些文件只能在安全模式下删除。
　　2.然后修改注册表，删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
　　Windows\CurrentVersion\Run]中的相应条目。
　　3.删除服务，可以使用resource kit中的delsrv命令，也可以到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services中删除。
　　做了以上工作后，计算机暂时恢复正常。但是过了一段时间以后，发现计算机重新感染病毒，原来的所有现象重新出现。再做一遍仍然如此。使用任务管理器查看进程，未发现其它可疑进程。后来使用瑞星最新版本杀毒，可以看到winnt\explorer.exe感染病毒，但无法杀掉。所以把注意力转到这个文件上，经检查文件尺寸为238kb，到别的正常机器上一看，结果是233kb，原来如此。由于操作系统运行过程中无法替换该explorer.exe 文件，所以使用win2000安装光盘启动，进入恢复控制台。使用软盘把从正常计算机上拷贝来的文件替换上。并且使用上面的三个步骤手工杀毒。
　 十、工行钓鱼木马：
　　这是一个十分狡猾的盗取网上银行密码的木马病毒。病毒运行后，在系统目录下生成svchost.exe文件，然后修改注册表启动项以使病毒文件随操作系统同时运行。
　　病毒运行后，会监视微软IE浏览器正在访问的网页，如果发现用户在工行网上银行个人银行登录页面上输入了帐号、密码，并进行了提交，就会弹出伪造的IE窗，内容如下： “为了给您提供更加优良的电子银行服务，6月25日我行对电子银行系统进行了升级。请您务必修改以上信息!”
　　病毒以此诱骗用户重新输入密码，并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒，感染灰鸽子的用户系统将被黑客远程完全控制。
　　1、自动清除：断开网络，升级杀毒软件对电脑进行全盘扫描。
　　2、手工清除：在系统目录下找到svchost.exe病毒文件，并将其删除，打开注册表找到svchost.exe的关联键值，并将其删除

Rootkit.Agent病毒的清除方法

最近有很多朋友说感染了Rootkit.Agent系列病毒
以下方法为Rootkit.Agent病毒的简易处理方法：
方案一：
1.首先关闭系统还原模式（我的电脑右键属性->系统还原选项卡->"在所有驱动器上关闭系统还原"前打勾）
2.重新启动计算机进入安全模式（开机过程中按F8键即可进入操作系统的安全模式） www.kuaisha.com
3.选用木马克星或木马杀客之类的木马专杀工具进行清除即可！
木马克星下载地址
木马杀客下载地址:


至此Rootkit病毒清除完毕！


方案二：（此前有用户反映单纯借助杀毒软件或木马工具无法删除此病毒，特添加方案二供用户选择，屡试不爽）
由于病毒文件可能插入到系统进程中导致杀毒软件或木马查杀工具会警告“需要重启计算机清除”，此时我们可以选择用一款绿色软件“冰刃”将病毒文件直接清除（一般情况下不会对操作系统也就是你的电脑产生影响）
冰刃的下载地址:.com
开始操作：下载并打开冰刃之后，点击软件左侧的“文件”菜单，接着在软件左侧区域选择病毒所在的盘符与目录（杀毒软件或木马查杀工具会告之用户病毒文件的所在位置），找到病毒所在目录后，屏幕右侧会出现该目录下的相应文件，在这些文件中找到病毒文件（杀毒软件或木马查杀工具报告的感染病毒的文件），点击鼠标右键选择“强行删除”即可！（此处注意：删除文件时是点击鼠标右键选择“强行删除”而不是“删除”）
此时Rootkit.Agent病毒清除完毕，再用杀毒软件查查看，病毒是不是已经没有了？祝各位好运！

美女游戏病毒的杀除办法

这个病毒是下载者病毒，有连网操作，同时会修改系统时间为1980,导致反病毒软件失效。
病毒分析：
生成文件：
wzkSP.exe(随机) Trojan.DL.Agent.dao
C:\WINDOWS\wzkSP.exe （随机的文件名）(51,200 字节) hidden
C:\WINDOWS\002.exe 5,688 字节
C:\WINDOWS\003.exe 61,440
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
4002http://www.sinavip.net/k1.rar ;
4005http://www.sinavip.net/ms.rar ;
31"http://www.lcsm.cn/nami.htm"
31"http://www.jing88.com/1ndex.asp"
31"http://www.ishici.com"

C:\WINDOWS\002.txt
C:\WINDOWS\003.txt
X:\autorun.inf
X:\wzkSP.exe随机名
同时修改系统时间为1980

注册表修改：
HKLM\Software\Microsoft\Windows nt\Currentversion\Winlogon\userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
同时病毒还会下载一大批垃圾流氓软件，建议使用一些流氓软件专杀工具进行清除！U盘病毒专杀工具只处理病毒部分。

美女游戏病毒怎么杀?

结束进程：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe
没有发现此病毒禁用任务管理器。也可以用其他工具如procexp等

用autoruns 删除以下项目（建议用autoruns，一是没被禁，二是一目了然，注意先选Options-Hide Microsoft Entries）：（实际上我自己用的是冰刃，改个扩展名就可以用，可以中止进程，阻止进程创建，也可以强行删掉文件，改动注册表，很不错）
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe

这样包括IceSword、SREng、注册表编辑器和系统配置实用程序在内的部分程序不再被禁止

删除或修改启动项：
以用SREng为例
在“启动项目”-“注册表”中删除：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mpnxyl><C:\WINDOWS\system32\gfosdg.exe> [N/A]
<gfosdg><C:\WINDOWS\system32\severe.exe> [N/A]

双击以下项目，把“值”中Explorer.exe后面的内容删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe> [N/A]

删除文件：
由于非系统盘即便右键打开也会有危险，应该采用其他方法，推荐用IceSword或WINRAR来做
删除：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf

系统修复与清理：

在注册表展开
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
建议将原CheckedValue键删除，再新建正常的键值：
"CheckedValue"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoDriveTypeAutoRun键的值，是否要改，要改为什么，视乎各人所需，一般默认为91（十六进制的）
此键的含义，请搜索网上资料，在此不再赘述

HOSTS文件的清理
可以用记事本打开%systemroot%\system32\drivers\etc\hosts，清除被病毒加入的内容
也可以用SREng在“系统修复”-“HOSTS文件”中点“重置”，然后点“保存”

最后修复一下服务被破坏的杀毒软件。

Backdoor.Win32.Agent.ams木马病毒分析报告




一、   病毒标签：

病毒名称： Backdoor.Win32.Agent.ams
病毒类型： 后门类
文件 MD5： B47B5F40AC9D447E17C95709E2ACD3F9
公开范围： 完全公开
危害等级： 4
文件长度： 52,962 字节
感染系统： windows 98以上版本
加壳类型： 未知壳

二、 病毒描述：
该病毒为后门类，病毒运行后，复制自身到%system%目录下，并重命名为winamp.exe (名字可变，如：spoolsvc.exe)，删除自身。修改注册表，添加启动项，以达到随机启动的目的。主动连接网络，开启端口，等待病毒服务端连接。该病毒可以窃取用户的敏感信息。

三、 行为分析：
1、病毒运行后，复制自身到%system%目录下,其中winamp.exe的名字可变，如：spoolsvc.exe；并删除自身：
%system%\winamp.exe

2、修改注册表，添加启动项，以达到随机启动的目的,其中winamp.exe的名字可变，如：spoolsvc.exe，具体如下：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: "随机" = "C:\WINDOWS\system32\winamp.exe"


3、主动连接网络，开启端口，等待病毒服务端连接（文件winamp.exe的名字可变，如：spoolsvc.exe）:
协议：TCP　                             协议：TCP
地址：216.227.213.56　             地址：222.171.7.213
端口：1863　                            端口：随机
文件：winamp.exe                     文件：winamp.exe　　　　   
4、该病毒可以窃取用户的敏感信息。

注：%System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32， windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\ System32。
四、 清除方案：
    1、使用安天木马防线可彻底清除此病毒(推荐)。
    2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
        (1) 使用安天木马防线“进程管理”关闭病毒进程
关闭病毒进程winamp.exe
        (2) 删除病毒文件
%system%\winamp.exe
        (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: "随机" = "C:\WINDOWS\system32\winamp.exe"

落雪病毒清除方法

病状：D盘双击打不开，里面有autorun.inf和pagefile.com文件做这个病毒的人也太强了，在安全模式用Administrator一样解决不了！经过一个下午的奋战才算勉强解决。我没用什么查杀木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。所以要在文件夹选项里打开显示隐藏文件。 D盘里就两个，搞得你无法双击打开D盘。里盘里的就多了！ D:\autorun.inf D:\pagefile.com C:\Program Files\Internet Explorer\iexplore.com C:\Program Files\Common Files\iexplore.com C:\WINDOWS\1.com C:\WINDOWS\iexplore.com C:\WINDOWS\finder.com C:\WINDOWS\Exeroud.exe（忘了是不是这个名字了，红色图标有传奇世界图标的） C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标，名字忘了-_- 好大好明显非隐藏的) C:\Windows\system32\command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。 C:\Windows\system32\msconfig.com C:\Windows\system32\regedit.com C:\Windows\system32\dxdiag.com C:\Windows\system32\rundll32.com C:\Windows\system32\finder.com C:\Windows\system32\a.exe 　　对了，看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不要运行任何程序，要不就又启动了，包括双击磁盘还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要杀掉她！！ C:\Windows\WINLOGON.EXE 这个在进程里可以看得到，有两个，一个是真的，一个是假的。真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM，而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。

　　这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会呆在你的进程里！我现在所知道的就这些，要是不放心，就最好看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的，连系统还原夹里都有！！这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行 msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！　　知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护操作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run 里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！　　然后注销！重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把autorun.inf和pagefile.com删掉，然后再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！ 然后再注销。

　　我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。　　然后，到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com ．我也会用com文件，然后双击这个COM文件，然后行动可以进入到DOS下的命令提示符。再打入以下的命令： assoc .exe=exefile （assoc与.exe之间有空格） ftype exefile="%1" %* 　　这样exe文件就可以运行了。如果不会打命令，只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。

　　但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的1.com文件。）,最后用上网助手之类的软件全面修复IE设置．　　最后说一下怎么解决开机跳出找不到文件“1.com”的方法：在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" 大功告成！大家分享一下吧！

ctfnom.exe木马病毒解决方案

信息来源：服务器安全讨论区

病毒名称：Trojan-Downloader.Win32.Small.czl（Kaspersky）
病毒别名：Trojan.Small.jeu（瑞星） Win32.TrojDownloader.Small.34542（毒霸）
病毒大小：27,890 字节
样本MD5：c710a10fd1bfee40e6980afceebf5d13
样本SHA1：8a3cb8c5c6d0a43e8f6330363ebf0a0a64ef1ffb
发现时间：2007.2
更新时间：2007.2
传播方式：恶意网页、其它病毒下载
技术分析
========
变种：
【CISRT2006092】木马 twunk32.exe TIMPlatform.exe TIMPlatfrom.exe 解决方案
木马运行后复制自身到系统目录下：
%System%\ctfnom.exe
注入进程……
释放文件：
%System%\drivers\usbue.sys
创建启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"twin"="%System%\ctfnom.exe"
使用病毒副本替换QQ目录下的TIMPlatform.exe文件，原TIMPlatform.exe被改名为TIMPlatfrom.exe。

清除步骤
========
1.删除QQ目录下被木马替换的TIMPlatform.exe
%QQ%\TIMPlatform.exe
2. 重命名TIMPlatfrom.exe文件：
将%QQ%\TIMPlatfrom.exe重命名为TIMPlatform.exe
3. 删除木马启动项
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"twin"="%System%\ctfnom.exe"
4. 重新启动计算机
5. 删除木马文件：
%System%\ctfnom.exe
%System%\drivers\usbue.sys

stup.exe木马病毒的清除办法

病毒文件名：stup.exe
　　文件路径：C:\PROGRA~1\TENCENT\Adplus\stup.exe(多数情况下)


　　(注:有可能是SOSO的地址栏插件,如果在以上路径找到了,那就是病毒了,要没有,就是SOSO)
　　说明：此病毒文件可能通过QQ、MSN、邮件传播，多数情况下默认保存在QQ的TENCENT文件夹下;如果机器是通过公司局域网上网的话，运行该病毒将会阻止病毒机与路由器服务器间的数据传输，使病毒机无法访问网络;该病毒默认修改PC的注册表，随机启动;

病毒清除：
　　1、 重新启动系统，进入安全模式下;


　　2、 找到C:\PROGRA~1\TENCENT文件夹，将此文件夹下的Adplus文件夹删除;


　　3、 用系统搜索功能搜索stup相关文件，找到后删除;

　　4、 进入注册表管理器：开始菜单――运行――输入regedit――双击注册表管理器中的“我的电脑项”――然后选择“编辑”菜单――查找――输入stup查找――通过“查找下一项”删除所有相关内容;


　　Ok，此病毒已清理完成，重新启动计算机即可;
　　注：有的计算机启动时会出现一个dos调用窗口，这个是木马之类的病毒在调用病毒文件，如有此现象，可记住dos启动的文件名，按上边的方法进行清除;
　　同时发现的非法进程有：appevent.exe、ylive.exe、PYJJKIME.exe

soundmix.dll病毒清除方法

清除步骤:

1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
      清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。
2、开始--运行--regedit，打开注册表，点注册表中的"我的电脑"—>点"编辑"— >查找，输入soundmix.dll ，找到的项目就点右键--删除，按F3继续，直到查找完毕. 然后用同样的方法查找 soudmax.dll ,找到的项也全部删除.
3、显示“受保护的操作系统文件”（如果不会，请看http://www.31896.net/Html/2007-3/1/15571758025.shtml）
  
   使用unlocker删除以下文件：
                                              C:\WINDOWS\system32\soundmix.dll
                                              C:\WINDOWS\system32\soudmax.dll
4、重启计算机，病毒清除完毕。

LZ你辛苦了...