常见外伤处理方法-烧伤的常见急救处理方法

发布时间：2017-10-12 所属栏目：常见设备故障处理方法

一 : 烧伤的常见急救处理方法

烧伤及烫伤在日常生活和战时均较常见，现场急救处理是否及时得当，不仅对以后的治疗有重要影响，而且直接关系到伤者的生命安全。下面就是我们为大家整理的烧伤的常见急救处理方法相关资料，供大家参考。

“www.61k.com”

烧伤怎么处理烧伤的常见急救处理方法

烧伤的常见急救处理方法

当自己或他人被烧伤或烫伤时应该怎么办呢?

1、尽快脱去着火或被热水浸透的衣服，如来不及，应迅速卧倒，慢慢地滚动以压灭火苗，如有凉水，应立即将受伤部位浸入水中，以降低局部温度。切勿奔跑呼叫或用双手扑打火焰，以免助长燃烧或造成头面部、呼吸道及双手烧伤。

2、为避免受伤部位再次损伤，伤处的衣裤鞋袜应剪开取下，不可剥脱。

3、去除热源后，不太严重的肢体烫伤可用冷水或冰水浸泡，此法可减轻损伤和疼痛，效果较好。

4、如受伤面积很大，应立即送医院救治。转运时应注意避免伤处感染，受伤部位可用干净的床单、衣服等简单包扎，并避免受压。对呼吸道烧伤或昏迷者，应特别注意保持其呼吸道通畅，有条件的可进行输氧。运送途中要注意防寒、防尘，要注意防止颠簸，车速不宜太快。

5、由于儿童烧伤、烫伤最为常见，因此，对易造成烧伤的物品，如热水瓶、火炉、开水、沸汤等应放在儿童拿不到的地方，并教育儿童不要玩火或玩易燃、易爆物品，以避免烧伤、烫伤事故的发生。

皮肤烫伤怎么办?

被开水、热汤、热油、蒸汽等烫伤时，轻者皮肢潮红、疼痛，重者皮肢起水泡，表皮脱落。发生烫伤后，可按如下方法处理：

(1)立即小心地将被热液浸透的衣裤、鞋袜脱掉，用清洁净的冷水喷洒伤处或将伤处浸入清洁的冷水中，也可以用湿冷毛巾敷患处，还可以用食醋侥到被烫伤的皮肤上。

(2)尽可能不要擦破水泡或表皮，以免引起细菌感染。为了防止烫伤处起水泡，可用食醋洗涂患处，也可以用鸡蛋清涂擦患处。如果水泡已经被擦破，可用消毒过的纱布覆盖伤处，然后送医院治行。

(3)轻度烫伤或烫伤面积较小，可用鸡蛋油涂患处(鸡蛋油的做法是：取鸡蛋1个，去掉蛋清，将蛋黄放在锅里不加油炒到发焦，最后慢慢熬出鸡蛋油来，待鸡蛋油冷却后，即可使用)。也可用生大黄(炒干)研成细末，调鸡蛋清涂患处。

化学烧伤的急救方法

1、高温矿渣烧伤处理援救方案

(1)立即将伤员救出烧伤现场。

(2)迅速熄灭被烧着的衣服鞋帽，并脱掉烧坏的衣物。

(3)立即用大量自来水冲洗创面3-5分钟，入口内和鼻腔内进入火灰，要立即漱口和清理，如眼内有矿灰要用植物油或石蜡油棉签蘸去颗粒。

(4)视伤情需送医院治疗的，要立即由专人护送，用干净的布覆盖创面，以防途中发生意外。

2、强酸类

强酸类如盐酸、硫酸、硝酸、王水(盐酸和硝酸)。石炭酸等，伤及皮肤时，因其浓度、液量、面积等因素不同而造成轻重不同的伤害。酸与皮肤接触，立即引起组织蛋白的凝固使组织脱水，形成厚痂。厚痂的形成可以防止酸液继续向深层组织浸透，减少损害,对伤员健康极为有利。如现场处理及时，一般不会造成深度烧伤。更重要的是注意眼睛，

盐酸、石炭酸的烧伤，创面呈白色或灰黄色;硫酸的创面呈棕褐色;碳酸的创面呈黄色。

如系通过衣服浸透烧伤，应即刻脱去，并迅速用大量清水反复地冲洗伤面。充分冲洗后也可用中和剂--弱碱性液体如小苏打水(碳酸氢钠)、肥皂水冲洗。石炭酸烧伤用酒精中和。硝酸烧伤用攸琐溶液中和，效果更好。但若无中和剂也不必强求，因为充分的清水冲洗是最根本的措施。

硫酸烧伤的现场处理预案

(1)立即将伤员脱离出事点，要尽快把酸除去。

(2)一般烧伤的紧急处理：首先用大量水流连续冲洗，把冲洗下沾有硫酸的衣鞋等迅速脱掉，直冲洗到硫酸痕迹消失为止，不论哪个部位，都只能用大量水冲洗，不能用弱碱性溶液之类的东西来中和硫酸，防止进一步烧伤。如烧伤过重，范围大时，可能引起脉搏加速盗汗、虚脱之类的危急症，这时患者必须仰卧(背朝下躺着)全身保温，防止出现其他病症，并迅速送往医院救治。

(3)硫酸溅到眼睛内的处理，不管溅入眼内的硫酸浓度如何和硫酸量的多少，必须用大量的流水(没有压力)，眼皮撑开或眼皮翻开的情况下连续冲洗15分钟，要把眼皮和眼球的所有地方全部用水仔细冲洗，冲洗后立即送医院。

(4)吸入硫酸蒸气时的处理：当吸入大量的发烟硫酸或高温硫酸所产生的酸雾或蒸汽时，要立即离开污染现场。如已昏迷和发生呼吸困难时，既要立即使其仰卧，并迅速送往医院急救。

(5)喝下硫酸时的处理方法：即使喝下很稀的硫酸也会引起口、咽喉、食道和胃的烧伤。如喝下稀硫酸，可设法使其呕吐，吐出后再多喝水慢慢缓解之。如喝下浓硫酸，切勿使患者吐出应立即使大量清水漱口，让其多喝水待喝饱后设法使其吐出，然后再多喝水，要尽快送往医院治疗。

3、强碱类

强碱类如苛性碱(氢氧化钾、氢氧化钠)、石灰等。强碱对组织的破坏力比强酸为重，因其渗透性较强，深入组织使细胞脱水，溶解组织蛋白，形成强碱蛋白化合物而使伤面加深。

如果碱性溶液浸透衣服造成的烧伤，应立即脱去受污染衣服，并用大量清水彻底冲洗伤处。

充分清洗后，可用稀盐酸、稀醋酸(或食醋)中和剂。再用碳酸氢纳溶液或碱性肥皂水中和。根据情况，请医生采用其他措施处理。

二 : 不同形态油的常用处理方法可浮油的处理方法

(1)物理隔油。常用的设备是隔油池,包括平流隔油池、斜板隔油池、波纹斜板隔油池。隔油池水面的浮油可利用集油管排出或采用撇渣机等专用机械撇出,而小隔油池可进行人工撇油。可去除粒径大于60μm的较大油滴和废水中的大部分固体颗粒。该方法设备简单,运行稳定,适应性强安装、管理、操作方便。但对粒径较小的油滴和固体物质去除效果较差。

(www.61k.com)(2)过滤法。利用颗粒介质滤床的截留及惯性碰撞、筛分、表面黏附、聚并等机理,去除水中油分,一般用于二级处理或深度处理。常见的颗粒介质滤料有石英砂、无烟煤、玻璃纤维、核桃壳、高分子聚合物等。过滤法设备简单,操作方便,投资费用低。但随运行时间的增加,压力降逐渐增大,需经常进行反冲洗,以保证正常运行。该法也可用于乳化油的处理。分散油的去除分散油的去除通常采用气浮法。此法是利用在油水悬浮液中释放出大量气泡,依靠表面张力作用将分散在水中的微小油滴粘附于气泡上,使气泡的浮力增大上浮,达到油水分离的目的。冯鹏邦等人利用新型气浮设备浮选柱处理含油污水,去除率在90%左右。该方法能耗低,成本低等。但占地面积大、药剂用量大、产生浮渣。

乳化油的处理方法

气浮法气浮技术是国内外含油废水处理中广泛使用的一种水处理技术,其原理是在水中通入空气或其它气体产生微细气泡,使水中的一些细小悬浮油珠及固体颗粒附着在气泡上,随气泡一起上浮到水面形成浮渣,上浮速度可提高近千倍,从而完成固、液分离的,该法的油水分离效率很高。根据产生气泡的方式不同,又可分为加压溶气浮选法、叶轮浮选和曝气浮选法。为提高浮选效果,可再向废水中加入无机或有机高分子絮凝剂,即为絮凝浮选法。该法已被广泛应用于油田废水、石油化工废水、食品油生产废水等的处理。目前国内外对气浮法的研究多集中在气浮装置的革新、改进以及气浮工艺的优化组合方面,如浮选池的结构已由方型改为圆形,减少了死角;采用溢流堰板排除浮渣而去掉刮泥机械,此外还研究了一些新型装置。

三 : 14种常见地基处理方法介绍

序号	处理方法	适用地基	技术要求	检测项目	检测频率	备注
1	原地面	/	清表、碾压	处理前：静力触探	/
1	原地面	/	清表、碾压	碾压后：压实检测	每100m抽4点；监理10%平行检验。
2	换填	各种不良地基	符合设计要求	换填材料检验	根据材料种类确定。
2	换填	各种不良地基	符合设计要求	压实质量检验	每100m抽3点；监理平行检验1点。
3	垫层	浅层软弱地基及不均匀地基	1.砂:采用中、粗、砾砂；含泥量≤5%(3%)	颗粒级配、含泥量	每3000m³为一批，每批抽检1组；监理单位20%见证检验。
			2.碎石：采用最大粒经≤50mm；含泥量≤10%	最大粒经、含泥量	每3000m³为一批，每批抽检1组；监理单位20%见证检验。
			3.人工合成材料：材料产品标准	土工格栅：抗拉强度、延伸率、指定延伸率下的延伸力	同厂家、品种、批号，每1×10⁴m²为一批抽样1组，监理单位20%见证检验。
			4.压实检测：路堤高≤3m,K30≥150MPa/m 路堤高>3m,K30≥130MPa/m	K30	每100m抽样检验3点，监理单位平行检验不少于1点。
4	强夯	碎石土、砂土、低饱和度的粉土和粘性土、湿陷性黄土、素填土和杂填土等	总沉降量或最后两击平均沉降量满足设计要求	标准贯入试验(或动力触探)、静力触探试验、平板载荷试验	标准贯入试验6点(或动力触探3点)，静力触探试验3点，平板载荷试验3点。监理单位50%见证试验。勘察设计单位现场确认。
5	袋装砂井	大面积场评工程的淤泥质土、淤泥和冲填土等饱和粘性土等地基。不应用于正线及到发线地基处理。	1.砂袋质量符合设计要求	条带拉伸强度、渗透系数、等效孔径	同一厂家、同一批号连续进场的砂袋每10×10⁴m为一批，施工单位抽检1次，监理单位10%平行检验，且不少于1次。
5	袋装砂井	大面积场评工程的淤泥质土、淤泥和冲填土等饱和粘性土等地基。不应用于正线及到发线地基处理。	2.砂：天然级配的风干中、粗砂，其含泥量不应大于3%。	含泥量、筛分	同一产地、品种、规格连续进场的砂料每3000m³为一批。施工单位每批检验1次，监理单位10%见证检验且不少于1次。
6	塑料排水板	大面积场评工程的淤泥质土、淤泥和冲填土等饱和粘性土等地基。不应用于正线及到发线地基处理。	塑料排水板质量符合设计要求	芯板材料单位长度重量、厚度、宽度、抗拉强度、伸长率、纵向通水率和滤膜材料单位面积重、抗拉强度、渗透系数、等效孔径。	同一厂家、同一批号连续进场的塑料排水板每10×10⁴m为一批，施工单位每批抽样检验1次，监理单位10%平行检验，且不少于1次。

序号	处理方法	适用地基	技术要求	检测项目	检测频率	备注
7	砂石桩	松散砂土、砾石土、粉土、素填土、杂填土等地基以及可液化的地基	1.砂：采用中、粗、砾砂，其含泥量不应大于5%(3%).	含泥量、筛分	同产地、品种、规格，连续进场的每3000m³为一批，施工单位每批抽检1次，监理单位20%见证检验，且不少于1次。
			2.碎石：采用未风化的碎石或卵石，最大粒经不宜大于50mm，含泥量不应大于5%	含泥量、筛分	同产地、品种、规格，连续进场的每3000m³为一批，施工单位每批抽检1次，监理单位20%见证检验，且不少于1次。
			3.桩身密度检验：砂桩2m以下应大于中密状态(N_63.5≥10)或符合设计，碎石桩符合设计	标准贯入或动力触探	施工单位按桩数量2%抽样检验，且每检验批不少于3根。监理单位20%见证检验。
			4.当砂石桩处理可液化地基时，桩间土的加固效果应满足设计要求	标准贯入、静力触探或动力触探	施工单位按桩数量2%抽样检验，且每检验批不少于3根。监理单位20%见证检验。
			5.复合地基承载力应满足设计要求	平板荷载试验	检测机构抽样检验总桩数的2‰，且每工点不少于3根。监理单位全部见证检验。
8	强夯置换	高饱和度的粉土和软塑～流塑的粘性土等地基	1.填料质量应符合设计要求	根据设计要求确定	同产地、品种、规格，连续进场的每3000m³为一批，施工单位每批抽检1次，监理单位20%见证检验，且不少于1次。	总沉降量或最后两击平均沉降量满足设计要求
			2.墩身密度应符合设计要求	重型圆锥动力触探	施工单位检验总墩数的2‰，每工点不少于3墩，监理单位10%见证检验。
			3.墩间土的强度应符合设计要求	静力触探或动力触探	施工单位每3000m²抽样检验6点，监理单位10%见证检验。
			4.单墩承载力应符合设计要求	平板载荷试验	检测机构抽样检验总墩数的2‰，且每检验批不少于3个墩。监理单位全部见证检验。
9	灰土(水泥土)挤密桩	地下水位以上的湿陷性黄土、素填土和杂填土等地基	1.石灰品种、规格和质量应符合设计要求	活性Ca、MgO含量	同厂家、同品种且连续进场的石灰，每200t为一批，施工单位每批抽样检验1次，监理单位20%见证检验，且不少于1次。
9	灰土(水泥土)挤密桩	地下水位以上的湿陷性黄土、素填土和杂填土等地基	2.水泥品种、规格和质量应符合设计要求	强度、安定性、凝结时间	同产地、品种、规格且连续进场的水泥，袋装水泥每200t为一批，散装水泥每500t为一批，施工单位每批抽样检验1次，监理单位20%见证检验，且不少于1次。

序号	处理方法	适用地基	技术要求		检测项目	检测频率	备注
9	灰土(水泥土)挤密桩	地下水位以上的湿陷性黄土、素填土和杂填土等地基	3.原土料的质量应符合设计要求。用水泥改良时，土的有机质含量不应大于2%；用石灰改良时，土的有机质含量不应大于5%。		有机质含量	同一取土地点、相同土性的土，每1000m³为一批，施工单位每批抽样检验1次，监理单位10%见证检验，且不少于1次。
			4.配合比应符合设计要求。含水率控制在工艺试验确定的施工允许含水率范围内		含水率	施工单位每工班检验1次，监理单位全部见证检验。
			5.压实系数不应小于0.97(轻型击实)		轻型击实、钻孔取芯，每2m取样测定干密度，计算压实系数。	施工单位抽检总桩数的2‰，且每个工点不少于3根，监理单位10%见证检验，且每个工点不少于1根。
			6.桩间土处理效果应符合设计要求		钻机取样，每2m取样测定干密度、进行压缩试验、湿陷性黄土做湿陷性试验。计算最小挤密系数(干密度与最大干密度比值)、压缩模量、湿陷性黄土的湿陷系数。	施工单位每50m抽检3点，监理单位10%见证检验，且每工点不少于1点。
			7.单桩或复合地基承载力应符合设计要求		平板载荷试验	检测机构抽检总桩数的2‰，且每个工点不少于3根，监理单位全部见证检验。
10	柱锤冲扩桩	黄土、杂填土、粉土、粘性土、素填土等地基	1.采用灰土或水泥土作为桩体材料时，石灰和水泥的检验与灰土(水泥土)挤密桩相同		同灰土(水泥土)挤密桩	同灰土(水泥土)挤密桩
			2.采用砂石作为桩体材料时，砂石的检验与砂石桩相同。		同砂石桩	同砂石桩
			3.配合比质量检验，采用灰土或水泥土作为桩体材料时，石灰和水泥的检验与灰土(水泥土)挤密桩相同		同灰土(水泥土)挤密桩	同灰土(水泥土)挤密桩
			4.桩身密度检验	采用灰土或水泥土	同灰土(水泥土)挤密桩	同灰土(水泥土)挤密桩
				采用砂石	同砂石桩	同砂石桩

序号	处理方法	适用地基	技术要求		检测项目	检测频率	备注
10	柱锤冲扩桩	黄土、杂填土、粉土、粘性土、素填土等地基	5.桩间土处理效果检验。采用灰土或水泥土作为桩体材料时，与灰土(水泥土)挤密桩相同		同灰土(水泥土)挤密桩	同灰土(水泥土)挤密桩
			6.承载力检验	采用灰土或水泥土	同灰土(水泥土)挤密桩	同灰土(水泥土)挤密桩
				采用砂石	同砂石桩	同砂石桩
11	水泥搅拌桩	淤泥、淤泥质土、粉土、饱和黄土、素填土、粘性土以及无流动地下水的饱和松散砂土等地基。	1.水泥品种、规格和质量应符合设计要求		强度、安定性、凝结时间	同产地、品种、规格且连续进场的水泥，袋装水泥每200t为一批，散装水泥每500t为一批，施工单位每批抽样检验1次，监理单位20%见证检验，且不少于1次。
			2．加固料和外加剂品种、规格和质量应符合设计要求		设计要求的质量指标	同产地、品种、规格、批号的加固料和外加剂每200t为一批，施工单位每批抽样检验1次，监理单位20%见证检验。
			3.桩身完整性、均匀性和无侧限抗压强度应满足设计要求。		钻孔取芯，观察其完整性、均匀性，拍摄取出芯样的照片，在上中下各1/3范围的中部取样做无侧限抗压强度试验。	施工单位抽检总桩数的2‰，且不少于3根，监理单位20%见证检验
			4．单桩或复合地基承载力应符合设计要求		平板载荷试验	检测机构抽检总桩数的2‰，且每工点不少于3根，监理单位全部见证检验。
12	旋喷桩	淤泥、淤泥质土、粘性土、粉土、砂土、碎石土、黄土及人工填土等地基加固和防渗处理。	1.水泥品种、规格和质量应符合设计要求		强度、安定性、凝结时间	同产地、品种、规格且连续进场的水泥，袋装水泥每200t为一批，散装水泥每500t为一批，施工单位每批抽样检验1次，监理单位20%见证检验，且不少于1次。
			2.外加剂品种、规格和质量应符合设计要求		设计要求的质量指标	同产地、品种、规格、批号的外加剂每50t为一批，施工单位每批抽样检验1次，监理单位20%见证检验。

?	?	?	?	?	?	?
12	旋喷桩	淤泥、淤泥质土、粘性土、粉土、砂土、碎石土、黄土及人工填土等地基加固和防渗处理。	3.桩身完整性、均匀性和无侧限抗压强度应满足设计要求。	钻孔取芯，观察其完整性、均匀性，拍摄取出芯样的照片，在上中下各1/3范围的中部取样做无侧限抗压强度试验。	施工单位抽检总桩数的2‰，且不少于3根，监理单位20%见证检验
12	旋喷桩	淤泥、淤泥质土、粘性土、粉土、砂土、碎石土、黄土及人工填土等地基加固和防渗处理。	4．单桩或复合地基承载力应符合设计要求	平板载荷试验	检测机构抽检总桩数的2‰，且每工点不少于3根，监理单位全部见证检验。
13	CFG桩 (水泥粉煤灰碎石桩)	粘性土、粉土、砂土和已自重固结的素填土等地基，不适用于淤泥、泥炭土地基。	1.水泥品种、规格和质量应符合设计要求	强度、安定性、凝结时间	同产地、品种、规格且连续进场的水泥，袋装水泥每200t为一批，散装水泥每500t为一批，施工单位每批抽样检验1次，监理单位20%见证检验，且不少于1次。
			2．粗细骨料品种、规格和质量应符合设计要求	含泥量(人工砂检验石粉含量)、松散密度、筛分	同产地、品种、规格且连续进场的粗细骨料，每400m³为一批，施工单位每批抽样检验1组，监理单位10%见证检验，且不少于1组。
			3.粉煤灰品种、规格和质量应符合设计要求	细度、烧失量、需水量比、三氧化硫	同产地、品种、规格且连续进场的粉煤灰，每200t为一批，施工单位每批抽样检验1组，监理单位10%见证检验，且不少于1组。
			4．混合料的坍落度应按工艺试验确定并经监理工程师批准	坍落度	施工单位每工班抽检3次，监理单位20%见证检验。
			5.混合料强度应符合设计要求	抗压强度	每台班制作试块一组(3块)。标准养护28d。
			6．桩身完整性应满足设计要求	低应变检测，有疑问时采用钻孔取芯检验	检测机构按总桩数的10%抽样检验，且不少于3根，监理单位全部见证检验。
			7.单桩或复合地基承载力应符合设计要求	平板载荷试验	检测机构抽检总桩数的2‰，且每工点不少于3根，监理单位全部见证检验。
14	混凝土灌注桩	粘性土、粉土、砂土和已自重固结的素填土等地基，不适用于淤泥、泥炭土地基。	1.原材料质量符合设计要求	按照TB10424-2010有关规定	按照TB10424-2010有关规定
			2.桩身混凝土应匀质、完整	按TB10218和TB10426检验	检测机构按总桩数的10%进行无损检测，监理单位全部见证检验。
			3.单桩承载力应满足设计要求	平板载荷试验	检测机构抽检总桩数的2‰，且每工点不少于3根，监理单位全部见证检验。

四 : 野外遇蛇处理方法

野外遇蛇怎么办

常在野外走，哪能不遇蛇。(www.61k.com]遇到蛇并不可怕，下面教大家防蛇措施与蛇伤治疗方法。希望可以帮到广大驴友

常在野外走，哪能不遇蛇。遇到蛇并不可怕，下面教大家防蛇措施与蛇伤治疗方法。希望可以帮到广大驴友。

1、除眼睛蛇外，蛇一般不会主动攻击人。我们没有发现它而过分逼近蛇体，或无意踩到蛇体时，它才咬人。如果遇到蛇，如果它不向你主动进攻，千万不要惊扰它，尤其不要振动地面，最好等它逃遁，或者等人来救援。

2、蛇是变温动物，气温达到18度以上才出来活动。在南方通常5-10月分是蛇伤发病高期。特别是在闷热欲雨或雨后初晴时蛇经常出洞活动。雨前、雨后、洪水过后的时间内要特别注意防蛇。

3、蛇类的昼夜活动有一定规律。眼镜蛇，眼镜王蛇白天活动，银环蛇晚上活动，蝮蛇白天晚上都有活动。蛇伤主要集中在白天9-15时，晚上18-22时。此外蝮蛇对热源很敏感，有扑火习惯，所以夜间行路用明火照亮时，要防避毒蛇咬伤。

4、穿高帮鞋(皮靴)，穿着长衣长裤，戴帽、扣紧衣领、袖口、裤口。

5、尽量避免在草丛里行军或休息，如果迫不得已，要注意打草惊蛇(眼镜蛇会主动攻击

遇到蛇怎么办野外遇蛇处理方法

人，打草惊蛇有可能会引起眼镜蛇主动攻击人，不知道这一条到底怎样用)。(www.61k.com]

6、尽量避免抓着树枝借力，在伐取灌木、采摘水果前要小心观察，一些蛇类经常栖于树木之上。翻转石块或圆木以及掘坑挖洞时使用木棒，不可徒手进行这类活动。

7、如果与毒蛇不期而遇，保持镇定安静，不要突然移动，不要向其发起攻击。应远道绕行，若被蛇追逐时，应向山坡跑，或忽左忽右地转弯跑，切勿直跑或直向下坡跑。

8、把手里的什么东西往它旁边扔过去，转移它注意力，或把衣服朝它扔过去蒙住它，然后跑开。

9、如果迫不得已要杀死毒蛇，可取一根长棒，要具有良好的弹性，快速劈向其后脑。

二、营地防蛇

1、避免在蛇鼠洞多、乱石堆或灌木从中扎营。营地周围的杂草应铲除干净，另外，一条较深的排水沟也能较好的防止蛇虫的入侵。

2、在营地周围撒上下列物品的一种或数种：雄黄。石灰粉。草木灰。水浸湿了的烟叶。

3、在使用包裹前要小心查看一遍，蛇类很可能就躲在下面。露营时应将帐篷拉链完全合上。睡前检查床铺，压好帐篷，早晨起来检查鞋子。万一发现蛇，可迅速退后，保持一定距离。

4、若打地铺，可用树枝、树叶或细竹垫铺，尽量不要用杂草。临睡前要先在地上敲打，清除爬上的昆虫。醒来时，应首先仔细的察看身体周围，否则附近若有蛇或昆虫会被突然的

遇到蛇怎么办野外遇蛇处理方法

活动惊动。[www.61k.com]

5、注意保持营地的清洁，所有垃圾必须及时掩埋。因为只要有星点的油脂，就有可能把蚂蚁引来，蚂蚁又会将蜥蜴引来，而蜥蜴又会把蛇引来。注意不要用火烧鱼骨头，这种气味也会把蛇引来。

三、常见蛇药

1、防蛇药：

材料：雄黄(有毒，使用时切忌用火烧)二两、大蒜一头、纱布一块。

制作：将大蒜捣烂，雄黄碾成粉末，两样充分拌匀后，用纱布包住，扎成一小球状，以不出水为宜。

用法：将雄黄大蒜球挂在腰间，若要更保险，制作两个球，分别绑在左右脚脖子上。这样，无论走到哪里，蛇族一概退避三舍。

特点：效果显著，经久耐用，制作一次可用一月。

2、蛇怕风油精

3、当在野外被蛇咬后，服用蛇药片，并将解蛇毒药粉涂抹在伤口周围。各地药品供应站有不同的蛇伤药，可参照说明书使用。南通蛇药又叫季德胜蛇药(片剂)用于治疗毒蛇、毒虫咬伤，有解毒、止痛、消肿的功效。上海蛇药用以治疗腹蛇、竹叶青等毒蛇咬伤，亦可治疗眼镜蛇、银环蛇、五步蛇等咬伤。具有解蛇毒以及消炎、强心、利尿、止血、抗溶血等作用。

遇到蛇怎么办野外遇蛇处理方法

4、血清：有条件的话，最好根据当地动物志，准备相对应的血清，冷藏携带至当地，存放在医院中

第二部分关于被毒蛇咬伤后的问题：

1、在不能确定为何种蛇咬伤的情况下，不能以为无明显症状就判断是无毒蛇。[www.61k.com]在多数情况下伤口可能模糊不清，在分不清是有毒蛇还是无毒蛇咬伤的情况下，应按毒蛇咬伤处理。无毒蛇咬伤常见四排细小的牙痕，毒蛇咬伤通常见一个或两个或三个比较大而深的牙痕，有的毒蛇有两排毒牙。

2、看伤口，毒蛇咬人有可能把牙断在你肉里，把它拔出来。

3、烧灼：被蛇咬伤后立即用火柴头5-7枝烧灼伤口，以破坏局部的蛇毒。

4、冲洗：蛇毒在1-3分钟内是不会蔓延的东西会掉色，这时挤出或冲洗蛇毒，可以有效排除大部分蛇毒。立即冲洗用双氧水或0.1%高锰酸钾，盐水或冷开水、肥皂、尿，最好将伤肢置于4～7℃冰水中(冷水内放入冰块)，在伤处周围放置碎冰维持24小时，亦可喷氯乙烷(降温时注意全身保暖)。切记：千万不要在伤口处涂酒精。

5、扎结肢体：在近心端，用绑带像打绑腿一样螺旋型大面积紧缚肢体，延缓毒液蔓延的东西会掉色。譬如脚踝被咬，就在膝盖下包扎。蛇毒是通过静脉传递的，静脉分布在人体表。用粗布条大面积压迫体表的静脉，可以有效防治蛇毒蔓延的东西会掉色，同时又不会因为局部扎结过紧而阻断血液流通。这样可以尽可能阻止毒液的扩散，防止毒素进入淋巴系统。结扎之后，赶紧赴医治疗，急救处理结束后，一般不要超过2小时。没有绑带时，也可用绳子、布带、鞋带、稻草等，在伤口靠近心脏上端5~10厘米处作环形结扎，不要太紧也不要太松。结扎要迅速，在咬伤后2~5分钟内完成，此后每隔15分钟放松1~2分钟，以免肢体因血液循环受阻而坏死。到邻近的医院注射抗毒血清后，可去掉结扎。

6、扩创排毒：经过冲洗处理后，用消毒过的小刀划破两个牙痕间的皮肤，同时在伤口附近的皮肤上，用小刀挑破米粒大小数处，这样可使毒液外流。不断挤压伤口20分钟。但

遇到蛇怎么办野外遇蛇处理方法

被尖吻蝮蛇(五步蛇)和烙铁头蛇、蝰蛇、咬伤，不要作刀刺排毒，因为它们的蛇毒中有一种溶血酶，可以导致人大量出血不止，如果对伤口再做切开处理，只能加速人体失血。[www.61k.com］因为普通人无从分辨毒蛇，所以，治疗蛇伤时伤口切开的做法就不能予以推广。

7、针刺或拔火罐：但对于血循毒(如蝰蛇、铬铁头、竹叶青、五步蛇)蛇伤患者，不宜针刺或拔火罐，以免伤口流血不止。如伤口周围肿胀过甚时，可在肿胀处下端每隔1～2寸处，用消毒钝头粗针平刺直入2公分;如手足部肿胀时，上肢者穿刺八邪穴(四个手指指缝之间)，下肢者穿刺八风穴(四个足趾趾缝之间)，以排除毒液，加速退肿。针刺排毒。

8、如引发中风应积极治疗，同样在必要时应进行人工呼吸，时刻关注患者的呼吸情况。银环蛇、金环蛇咬伤后昏迷的重病人可采取人工呼吸维持。

9、解毒药的应用：被毒蛇咬伤后应尽早用药，南通蛇药(季德蛇药)、上海蛇药、新鲜半边莲(蛇疔草)、内服半边莲，半边莲和雄黄一起捣烂，制成浆状外敷，每日换一次。别以为有药就没事了，药只能缓解，赶快找医院去

10、做好这些后还要避免剧烈走动或活动，保持受伤部位下垂，相对固定。如条件许可应由他人运送。运送伤员到医院的路上，伤员尽量少活动，减少血液的循环，注意保暖。

11、无毒蛇咬后无须特殊处理，只需对伤口清洗、止血，去医院注射破伤风针即可。

五 : 32常见病毒及处理方法

病毒索引表

1) VBS_REDLOF系列

传播方式：

电子邮件信纸

回索引表

病毒描述：

该病毒在系统中发作时会大量复制含有自身代码的folder.htt，使得每当用户打开一个文件夹时，病毒皆得以执行。

通过Microsoft Outlook的信纸文件（HTML）并打开使邮件使用信纸的相应选项，使得发出的所有邮件消息都被感染，由此传播自身的拷贝。采取措施：

关闭不必要的共享，并对共享目录设置密码。

安装JAVA虚拟机补丁程序。并在文件夹选项中选择以传统视图方式浏览，而不要使用Web视图方式。

2) PE_LOVGATE.AC-O

传播方式：

电子邮件、网络共享、系统漏洞

漏洞补丁：

病毒描述：

该病毒在Windows目录、Windows system目录和根目录下复制自身。

该病毒借用MAPI和它自己的SMTP引擎进行Email传播。运行邮件的附件会生成带有WORM_LOVEGATE.Q病毒的.dll文件和带有WORM_LOVEGATE.V病毒的.exe文件。

为了在局域网中进行传播，它会生成以bat、exe、pif和scr后缀名的文件。该病毒扫描本网络中具有漏洞的机器，尝试利用自身携带的口令表将这些文件复制在这些机器的Admin$目录下。

该病毒是利用了RPC漏洞和DCOM漏洞，并能终止一些防病毒软

件的进程。采取措施：

升级趋势防病毒软件的病毒码至1.954（含）以上,并扫描所有的目

录。手动删除病毒名为PE_LOVGATE.AC-O、WORM_LOVGATE.Q和WORM_LOVGATE.V的文件。

另外，需安装MS03-026的补丁，以防再次感染。

3) SASSER系列

传播方式：

利用了Windows LSASS的一个已知漏洞

漏洞补丁：

病毒描述：

该病毒利用了Windows LSASS的一个已知漏洞，这个一个缓冲溢出漏洞，后果是使远程攻击者完全控制受感染系统。

该病毒扫描网络上具有漏洞的系统。当找到有漏洞的系统后，病毒发送向其发送一个特别制作的数据包，该包可使LSASS.EXE产生一个缓冲溢出。

该病毒创建脚本文件CMD.FTP，这个脚本文件使受感染的系统打开TCP的5554端口使用FTP从受感染的系统下载并执行病毒自身拷贝。

由于该病毒可使LSASS.EXE产生缓冲溢出，结果是使Windows连续地重启。

采取措施：

升级趋势防病毒软件的病毒码和TSC至最新。手动清除该病毒的相关建议：

1、安全模式启动

重新启动系统同时按下按F8键，进入系统安全模式 2、注册表的恢复

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双

击左侧的

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

并删除面板右侧的 "avserve"="c:\winnt\avserve.exe"

3、删除病毒释放的文件

点击"开始--〉查找--〉文件和文件夹"，查找文件"avserve.exe"和"*_up.exe"，并将找到的文件删除。

4) NETSNAKE.A系列

病毒描述：

此宏病毒会做以下动作：

1. 在word启动文件夹中拷贝一个感染病毒的normal.dot文件。 2. 在EXCLE启动文件夹中拷贝一个感染病毒的NORMA1.XLM文件。 3. 在WINDOWS系统目录下会生成INTERNET.EXE 4. 修改注册表启动组:

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

会出现Internet.exe = "internet.exe"键值。采取措施：

对感染病毒文件，趋势防病毒软件是进行清除，清除失败为隔离或删除，对于病毒感染文件隔离或删除后，不影响正常使用office，

升级趋势防病毒软件的病毒码至955（含）以上,同时请在OfficeScan和ServerProtect服务器上部署DCT392（即TSC）工具。一旦发现计算机感染上述病毒，建议对计算机的进行全盘扫描。

5) WORM_SDBOT.ABQ

传播方式：

网络共享

漏洞补丁：

? IIS5/WEBDAV vulnerability (MS03-007)

32常见病毒及处理方法_常见病毒

? RPC/DCOM vulnerability (MS03-026)

? RPC Locator vulnerability (MS03-001)

病毒描述：

该病毒驻扎在内存里并通过网络传播。它在Window system目录下生成 WUPDMGT.EXE的自身拷贝。它还会通过自己的用户和密码列表尝试远程登录其他机器的共享目录，并进行传播。

该病毒具有后门能力。病毒可以链接到某一IRC服务器的信道中，用于通知远程恶意用户病毒所在系统已经被感染。通过后门，远程用户能远程用户可以控制系统发起DDos攻击，盗取PC游戏的密码或者其他恶意行为。

采取措施：

终止进程WUPDMGT.EXE。

重启进入安全模式, 删除注册表中的自启动项目。

从注册表中删除自动运行项目来阻止恶意程序在启动时执行。打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter 在左边的面板中，双击:

HKEY_LOCAL_USER>Software>Microsoft>Windows>CurrentVersion>Run

在右边的面板中，找到并删除如下项目：

Microsoft Windows Services = "WUPDMGT.EXE"

在左边的面板中，双击:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

在右边的面板中，找到并删除如下项目：

Microsoft Windows Services = "WUPDMGT.EXE"

在左边的面板中，双击:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices

在右边的面板中，找到并删除如下项目：

Microsoft Windows Services = "WUPDMGT.EXE"

安装微软补丁MS03-007、MS03-001和MS03-026。

6) WORM_MABUTU.A

传播方式：

电子邮件、共享文件夹

病毒描述：

该病毒利用电子邮件进行传播。病毒从Windows地址簿（WAB）、MSN Messenger联系人列表中收集地址，所发送的邮件有如下细节特征：

To: (收集到的地址)

From: (用收集到的地址作为虚假地址)

Subject: (其中之一)

? britney

? Hello

? I'm in love

? I'm nude

? Important

? jenifer

? Wet girls

Attachment: (其中之一)

? creme_de_gruyere

? details

? document

? Fetishes

? gutted

? message

? Ok cunt

? photo

(注意：附件可以用 .EXE, .SCR或 .ZIP作为文件扩展名。)

病毒可以在Kazaa共享文件夹中生成自身拷贝。病毒可以链接到某一IRC服务器的信道中，用于通知远程恶意用户病毒所在系统已经被感染。

病毒可运行在Windows 95, 98, ME, NT, 2000和XP系统中。采取措施：

重启进入安全模式, 删除注册表中的自启动项目。

从注册表中删除自动运行项目来阻止恶意程序在启动时执行。打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter 在左边的面板中，双击:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

在右边的面板中，找到并删除如下项目：

winupdt = "RUNDLL32.EXE <.DLL filename>,_mainRD"

注意： %Windows% 是Windows文件夹，通常就是C:\Windows或C:\WINNT。

关闭注册表编辑器

7) PE_FUNLOVE系列

传播方式：

网络共享

病毒描述：

PE_FUNLOVE可以感染所有Win32类型的Portable Executable (PE) 文件，例如 .EXE、 .SCR、以及 .OCX等等。

在感染 W9x/Me 系统时，PE_FUNLOVE会搜索系统中的 EXPLORER.EXE 程序，然后感染该文件。使得每次Windows重新启动时，病毒都可以常驻内存。

在 NT 的环境下，PE_FUNLOVE 通过修改文件 NTLDR（可在根目录下找到）改变NTOSKRNL（NT 核心程序）的完整性检查。然后进一步修改Windows NT系统文件夹中的NTOSKRNL 程序禁用访问

权限检查。由于对 NTOSKRNL 的检查仅在Windows启动时执行一次，在系统启动后对NTOSKRNL 的感染将不会被操作系统察觉，甚至可以在病毒运行的情况下正常启动。

PE_FUNLOVE 不仅感染本地驱动器中的 PE 文件，同时也可以感染带有写权限许可的共享文件夹中的文件。

另外，PE_FUNLOVE 还可以由 WORM_BRAID.A 或 WORM_WINEVAR.A 释放，PE_FUNLOVE 将在 WORM_BRAID.A 或 WORM_WINEVAR.A 执行时自动执行。而且由于以上两种蠕虫使用系统漏洞自动执行，PE_FUNLOVE 的感染更具效力。

以上是该病毒高感染率的主要原因所在。

采取措施：

为了阻止或减弱 PE_FUNLOVE 在网络中的传播，必须实施高度的网络共享安全策略。不在工作站之间共享文件，而仅在工作站与服务器之间共享文件并使用防病毒软件对服务器实施防护。

防止 PE_FUNLOVE 进入网络的最佳方法为安装 Internet Explorer 更新程序，修补漏洞。这样WORM_BRAID.A 以及 WORM_WINEVAR.A 不会被自动执行并释放PE_FUNLOVE。

8) WORM_LOVGATE.F

传播方式：

回索引表电子邮件、网络磁盘驱动器

病毒描述：

该病毒含有的攻击手法有将文件储存在分享磁盘驱动器、回复所收到的电子邮件信息、窃取网络上隐藏目录的地址、提供后门远程访问、开始字典攻击手法破解密码。

采取措施：

只共享文件夹给某些有需要的特定使用者，而不要分享整个硬盘。共享文件夹时，给予那些特定的使用者有限度的共享权限，并使用困难度高的密码来保护所共享的文件夹。将所有要共享的文件设定成只读模

式。管理者须寻找没有使用的端口并将之关闭。时常更新操作系统和应用程序。

9) WORM_MSBLAST系列

传播方式：

利用RPC DCOM缓冲溢出漏洞

漏洞补丁：

Microsoft Security Bulletin MS03-039

病毒描述：

此缓冲溢出漏洞可以允许一个攻击者在目标机器上获得完全的权限并且可以执行任意的代码。此蠕虫会持续扫描具有漏洞的系统，并向具有漏洞的系统的135端口发送数据。

采取措施：

断开网络连接；

终止蠕虫程序的msblast.exe进程：对于Windows 95/98/ME系统，按CTRL+ALT+DELETE；对于Windows NT/2000/XP系统，按CTRL+SHIFT+ESC，选择进程标签页；

在运行的程序列表中,查找MSBLAST.EXE进程并终止此进程；

修改注册表的下列项目： HKEY_LOCAL_MACHINE>Software>

Microsoft>Windows>CurrentVersion>Run中删除键值：Windows auto update = MSBLAST.EXE；

安装微软823980补丁。

如果无法安装系统补丁，在防火墙中禁止端口69、135、4444：端口135用于启动与远程计算机的RPC连接。在防火墙中禁止端口135有助于防止有人企图利用此漏洞攻击防火墙后面的系统。

在所有未打补丁的计算机上禁用DCOM：当计算机属于某个网络的一部分时，DCOM网络协议可使该计算机上的COM对象能够与其他计算机上的COM对象通信。您可以对特定的计算机禁用DCOM以帮助防

32常见病毒及处理方法_常见病毒

范他人利用此漏洞发动的攻击，但这将使该计算机上的对象无法与其他计算机上的对象通信。如果在远程计算机上禁用DCOM，则无法远程访问该计算机以重新启用DCOM。

10) WORM_MYDOOM.F

传播方式：

电子邮件

病毒描述：

该病毒通过邮件传播的蠕虫病毒。病毒本身是一个可执行文件，可

能包含在一个ZIP压缩包里。当病毒运行时，会在多个文件夹下生成多个随机字母组成的病毒文件。病毒具有后门功能，会在 TCP 端口 1080 上打开后门程序，并可以下载和执行任意文件，还会开放一些UDP端口，给系统安全带来隐患。病毒还会扩展名为.mdb、.doc、.xls、.sav、 .jpg、.avi、.bmp的文件，并在每个月的17到22号之间时，发起对网站www.riaa.com 和www.microsoft.com 进行DOS攻击。病毒具有破坏性。

采取措施：

运行杀毒软件对系统进行全面的病毒查杀，删除查找到的病毒文

件。

11) WORM_MUMU.B

传播方式：

网络回索引表

病毒描述：

该病毒属于木马病毒，会通过网络潜入用户系统中，并盗取计算机

中的密码信息。病毒运行后会将自身拷贝到系统目录，并修改注册表进行自启动，然后监控用户的键盘操作，泄露用户的相关信息，病毒运行后还会在内存中建立两个名为：last和mumu的进程。

采取措施：

病毒运行时会在内存中产生一个名为：last.exe和mumu.exe的

进程。NT以上操作系统的用户可以用任务管理器直接将该进程杀掉，9X操作系统的用户则只能用第三方软件如PROCVIEW等工具杀掉该病毒进程。

病毒运行时会将自身拷贝

为：%windir%bboy.exe, %systemdir%last.exe,,%systemdir%boy.dll, %systemdir%mumu.exe,%systemdir%qjinfo.ini。用户可以在计算机中搜索这些文件，找到后直接删除。

注意：%Windir%是一个变量，它指的是操作系统安装目录，默认

是：―C:\Windows‖或：―c:\Winnt‖,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量，它指的是操作系统安装目录中的系统目录，默认是：―C:\Windows\system‖或：―c:\Winnt\system32‖。

病毒运行时会修改注册表的自启动项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，在其中加入名称为：Folder Service，内容为：qjinfo.exe的注册表键和名称为：Kernel，内容为：%winDir%bboy.exe的注册表键，以便下次系统启动时病毒能自动运行。用户可以用REGEDIT工具，将该注册表键直接删除，使病毒无法启动。

12) WORM_MOFEI.B

传播方式：

共享目录

病毒描述：

该病毒会扫描网络，利用自身携带的密码表去穷举远端计算机的管理员密码，攻击成功后，病毒会将自己复制到远端计算机的系统目录里，并立刻执行。同时病毒会在受感染的计算机中添加一个名为―tsinternetuser‖的管理员用户，等待黑客远程控制。

对于Windows 2000/XP系统，该病毒会在注册系统服务ScardSvr.exe，对于Windows 9x系统，病毒会在注册表的自动启动项增加SCardSvr键，以获得开机自动运行的机会。

清除方法：

自动清除：

该病毒可使用趋势科技损害清除服务清除。请使用最新版本TSC，执行清除后请使用趋势科技防毒软件手动扫描系统，彻底清除感染病毒的文件。手动清除：

1. 在任务管理器中，找到并终止以下进程：

SCARDSVR32.EXE

2. 打开注册表编辑器，在左侧面板找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 在右侧窗口删除以下键值：

NavAgent32 = "%Windows%\System32\ScardSvr32.Exe"

在左侧面板找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 在右侧窗口删除以下键值：

SCardSvr = "%Windows%\System32\SCardSvr32.Exe"

对于Windows NT/2000/XP/2003系统，还需要在注册表中找到以下主键： HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SCardDrv 然后在右侧窗口找到以下键值：

ImagePath = "%Windows%\System32\ScardSvr32.Exe"

将该键值修改为：

ImagePath = "%SystemRoot%\System32\ScardSvr.Exe"

3. 使用趋势科技防毒软件扫描系统，删除所有病毒文件。

此外，根据该病毒的传播方式，我们建议设置Administrator组成员的密码最

好不少于8位，由字母、数字、特殊符号组成的字串，以提高安全性。

另外，由于该病毒是在破解口令成功后，将自身复制到远端计算机的系统目录下，通过admin$共享自动执行的，建议停止admin$共享。针对病毒监听的端口号是445、139、135，通过防火墙设置，禁止别人使用TCP低端端口（1～1023）来封闭这几个端口。

13) WORM_AGOBOT系列

传播方式：

Remote Procedure Call (RPC) Distributed Component Object Model (DCOM)漏洞

IIS5/WEBDAV 缓冲区溢出漏洞

RPC 定位漏洞

漏洞补丁：

Win2k:（SP4）+（MS03-039）+（MS03-049）

WinXP:（SP1）+（MS03-039）+（MS03-049）

病毒描述：

这种驻留内存的病毒利用某些漏洞进行网络传播。

该病毒尝试使用预定义的用户名和密码登陆系统。

它还拥有后门功能，可以在宿主机器上执行恶意命令。它结束防病毒相关进程，并通过其它病毒生成文件。该病毒窃取某些游戏应用程序的CD码。

采取措施：

? 拔网线；

? 使用最新的TSC工具（需要同officescan结合一起使用）清除内存与注册表中的病毒;

? 使用OfficeScan做全盘扫描；

? 打补丁；

注：补丁打完之后，需要重启机器使其生效

Win2k:（SP4）+（MS03-039）+（MS03-049）

WinXP:（SP1）+（MS03-039）+（MS03-049）

? 配置本机网络共享权限：取消不必要的共享，对必需的共享设置访问口令，口令长度和强度应为8位以上的混合大小写：如

PassWord$$123

? 配置登陆账户的口令：口令长度和强度要求同上；

? 插上网线；

14) WORM_AGOBOT.ZX

传播方式：

电子邮件、网络共享、2535端口

病毒描述：

在运行时，该病毒在Windows系统文件夹中生成如下的文件： Drvsys.exe

Drvsys.exeopen

Drvsys.exeopenopen

该病毒还会创建多个文件名以―open‖结尾的自身拷贝。

病毒所发送的邮件没有固定的主题、正文和附件文件名。病毒在收件人一项中使用虚假的邮件地址，该地址由病毒指定的用户名和收集到的地址所使用的域名组成。病毒会发送两个附件。一个为.JPEG格式的女孩图片，另一个为病毒的自身拷贝，拷贝使用如下的扩展名：

COM

CPL

EXE

HTA

SCR

VBS

ZIP

该病毒可以从特定的扩展名文件中收集邮件地址。但是，该病毒会略过含有特定字符串的地址。

该病毒在名称中含有―shar‖字符串的文件夹中生成自身拷贝，拷贝

32常见病毒及处理方法_常见病毒

使用指定的文件名。

该病毒会终止多个防病毒和安全程序。病毒还会创建一个单独的线程及侦听2535端口，以实现自身的后门功能。此外，病毒还试图连接多个网站。

该病毒删除多个由WORM_NETSKY和其他正常程序用于自启动而创建的注册键。在2005年1月25日后，病毒还会删除一个指定的注册键和项目。

该病毒经过UPX压缩，可运行在Windows 95, 98, ME, NT, 2000和XP系统中。

采取措施：

升级趋势防病毒软件的病毒码至877（含）以上,同时，请在OfficeScan和ServerProtect服务器上部署TSC工具，也可以在已经感染了该病毒的机器上单独运行TSC工具，以清除该病毒。

15) NETSKY系列

传播方式：

电子邮件、网络共享、IE漏洞

漏洞补丁：

Microsoft security bulletin 01-020

病毒描述：

该病毒发出的邮件具有变化的标题、信体和附件文件名。它还从某些具有特殊扩展名的文件中搜集邮件地址。

它还会在受感染系统的共享文件夹中产生自身的拷贝。

当病毒发出的邮件被阅读的时候，它利用包含不正确的MIME头漏洞的IE中已知的漏洞执行病毒。要了解关于该漏洞的更多信息，请参考下面的链接：

http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx 这种驻留内存的病毒使用UPX压缩，运行在Windows 95, 98, ME, NT, 2000 和 XP系统上。

采取措施：

升级趋势防病毒软件的病毒码和TSC至最新。

16) PE_NIMDA.A-O

传播方式：

电子邮件、网络资源共享及微软IIS服务器

漏洞补丁：

Microsoft Security Bulletin MS01-044

病毒描述：

该病毒的主要破坏力为，大量散播夹带名为Readme.exe(读我)的电子邮件，造成网络频宽的壅塞，使用者将明显发现网络的速度变慢。另外，尼姆达病毒会自动寻找网上邻居及微软IIS网页服务器进行感染，计算机使用者如果不小心连上已经中毒的网站，这个网站会要求使用者下在带有病毒的readme.exe文档。

采取措施：

1．计算机用户如果收到Readme.exe(读我)档案，请直接删除，

勿开启以免中毒。

2．趋势科技产品用户请立即更新扫瞄引擎至5.20以上和病毒码至

942(含)以上，以侦测及清除此病毒。

3．由于病毒会搜寻网络上的磁盘驱动器，企业若安装了IIS主机，

请至微软网站下载Service Pack , Windows NT 4 , Windows 2000 及其它Services Pack, 您可以参考下列URL更新方式

4．若你连接至中毒的网页服务器，会自动下载病毒档案，请将防毒

软件开启至常驻状态。

17) WORM_LOVGATE.G

传播方式：

电子邮件、网络共享

病毒描述：

该蠕虫病毒对Windows 9x的操作系统不起作用。运行时，蠕虫以下面这些文件名拷贝自己的副本到系统目录下：

RAVMOND.EXE

WINHELP.EXE

WINGATE.EXE

IEXPLORE.EXE

WINDRIVER.EXE

WINRPC.EXE

KERNEL66.DLL （隐藏文件）

蠕虫文件的大小为107,008字节。蠕虫会以"winrpc.exe %1"替换原来注册表中HKCR\txtfile\shell\open\command下的键值，以便用户一打开文本文件蠕虫就被自动调用。蠕虫还修改下面2个注册表键值，以便Windows一启动蠕虫就自动运行：HKEY_CURRENT_USER\Software\Microsoft\Windows\NT\CurrentVersion\Windows,"Programs"="com exe bat pif cmd"

"run" = "RAVMOND.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,"WinHelp" = "C:\WINNT\System32\WinHelp.exe"

"WinGate

-remoteshell"

"Remote Procedure Call Locator" = "RUNDLL32.EXE reg678.dll ondll_reg"

"Program In Windows" = "C:\WINNT\System32\IEXPLORE.EXE" initialize" = "C:\WINNT\System32\WinGate.exe Lovgate.H 可以将自身注册为一个服务：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Instrumentation Driver Extension

"ImagePath" = "%SYSTEM\WinDriver.exe - start_server"

蠕虫利用ipc进行guest和Administrator账号的多个简单密码试探。如果成功，蠕虫会以NetServices.exe为文件名拷贝自己到远程计算机的系统目录下，并创建一个服务"Microsoft NetWork FireWall Services"。蠕虫还会生成一个自己的副本文件。蠕虫会把自身的木马功能部分解压缩到一个DLL库文件中，以便此木马以一个单独程序来运行。下面这4个DLL文件的大小都为81,920字节：

reg678.dll

Task688.dll

111.dll

ily668.dll.

蠕虫会监听TCP端口20168

采取措施：

一、停止恶意程序

1.打开 Windows 任务管理器， Windows 9x/ME 系统，按CTRL+ALT+DELETE ；Windows NT/2000/XP 系统，按 CTRL+SHIFT+ESC，然后单击进程选项卡。

2.在运行程序清单中，查找之前检测的恶意程序名称。

3.选择被检测的文件，然后按中止程序和中止进程按钮，取决于您的系统Windows版本。

4.对所有检测的文件重复以上步骤。

5.为检查恶意程序是否被中止，关闭任务管理器，然后重新打开。 (注意：在运行windwos95/98/ME的系统上，任务管理器可能不能显示可靠的进程，你可以使用第三方进程观察器终止恶意代码进程。)

二、删除注册表中的自启动项目

1.打开注册表编辑器。单击"开始>运行"，输入"REGEDIT"，然后按Enter键。在左边的列表中，双击以下键：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

2.在右边的列表中查找并删除以下项目：

WinHelp = "C:\WINNT\System32\WinHelp.exe"

WinGate initialize = "C:\WINNT\System32\WinGate.exe -remoteshell" Remote Procedure Call Locator = "RUNDLL32.EXE reg678.dll ondll_reg"

Program In Windows = "C:\WINNT\System32\IEXPLORE.EXE"

3.找到主键：HKEY_CURRENT_USER>Software>Microsoft>WindowsNT>

CurentVersion>Windows

删除键值Run = AVMOND.EXE?

(%System% 为Windows系统文件夹，通常Windows 9x 和 ME为C:\Windows\System，Windows NT 和 2000为C:\WINNT\System32，Windows XP为C:\Windows\System32。)

4.关闭注册表编辑器。

注意：如果之前无法从内存中中止恶意程序进程，请重启您的系统。

三、修改注册表：

打开注册表编辑器，找到主键HKEY_CLASSES_ROOT>txtfile>shell>open>command

观察其键值，如果为"winrpc.exe %1" ，则修改为%SysDir%\NOTEPAD.EXE %1 。

(%System% 为Windows系统文件夹，通常Windows 9x 和 ME为C:\Windows\System，Windows NT 和 2000为C:\WINNT\System32，Windows XP为C:\Windows\System32。)

四、修改配置文件：

在―运行‖中输入WIN.INI，打开WIN.INI文件，在[windows] 节里删除Run=后面的―RAVMOND.EXE‖，保存后关闭。

18) XF_NETSNAKE.A

传播方式：

Office文档

病毒描述：

32常见病毒及处理方法_常见病毒

在运行了感染了病毒的Office文档后，病毒会造成Word和Excel 的双重感染，并在系统中释放多个病毒程序和木马程序。系统被感染后，此病毒会做以下动作：

? 在word启动文件夹中拷贝一个感染病毒的normal.dot文件。 ? 在EXCLE启动文件夹中拷贝一个感染病毒的NORMA1.XLM文件。 ? 在WINDOWS系统目录下会生成INTERNET.EXE

? 修改注册表启动组

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

? 会出现Internet.exe = "internet.exe"键值。

采取措施：

自动清除方法：

升级趋势防病毒软件的病毒码至955（含）以上,同时请在OfficeScan和ServerProtect服务器上部署DCT392（即TSC）工具。

手动清除方法：

? 删除注册表中的自启动项

从注册表中删除自动运行项目来阻止恶意程序在启动时执行。打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter。在左边的面板中，双击：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

在右边的面板中，找到并删除如下项目：Internet.exe = "internet.exe" 关闭注册表编辑器

? 使用趋势防病毒软件扫描WINDOWS系统目录，清除

internet.exe文件。

19) BKDR_COREFLOOD.A

传播方式：

网络

病毒描述：

该后门程序能够远程连接到黑客网站。通过该网站，它能下载一些程序去操纵被感染病毒的系统。此病毒会做以下动作：

? 模拟代理服务器：它从一个主机接受数据并向另一个远程主机传播。

? 执行shell命令。

? 撤销特定用户登录。

? 重起机器。

? 自动卸载。

? 修改注册表

? 监听网络连接。

? 从运行的进程和剪贴板获得文本信息并发送到黑客网站。采取措施：

自动清除方法：

升级趋势防病毒软件的病毒码至955（含）以上,同时请在OfficeScan和ServerProtect服务器上部署DCT392（即TSC）工具。

手动清楚办法：

禁止进程EXPLORER.EXE。在注册表的自启动项手动删除防病毒软件扫出的恶意程序。

20) TROJ_LMIR.IM

传播方式：

网络

病毒描述：

该病毒是个木马程序，但是不会感染其他的系统。一些用户会经常不知不觉从Internet上下载一些木马程序并安装在自己的机器上。

木马程序通常会带来毁坏或其他有害的行动，轻则只是骚扰重则不可修复。他们也可能修改系统导致重起。

采取措施：

确保病毒码和扫描引擎为最新。趋势科技防毒软件可清除并删除大多

数类型的病毒。而对于特定类型的病毒如：特洛伊木马型病毒、JavaScript/VBScript病毒不易清除的病毒等，都可以轻易侦测并删除。

21) TROJ_LMIR.FA

传播方式：

网络

病毒描述：

该病毒是个木马程序，但是不会感染其他的系统。一些用户会经常不知不觉从Internet上下载一些木马程序并安装在自己的机器上。

木马程序通常会带来毁坏或其他有害的行动，轻则只是骚扰重则不可修复。他们也可能修改系统导致重起。

采取措施：

确保病毒码和扫描引擎为最新。趋势科技防毒软件可清除并删除大多数类型的病毒。而对于特定类型的病毒如：特洛伊木马型病毒、JavaScript/VBScript病毒不易清除的病毒等，都可以轻易侦测并删除。

22) WORM_BAGLE.AZ

传播方式：

电子邮件

病毒描述：

这是一个WORM_BAGLE的新变种。病毒在运行时，会在Windows系统文件夹中生成一个自身拷贝，拷贝所使用的文件名如下：

* sysformat.exe

* sysformat.exeopen

* sysformat.exeopenopen

病毒会搜索名称中带有―shar‖字符串的文件夹，找到后会在其中生成自身拷贝，拷贝的文件名如下：

* 1.exe

* 2..exe

* 3.exe

* 4.exe

* 5.scr

* 6.exe

* 7.exe

* 8.exe

* 9.exe

* 10.exe

* Ahead Nero 7.exe

* Windown Longhorn Beta Leak.exe

* Opera 8 New!.exe

* XXX hardcore images.exe

* WinAmp 6 New!.exe

* WinAmp 5 Pro Keygen Crack Update.exe

* Adobe Photoshop 9 full.exe

* Matrix 3 Revolution English Subtitles.exe ACDSee 9.exe

病毒所发送的电子邮件有如下细节特征：

主题和正文：

* Delivery service mail

* Delivery by mail

* Registration is accepted

* Is delivered mail

* You are made active

* Thanks for use of our software.

* Before use read the help

附件：

* guupd02.exe

* Jol03.exe

* siupd02.exe

* upd02.exe

* viupd02.exe

* wsd01.exe

* zupd02.exe

病毒邮件使用虚假的发件人地址，使之看上去像是从熟悉的地址发来的。请用户避免打开未知来源邮件的附件。

此外，该病毒还会终止多个进程，大部分都是与防病毒和安全程序相关该病毒运行在Windows 95, 98, ME, NT, 2000, 和 XP系统上。采取措施：

升级趋势防病毒软件的病毒码至375（含）以上可以进行防御。同时请在OfficeScan和ServerProtect服务器上部署DCT495（即TSC）工具，也可以在已经感染了该病毒的机器上单独运行TSC工具，以清除该病毒。

23) NIMDA系列

传播方式：

电子邮件、网络共享、IIS服务、文件

漏洞补丁：

Microsoft Security Bulletin (MS01-020)

病毒描述：

该病毒是通过邮件快速传播的网络蠕虫病毒，此邮件主要包含一个SAMPLE.EXE附件。该病毒利用几种感染机制和操作系统已知的漏洞。采取措施：

1、关闭不必要的网络共享，或限制共享权限为只读。

2、终止病毒程序：

A. 进入任务管理器，

B. 查找进程LOAD.EXE；

C. 在任务管理器中终止此进程。

32常见病毒及处理方法_常见病毒

3．删除自动启动进程：

A. 在开始菜单中运行SYSEDIT；

B. 以记事本方式打开SYSTEM.INI文件；

C. 查找[boot]字段：

修改Shell = explorer.exe load.exe –dontrunold为Shell =

explorer.exe；

D. 关闭保存

E. 在开始菜单中运行WIN.INI；

F. 查找删除以下字符串：mepXXXXX.tmp.exe

G. 关闭并保存。

24) WORM_LOVEGATE.W

传播方式：

网终共享

病毒描述：

该病毒即是一种蠕虫病毒也是一种后门病毒。在传播过程中，该病

毒在共享文件夹及其子文件夹中复制自身程序。并且会自动向OUTLOOK中的联系人发送一封邮件。

处理措施：

1、终止任务管理器中的可疑进程；

2、修改注册表：

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双右

击左侧的

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersi

on>Run

并删除面板右侧的内容：

? WinHelp = "%System%\WinHelp.exe" WinGate initialize = "%System%\WinGate.exe -remoteshell" Remote Procedure Call Locator = "RUNDLL32.EXE task.dll

ondll_reg"

? Program In Windows = "%System%\syshelp.exe"

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双右

击左侧的

HKEY_LOCAL_MACHINE>Software>Microsoft>WindowNT>CurrentVer

sion>Windows；

删除面板右侧的内容Run = ‖Rpcsrv.exe‖。

3、中止病毒服务

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双右

击左侧的

HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>Wind

ows Management Instrumentation Driver Extension，并右击删除Window Remote Service Extension；

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双右

击左侧的

HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>Wind

ows Management Extension

并右击删除Windows Management Extension

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双右

击左侧的

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>dll_reg，

并右击删除dll_reg.

关闭注册表。

25) BAT_MUMU.A

病毒描述：

该病毒为批处理文件病毒，通过执行批文件病毒文件向目标机器传

播。

处理措施：

升级趋势防病毒软件的病毒码和TSC至最新。运行防病毒软件扫描

计算机。趋势科技防毒软件可清除并删除大多数类型的病毒。

26) TROJ_SMALL.AHF

病毒描述：

这个木马程序可以常驻内存，做为其他恶意程序的一个组件进入主

机。单凭该木马自身是不会对系统造成任何威胁。

木马会从如下链接下载远程配置文件到它执行的目录：

http://www.ch<BLOCKED>un.com/be/beh_sum.md5

http://www.ch<BLOCKED>un.com/be/beh.ini ?not available as of this writing

处理措施：

终止恶意程序

1、打开windows任务管理器。

2、在windows95/98/ME系统中, 按CTRL+ALT+DELETE；

在 Windows NT/2000/XP 系统中, 按CTRL+SHIFT+ESC,

然后点击进程选项卡。

3、在运行程序列表中，找到先前检测到的恶意文件。

4、选择恶意程序进程，然后点击结束任务或结束进程按钮（取决于

windows的版本）。

5、按照上述步骤终止运行程序列表中的其他恶意文件。

6、为了检查恶意程序是否被终止，关掉任务管理器，然后再打开。

7、关掉任务管理器。

删除恶意程序生成文件

1、右击开始，点击搜索或寻找，这取决于当前运行的Windows版

本。

2、在名称输入框中，输入：

? bead.ini

? beh_sum.md5

? guid.ini

3、在搜索下拉列表中，选择包含Windows的驱动器，然后按回车。

4、一旦找到，点击该文件然后选择删除。

27) PE_Parite.A

病毒描述：

病毒执行后，会在Windows下的Temp目录中以随机文件名生成一个.TMP文件，该文件包含了主要的恶意代码，并被检测为PE_PARITE.A-O。

该文件中有两个导出的函数：AttachHook和Initiate。使用AttachHook功能，它会将自身插入到shell进程或Explorer.exe进程中，从而无法在内存中检测到此病毒。而Initiate则是它用以传播的代码。

该病毒会创建以下注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF

该病毒感染随机数量的.EXE和.SCR文件，会在受感染文件代码中以随机间隔加入新的区段。它还会使用随机端口来访问网络共享，并在它所访问的共享目录中继续实现传播。

需要注意的是，该病毒可能会以一个email文件(.EML)的形式进入系统，该email文件包含可执行的恶意代码，并以base 64编码。这种情况下，当这个email文件被打开时，就会感染病毒。这时它会搜索所有文件名中包含字符串―Readme‖的.HTM和.HTML文件并进行感染，同时将自身的.EML文件复制到这些被感染的.HTM和.HTML文件的文件夹中。这些.HTM和.HTML文件会被趋势科技检测为JS_NIMDA.A病毒。感染这些.HTM和HTML文件时，病毒在这些文件中插入了一段可执行的脚本，每当打开这些网页文件时，就会自动打开与它们同文件夹下的.EML病毒文件。

清除方法：

自动清除：

该病毒可使用趋势科技损害清除服务清除。请使用最新版本TSC，执行清除后

请使用趋势科技防毒软件手动扫描系统，彻底清除感染病毒的文件。手动清除：

1. 重新启动计算机，进入安全模式

2. 打开注册表编辑器，在左侧面板找到并删除以下主键：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer 在右侧窗口中删除以下键值：

PINF

3. 使用Sysclean扫描系统，清除所有病毒文件

4. 重新启动进入正常模式，再次扫描系统，检查病毒是否被完全清除。

28) BKDR_HUPIGON.H

传播方式：

任意端口

病毒描述：

此后门程序会打开一个任意的端口并允许远程用户在被感染的系统上执行以下路由：

? File execution/download File system manipulation/traversal Registry manipulation

采取措施：

1、安全模式启动

重新启动系统同时按下按F8键，进入系统安全模式

2、注册表的恢复

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双

单击左侧的

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services，

并删除左侧的子键GrayPigeonServer

29) TROJ_SMALL.AJY

32常见病毒及处理方法_常见病毒

病毒描述：

这个木马程序可以常驻内存，做为其他恶意程序的一个组件进入主机。单凭该木马自身是不会对系统造成任何威胁。

木马会从如下链接下载远程配置文件到它执行的目录：

http://www.ch<BLOCKED>un.com/be/beh_sum.md5

http://www.ch<BLOCKED>un.com/be/beh.ini ?not available as of this writing

采取措施：

终止恶意程序

1、打开windows任务管理器。

2、在windows95/98/ME系统中, 按CTRL+ALT+DELETE；

在 Windows NT/2000/XP 系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡。

3、在运行程序列表中，找到先前检测到的恶意文件。

4、选择恶意程序进程，然后点击结束任务或结束进程按钮（取决于windows的版本）。

5、按照上述步骤终止运行程序列表中的其他恶意文件。

6、为了检查恶意程序是否被终止，关掉任务管理器，然后再打开。

7、关掉任务管理器。

删除恶意程序生成文件

1、右击开始，点击搜索或寻找，这取决于当前运行的Windows版本。

2、在名称输入框中，输入：

? bead.ini

? beh_sum.md5

? guid.ini

3、在搜索下拉列表中，选择包含Windows的驱动器，然后按回车。

1、一旦找到，点击该文件然后选择删除。

30) TROJ_LEMIR.YN

传播方式：

电子邮件

病毒描述：

此木马病毒与游戏密码相关，并且将所收集的信息通过自身的邮件引擎以邮件的形式发送到一个指定的邮件地址。

该病毒同时监控终止某些进程。这些进程包括反病毒程序、系统进程、或有安全效用的进程。

采取措施：

2. 使用防病毒软件扫描系统，并记录所被感染的文件；

3. 在任务管理器中终止病毒进程；

4. 修改注册表

a. 点击"开始--〉运行"，输入regedit,运行注册表编辑器 b. 单击左侧的

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

c. 在右侧查找并删除子键

Services = ―%Program%\Common Files\services.exe‖

d. 单击左侧的

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Runservices

e. 在右侧查找并删除子键

Services = ―%Program%\Common Files\services.exe‖

f. 关闭注册表。

31) WORM_VB.F

传播方式：

电子邮件、MAPI命令

病毒描述：

该常驻内存的病毒使用一个类似的图标到一下文件夹。当执行该文件后，会打开当前文件夹。

该病毒通过邮件及MAPI命令进行传播。它从目标用户的邮件地址列表中搜索邮件地址，然后发送一封带有蠕虫病毒附件的邮件到目标地址。发送完后，删除发件箱中的所发送的邮件。

采取措施：

a) 使用防病毒软件扫描系统，并删除被检测为WORM_VB.F的文

件。

b) 删除注册表项

a. 点击"开始--〉运行"，输入regedit,运行注册表编辑器

b. 单击左侧的

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

c. 在右侧查找并删除子键

TempCom = "%Windows%\Fonts\%Random%.com"

d. 关闭注册表。

c) 重置注册表项

a. 点击"开始--〉运行"，输入regedit,运行注册表编辑器

b. 单击左侧

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced

c. 在右侧查找并修改子键键值为

Hidden = "dword:00000001"

SuperHidden = "dword:00000000"

HideFileExt = "dword:00000000"

d. 单击左侧

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState

e. 在右侧查找并修改子键键值为

FullPath = "dword:00000000"

f. 关闭注册表。

32) BKDR_TOMPAI系列

传播方式：

网络共享回索引表

病毒描述：

该病毒已重命名为WORM_TOMPAI.A。该病毒通过网络共享进行传播，在传播过程中以不同的文件名或扩展名进行自身的复制，并在已感染此病毒的计算机软驱中生成一个.zip文件。

一旦进入内存，该病毒会自动打开某个端口并建立一条Internet连接，以使恶意用户对此计算机发送命令等操作。通过这个后门，病毒还会收集本地信息发送到以下网站：

? http://www26.brinkster.com/{BLOCKED}/Actuafecha.asp ? http://www26.brinkster.com/{BLOCKED}/actue.asp

该病毒还利用本身的SMTP引擎将收集到的信息发送到一个移动用户。

同时，该病毒降低IE的安全设置，还会改变查看文件及文件夹的设置。

处理措施：

a) 识别病毒进程

利用防病毒软件扫描系统，并记录被检测为WORM_TOMPAI.A的文件及路径。

b) 终止病毒进程

打开任务管理器，终止前面记录的文件进程。

c) 修改注册表

i. 打开注册表

ii. 依次点开左侧目

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run，查找删除右侧项

Cmpnt = "%System%\{Malware file name}"

iii. 依次点开左侧项

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices，查找删除右侧项

Shell = "%System%\mainsv.exe"

iv. 依次点开左侧

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunOnce，查找删除右侧项

Cmpnt = "%System%\mainsv.exe"；

v. 依次点开左侧

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run，查找删除右侧项

Ntcheck = "%Windows%\mapserver.exe"；

vi. 依次点开左侧

HKEY_CURRENT_USER>Software>VB

Settings>Doom，删除左侧子键

Shadow。 and VBA Program

d) 从系统文件中删除自启动项

a. 点击开始－运行，输入WIN.INI,以记事本方式打开WIN.INI文

件；

b. 在[Windows]字段下，查代定位：

load =

run =

c. 删除同行下的内容：%System%\ntdllf.exe

d. 保存WIN.INI。

33) BKDR_REMOTESPY.A

病毒描述：回索引表

这个.DLL组件可能是一个大型后门病毒的一部分，通过后门实现以

32常见病毒及处理方法_常见病毒

下功能：

? 监控系统事件

? 停止监控系统

? 模拟 Ctrl+Alt+Delete

? 模拟鼠标事件

? 模拟键盘事件

? 监控正在运行的应用软件

处理措施：

重启至安全模式，运行最新病毒码的防病毒工具扫描系统，可清除此病毒。

34) PE_VALLA.A

病毒描述：

该病毒直接感染文件、系统可执行文件，特别是位于Windows和Windows System目录下的文件。

处理措施：

升级趋势防病毒软件的病毒码和TSC至最新。运行防病毒软件手动扫描计算机。趋势科技防毒软件可清除并删除大多数类型的病毒。

35) TROJ_LEMIR.HU

传播方式：

网络回索引表

病毒描述：

该木马病毒尝试偷取用户在线游戏的密码，记录到一个文件（C:\GAME.TXT）中,并将此文件发送给病毒作者。

该病毒会修改注册表项，以使用在Windows启动时启动。处理措施：

1．用防病毒软件扫描系统，并记录被检测到地感染文件；

2．在任务管理器中终止病毒进程；

3．修改注册表

依次点击注册表左侧

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows

NT>CurrentVersion>Winlogon

查找右击项

Shell = "Explorer.exe %Windows%\winsearch.exe"

将此项修改为：Shell = "Explorer.exe "

4．从系统文件中删除自启动项

a．点击开始－运行，输入system.ini，以记事本方式打开此文件。

b．在[boot]部分，查找行Shell=Explorer.exe

c．在同一行中删除病毒路径及文件名

%Windows%\winsearch.exe

关闭并保存system.ini。

36) TSPY_LMIR.GI

传播方式：

利用TSPY_LMIR和TSPY_LINEAGE变种传播

病毒描述：

该病毒不使用自启动技术，无法驻于系统内存。

与其它TSPY_LMIR和TSPY_LINEAGE变种类似，该间谍软件扫描正在运行的系统进程，并经常修改LSP协议和登录按键。处理措施：

升级趋势防病毒软件的病毒码和TSC至最新。运行防病毒软件手动扫描计算机。趋势科技防毒软件可清除并删除大多数类型的病毒。

37) VBS_SORACI.A

传播方式：

网络共享、磁盘

病毒描述：

该病毒VBS脚本病毒，它在被感染的系统中生成一个与系统文件同名的文件FOLDER.HTT，并同时产生一个名DESKTOP.INI的文件。该病毒还会修改IE浏览器的主页为：

处理措施：

重置IE浏览器主页及搜索页

关闭所有IE窗口；

打开控制面板；

在Internet选项中，点击程序标签；

点击重置WEB设置，并选择同时重置我的主页；

38) WORM_NETSNAKE.C

传播方式：

电子邮件

病毒描述：

该病毒为NETSKY变种，使用自身SMTP引擎发送带毒邮件。病毒在受感染的系统搜索Windows目录下名称含有―shar‖字符串的文件夹，并在该文件夹中生成多个自身拷贝。病毒生成的拷贝使用有诱惑性的文件名。

如果当前系统日期为2004年2月26日，时间在早上6点至9点之间，该病毒会使机器发出―哔哔‖的声音。

此外，病毒还会终止其他恶意程序，方法是删除其他恶意程序为实现自启动而创建的注册表项目。

该病毒可常驻内存，可在Windows 95, 98, ME, NT, 2000和XP系统下运行。

采取措施：

1、升级趋势防病毒软件的病毒码和TSC至最新。

2、识别病毒程序

要清除这种病毒，首先要识别出该病毒

A. 使用趋势科技防病毒产品扫描系统

B. 记录所有被检测为WORM_NETSKY.C的文件

3、终止恶意程序

这个步骤中终止正在内存中运行的恶意程序进程。

打开windows任务管理器。

在windows95/98/ME系统中, 按

CTRL+ALT+DELETE

在 Windows NT/2000/XP 系统中, 按

CTRL+SHIFT+ESC, 然后点击进程选项卡。

在运行程序列表中，找到先前检测到的恶意文件。

选择恶意程序进程，然后点击结束任务或结束进程按钮（取决于windows的版本）。

按照上述步骤终止运行程序列表中的其他恶意文件。

为了检查恶意程序是否被终止，关掉任务管理器，然后再打开。关掉任务管理器。

4、删除注册表中的自启动项目

从注册表中删除自动运行项目来阻止恶意程序在启动时执行。打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter 在左边的面板中，双击:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

在右边的面板中，找到并删除如下项目：

ICQ Net = "%Windows%\winlogon.exe -stealth"

5、恢复被删除的注册键

在注册表编辑器的左边面板中，双击: HKEY_CLASSES_ROOT>CLSID>{E6FB5E20-DE35-11CF-9C87-00AA005127ED}

右击子键，选择―新建‖，然后点击键值―项‖

在新建项中输入―InProcServer32‖

在右边的面板中，右击（默认），然后点击―修改‖

在―数值数据‖中，输入如下的字符串：

%SystemRoot%\System32\webcheck.dll

点击确定

关闭注册表编辑器。

39) BKDR_BLACKHOLE.F

传播方式：

随机的TCP端口回索引表

病毒描述：

该常驻内存的后门病毒打开一个随机的TCP端口，并等一个远程用户的连接。一旦建立了连接，远程用户可以在此计算机执行命令。

此后门还会通过修改注册表来修改系统的地区时间设置，禁止系统密码隐藏的能力。

处理措施：

5. 使用防病毒软件扫描系统，记录所识别为此病毒文件

6. 在任务管理器中，终止被识别为病毒的进程

7. 删除注册表中的病毒项及键值

打开注册表

I. 依次点开注册表树：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

删除右侧项：Clipsvc = "%System%\clipsv.exe"

II. 依次点开注册表树：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Internet Settings

删除左侧子项：EnableAutodisconnect 和EnableAutodial III. 依次点开注册表树：

32常见病毒及处理方法_常见病毒

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>Curre

ntVersion>Internet Settings

删除左侧子项：EnableAutodisconnect 和EnableAutodial

IV. 依次点开注册表树：

HKEY_CURRENT_CONFIG>Software>Microsoft>Windows>CurrentVersion>Internet Settings

删除左侧子项：EnableAutodisconnect 和EnableAutodial

V. 依次点开注册表树：

HKEY_USERS>.DEFAULT>Software>Microsoft>Windows>CurrentVersion>Internet Settings

删除左侧子项：EnableAutodisconnect 和EnableAutodial

VI. 依次点开注册表树：

HKEY_USERS>.DEFAULT>Software>Microsoft>Windows>CurrentVersion>Internet Settings

修改右侧键值：MigrateProxy = "1"为MigrateProxy = "0"

VII. 依次点开注册表树：

HKEY_CURRENT_CONFIG>Software>Microsoft>Windows>CurrentVersion>Internet Settings

修改右侧键值：MigrateProxy = "1"为MigrateProxy = "0"

VIII. 依次点开注册表树：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentV

ersion>Internet Settings

修改右侧键值：MigrateProxy = "1"为MigrateProxy = "0"

IX. 依次点开注册表树：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Current

Version>Internet Settings

修改右侧键值：MigrateProxy = "1"为MigrateProxy = "0"

X. 依次点开注册表树：

HKEY_CURRENT_USER>SOFTWARE>Microsoft>Windows>CurrentVersion>Policies>Network

删除右侧键值：DisablePwdCaching = "1"

XI. 依次点开注册表树：

HKEY_CURRENT_CONFIG>SOFTWARE>Microsoft>Windows>CurrentVersion>Policies>Network

删除右侧键值：DisablePwdCaching = "1"

XII. 依次点开注册表树：

HKEY_USERS>.DEFAULT>Software>Microsoft>Windows>CurrentVersion>Policies>Network

删除右侧键值：DisablePwdCaching = "1"

XIII. 依次点开注册表树：

HKEY_CURRENT_USER>Control Panel>International

修改右侧键值：SDate="-"为SDate="\"

XIV. 依次点开注册表树：

HKEY_USER>S-1-5-18>Control Panel>International

修改右侧键值：SDate="-"为SDate="\"

XV. 依次点开注册表树：

HKEY_USERS>.DEFAULT>Control Panel>International

修改右侧键值：SDate="-"为SDate="\"

XVI. 依次点开注册表树：

HKEY_CURRENT_USER>SOFTWARE>Microsoft>Windows>CurrentVersion>Policies>WinOldApp

删除右侧项：NoRealMode = "0"

XVII. 依次点开注册表树：

HKEY_USERS>.DEFAULT>Software>Microsoft>Windows>CurrentVersion>Policies>WinOldApp

删除右侧项：NoRealMode = "0"

8. 禁止病毒服务

开始――运行――CMD

输入命令：

NET STOP "Black Hole2005 Professional Version"

回车运行命令。

40) BKDR_GRAYBIRD.CW

传播方式：

网络共享、弱密码

病毒描述：

该常驻内存的后门病毒会在受感染的系统上打开一个随机的端口用远程用户在此计算机系统上执行命令。

执行此病毒后，其病毒会在Windows系统目录下生成自身拷贝及几个组件。

它还会在注册表的自启动项中添加注册键值，使其能在系统启动后自动启动。

该病毒使用rootkit技术，允许其在任务管理器其它相关应用中嵌入在IE等正常的系统进程中。

处理措施：

1. 手动扫描计算机，删除所有被检测为病毒的文件。

2. 删除注册表中的自启动项

打开注册表

a.依次点开注册表树：（2000\NT\XP\2003）

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services 删除左侧子项：GrayPigeonServer

b.依次点开注册表树：（98\ME）

HKEY_USER>.DEFAULT>Software>Microsoft>Windows>CurrentVersion>Run

删除右侧键值：G_Server.exe＝‖%Windows%\G_Server.exe‖

依次点开注册表树:

HKEY_USER_USER>Software>Microsoft>Windows>CurrentVersion>Run

删除右侧键值：G_Server.exe＝‖%Windows%\G_Server.exe‖

41) TSPY_LEGMIR.BD

传播方式：

无特定传播方式

病毒描述：

该间谍软件在Windows系统文件夹下生成一个名CQ.DLL的.DLL组件。为了避免被及时的检测到，其文件属性修改为只读、隐藏、系统。该病毒偷取用户的敏感信息，如在线游戏的用户名、密码等。然后利用自身的SMTP引擎将这些信息发送至远程用户。

处理措施：

删除注册表自启动项

1. 打开注册表

2. 依次点开注册表树：HKEY_CLASSES_ROOT>CLSID

删除右侧键值：{86F4BDA2-C04B-4662-953A-9A47C1F10C5C}

3. 依次点开注册表树：

HKEY_LOCAL_MACHINE>SOFTWARE>Classes>CLSID>

删除右侧键值：

{86F4BDA2-C04B-4662-953A-9A47C1F10C5C}

4. 依次点开注册表树：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>ShellExecuteHooks

删除右侧键值：

{86F4BDA2-C04B-4662-953A-9A47C1F10C5C}

42) PE_PARITE.A-1

传播方式：

网络共享

病毒描述：

该病毒感染EXPLORER.EXE文件并得到内存的常驻信息，当驻入

计算机内存后，感染计算机上所有.EXE、.SCR文件及所有具有读写权限的网络共享。

该病毒主要通过在文件中添加病毒代码来实现感染文件的目的。采取措施：

升级趋势防病毒软件的病毒码和TSC至最新。

手动清除该病毒的相关建议：

1、安全模式启动

重新启动系统同时按下按F8键，进入系统安全模式

2、注册表的恢复

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_CURRENT_USER>Software>Microsoft> Windows>CurrentVersion>Explorer，并删除面板左侧子键PINF

43) W97M_LEXAR.C

传播方式：

WORD文档模板

病毒描述：

该病毒为Office Word宏病毒，它通过感染Word模板文件NORMAL.DOT感染计算机；

该病毒还在本地生成一个自身的复制文件c:\temp.tmp；

当打开或关闭一个Word文档时，该宏病毒会被触发。

但该宏病毒在4、8、11月的10、20、30号不会感染Word文档。采取措施：

3. 下载最新的病毒码，并扫描计算机。

4. 用正常的NORMAL.DOT文件替换被感染的模板文件。

44) WORM_CELLERY.F

传播方式：

网络共享驱动

32常见病毒及处理方法_常见病毒

病毒描述：

病毒在运行的时候会运用一个背景音乐。该背景音乐实际上是文件MINUET.MID，该文件是病毒在受感染机器上产生的文件。同时产生的文件还有FORMAT32.EXE，该文件是病毒的自身拷贝。

处理措施：

1、终止病毒进程

打开任务管理器，终止进程：format32.exe

2、注册表的恢复

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

并删除左侧的子键Systrsy = "%System%\format32.exe"

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的：

HKEY_LOCAL

_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run 并删除左侧的子键Systrsy = "%System%\format32.exe"

45) WORM_REPER.A

传播方式：

网络共享

病毒描述：

该病毒在Windows文件夹下生成自身拷贝文件VIEWER.EXE,并在系统文件夹下生成NOTEPAD.EXE文件。

在每一个根目录下，病毒会在AUTORUN.INF文件中添加字符串：Open=reper.exe；若当然目录无此文件，病毒将自动创建该文件。 AUTORUN.INF在以下平台上会被成功修改：

? Microsoft Windows 95

? Microsoft Windows 98 Microsoft Windows NT 4.0

o Microsoft Windows NT Enterprise Server 4.0 Microsoft Windows NT Server 4.0 Microsoft Windows NT Terminal Server 4.0 Microsoft Windows NT Workstation 4.0

为了防止被清除或删除，病毒会中止以下进程：

o cmd.exe Taskmgr.exe Nvtdm.exe Regedit.exe Any other process that contains the string proc

处理措施：

1、终止病毒进程：

a.Windows 95, 98 and ME操作系统，按CTRL+ALT+DELETE b. Windows NT, 2000, and XP 操作系统, 开始－>运行：

command /c copy %Windows%\taskmgr.exe taskmgr.com | taskmgr.com

(Note: %Windows% is the default Windows folder, usually C:\Windows or C:\WINNT.)

c．终止进程：REPER.EXE

d．进程终止后, 关闭任务管理器, 再打开一次.

e．关闭任务管理器

f．Windows NT, 2000, and XP 操作系统上，开始－>运行：

command /c del %Windows%\taskmgr.com

2．删除注册表自启动项：

开始－>运行：

输入：command /c copy %Windows%\regedit.exe regedit.com | regedit.com

在注册表左侧，转至：

HKEY_LOCAL_MACHINE>Software>Microsoft>

Windows>CurrentVersion>Run

删除右侧项：Runreper = "%Windows%\viewer.exe"

关闭注册表。

开始－>运行，输入：command /c del %Windows%\regedit.com

3. 查看注册表SHELL值：

开始->运行；

command /c copy %Windows%\regedit.exe regedit.com | regedit.com

在左侧注册表中，转至：

HKEY_CLASSES_ROOT>txtfile>shell>open>command

在右侧查找Default

修改键值为：

C:\WINDOWS\system32\notepad.exe %1

(Note: 病毒文件会将其修改为 n0tepad.exe。)

关闭注册表。

46) TROJ_DUMARIN.G

病毒描述：回索引表

该常驻内存的木马病毒通过监测用户访问来偷取重要信息。它记录所有包含特殊字符串的键击信息。

它还会在Windows临时文件夹下生成一个a.htm文件，该文件中记录了被编译后的系统信息。然后利用IE找开该htm文件，将文件中的信息传到指定的站点上。

该病毒还会修改HOSTS文件，以防止病毒码的更新。

采取措施：

升级趋势防病毒软件的病毒码和TSC至最新。

手动清除该病毒的相关建议：

1、使用防病毒软件扫描系统；

2、删除所有被识别为病毒的进程；

3、注册表的恢复

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run，并删除面板左侧子键

load32 = ―%System%\netda.exe‖

依次双击左侧的

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows

NT>CurrentVersion>Winlogon，并查找面板左侧子键

Shell = ―Explorer.exe %System%\netdc.exe‖

将其值修改为：Shell = ―Explorer.exe‖

4、修改系统文件中的自启动项

打开SYSTEM.INI文件；

查找[boot]段下的Shell=Explorer.exe；并删除同一行中的System%\netdc.exe；

保存文件。

5、重置Windows的Hosts表

以记事本方式打开Hosts表，然后删除以下内容：

127.0.0.1 avp.com

127.0.0.1 ca.com

127.0.0.1 customer.symantec.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 download.mcafee.com

127.0.0.1 f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 mast.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 my-etrust.com

127.0.0.1 nai.com

127.0.0.1 networkassociates.com 127.0.0.1 rads.mcafee.com

127.0.0.1 secure.nai.com

127.0.0.1 securityresponse.symantec.com 127.0.0.1 sophos.com

127.0.0.1 symantec.com

127.0.0.1 trendmicro.com

127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com

127.0.0.1 viruslist.com

127.0.0.1 www.avp.com

127.0.0.1 www.ca.com

127.0.0.1 www.f-secure.com

127.0.0.1 www.kaspersky.com

127.0.0.1 www.mcafee.com

127.0.0.1 www.my-etrust.com

127.0.0.1 www.nai.com

127.0.0.1 www.networkassociates.com 127.0.0.1 www.sophos.com

127.0.0.1 www.symantec.com

127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.com

保存文件。

47) TSPY_GAMEC.J 回索引表

32常见病毒及处理方法_常见病毒

传播方式：

其它病毒携带

病毒描述：

该间谍软件病毒记录击键内容并偷取账号信息，特别是某些游戏的

用户名密码等。然后病毒将这些信息保存到一个文件中，并通过自身的SMTP引擎将此信息发送给恶意用户。

采取措施：

升级趋势防病毒软件的病毒码和TSC至最新。

手动清除该病毒的相关建议：

注册表的恢复

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双

击左侧的HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>

Windows NT>CurrentVersion>Winlogon，查找定位面板右侧项：

Userinit = "%System%\userinit.exe,C:\WL_File\WL_EXE.com"，将其值修改为：Userinit = "%System%\userinit.exe,"。

48) APP_SERVU.A

病毒描述：回索引表

趋势检测为流行的、合法的，无恶意的FTP服务器Serv-U后台程序。通过访问该站点，会从其它计算机上复制、移动、创建、删除文件或文件夹。已知的各种病毒通过这些恶意的路由传播出去。

（注：如果该程序是用户自动安装的，可以忽略该病毒）。

采取措施：

升级最新的间谍软件病毒码，手动扫描计算机。卸载该应用程序。

49) WORM_TRAXG.A

病毒描述：

该病毒可在Windows目录下的多个文件夹中生成自身拷贝。病毒生成的拷贝使用随机的文件名，但文件扩展名均为.COM。

病毒向所有MSOutlook地址簿中的地址发送邮件。所发送的邮件有如下的细节特征： From:

To:

Subject: ?????

Message body: ??????Document???????????????

Attachment: Document.exe

该病毒可运行在Windows 95, 98, ME, NT, 2000和XP系统中。

解决方案:

识别病毒程序

要清除这种病毒，首先要分辩该病毒程序

1. 使用趋势科技防病毒产品扫描系统 2. 记录所有被检测为WORM_TRAXG.A的文件

趋势科技的用户在扫描系统前应该下载最新病毒码文件。其它的互联网用户可以使用趋势科技的免费在线病毒扫描 Housecall。

终止恶意程序

这个步骤中终止正在内存中运行的恶意程序进程。

1. 打开windows任务管理器。

在windows95/98/ME系统中, 按

CTRL+ALT+DELETE

在 Windows NT/2000/XP 系统中, 按

CTRL+SHIFT+ESC, 然后点击进程选项卡。

2. 在运行程序列表中，找到先前检测到的恶意文件。

3. 选择恶意程序进程，然后点击结束任务或结束进程按钮（取决于windows的版本）。

4. 按照上述步骤终止运行程序列表中的其他恶意文件。

5. 为了检查恶意程序是否被终止，关掉任务管理器，然后再打开。

6. 关掉任务管理器。

*注意: 在运行windows95/98/ME的系统中，任务管理器可能不会显示某一进程。可以使用其他进程查看器来终止恶意程序进程。否则，继续进行下面的步骤，注意附加说明。删除注册表中的自启动项目

从注册表中删除自动运行项目来阻止恶意程序在启动时执行。

1. 打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter

2. 在左边的面板中，双击:

HKEY_LOCAL_MACHINE>Software>Microsoft>

Windows>CurrentVersion>Run

3. 在右边的面板中，找到并删除先前被检测为恶意程序的数据。

4. 关闭注册表编辑器。

注意：如果不能按照上述步骤终止运行在内存中的恶意进程，请重启系统。

运行趋势科技防病毒

使用趋势科技防病毒产品扫描系统并删除所有被检测为WORM_TRAXG.A的文件。趋势科技的用户必须在扫描系统之前下载最新病毒码文件。其他的互联网用户可以使用Housecall，这是趋势科技的。

50) PE_TENGA.A

传播方式：

网络共享

病毒描述：

该病毒首先收集大量的主机IP地址。然后根据这些IP地址进行扫描，查找网络上是否有写权限的共享存在。

该病毒还会将自身代码附加插入到受感染系统中的所有.EXE文件中。如果受感染的文件有自启动的功能，则当每次系统启动时，文件感染体都会被执行。

病毒被执行后，该病毒从utenti.lycos.it/vx9网站上下载一个病毒文件TROJ_TENGADL.A.

采取措施：

识别并终止病毒进程

a. 使用趋势防病毒软件扫描整个系统；

b. 记录所有被检测为PE_TENGA.A病毒的文件名及路径； c. 在任务管理器中，查看前面刻录的文件名的进程并终止；

升级趋势防病毒软件的病毒码至955（含）以上,同时请在OfficeScan和ServerProtect服务器上部署DCT392（即TSC）工具。

注：要完全清除该计算机上的病毒，还需要清除PE-TENGA.A-O和TROJ_TENGADL.A病毒。

51) WORM_RONTKBR.B

传播方式：

电子邮件回索引表

病毒描述：

该病毒通过将自身文件做为邮件附件，然后利用自带的SMTP引擎发送病毒邮件。

采取措施：

终止病毒进程

1. 使用防病毒软件扫描系统；

2. 在任务管理器中，终止所有被检测为该病毒的进程；

允许编辑注册表

A. 打开文件编辑器；

B. 复制以下代码：

REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\System]"DisableRegistryTools"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\

CurrentVersion\Policies\System]"DisableRegistryTools"=-

C. 将以下代码保存，扩展名为.REG.(文件名任意)

D. 双击该.REG文件执行。

编辑注册表

该病毒修改了系统注册表。要清除病毒，需要修改或删除某些注册表项。

依次双击打开以下注册表树：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

在右侧面板中查找并删除以下键值：

Bron-Spizaetus = "C:\WINNT\ShellNew\bronstab.exe"

在左侧，依次双击打开以下注册表树：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

在右侧，查找并删除以下项：

Tok-Cirrhatus="C:\Documents and Settings\Administrator\Local Settings\Application Data\smss.exe"

关闭注册表。

对于WinME/XP的计算机，请关闭所有磁盘的系统还原功能。

52) TROJ_NTSERV.A

传播方式：

其它病毒

病毒描述：

该病毒通过其它病毒释放程序。通常由后门、木马、键盘记录器等

32常见病毒及处理方法_常见病毒

病毒释放。

采取措施：

终止病毒进程

A. 使用防病毒软件扫描系统；

B. 在任务管理器中，终止所有被检测为该病毒的进程；

识别病毒服务

该病毒在注册表中注册了服务值。该服务器可以.INI配置文件中得到，其服务器通常为Trojan.EXE。

然后在开始――运行中输入命令：Net stop 服务名

编辑注册表

该病毒修改了系统注册表。要清除病毒，需要修改或删除某些注册

表项。

依次双击打开以下注册表树：

HKEY_LOCAL_MACHINE>System>CurentControlSet>Services><

SERVICE NAME>

在右侧面板中查找并删除以下键值：

键值名与服务名相同。

关闭注册表。

53) BKDR_GRAYBIRD.KR

病毒描述：

该后门程序通常作为BKDR_HUPIGON.AGF生成的文件而到达系统中，通常为位于Windows目录下的以下文件：

? QQServerKey.DLL QQServer_Hook.DLL

该后门可以允许远程恶意用户在受感染计算机上执行以下远程命令： ?

? 获取系统及注册表信息键盘按键记录

该后门通常被用来实现Rootkit功能。很显然，BKDR_GRAYBIRD与

BKDR_HUPIGON通常共同来实现Rootkit技术。

清除方法：

注：若要彻底清除该病毒，请参考病毒BKDR_HUPGION.AGF的清除方案。

1．重新启动系统，进去安全模式

2．从―开始‖-―搜索‖中，查找文件名QQServerKey.DLL；在搜索目标中选择

包含Windows的分区

3．将搜索到的文件直接删除

4．重复使用以上步骤，删除文件QQServer_Hook.DLL

注意：Windows ME/XP用户在清除病毒前，请确认关闭系统还原功能。

54) TSPY_AGENT.CWN

传播方式：

其它病毒

病毒描述：

该间谍软件病毒是一个动态链接库文件，被其它病毒使用安装或其

它病毒的更新。该病毒还会通过击键声音记录日志。然后通过邮件发送到恶意用户。

采取措施：

该病毒修改了系统注册表。要清除病毒，需要修改或删除某些注册

表项。

依次双击打开以下注册表树：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVe

rsion>Run>mscfs

删除病毒项，然后关闭注册表.

55) TROJ_TIMESE.C

传播方式：

其他病毒

病毒描述：

该病毒会在每个活动窗口的标题后加上时间标记，格式为―M/D/YYYY hh:mm‖ (e.g. 1/2/3004 3:15)。同时病毒会自动将自身复制到软盘，文件名为TIMER.EXE。

清除方法：

手动扫描系统，记录所有被判断为TROJ_TIMESE.C的文件。在任务管理器中，将被判断为病毒的进程中止。

当病毒进程中止后，即可删除病毒的注册表项。打开注册表编辑器，找到以下路径：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Current

Version>Run

在右边窗口中找到Timer = "%Windows%\TIMER.EXE" 的记录并删除。删除所有被判断为TROJ_TIMESE.C的文件，然后再次执行手动扫描，检查病毒是否完全清除。

56) TSPY_KEYLOG.BF

传播方式：

其他病毒

病毒描述：

该病毒执行后，将在Windows目录下生成一个自身的拷贝svchost.exe，同时注册到注册表启动项部分。之后，病毒会自动记录键盘活动，并将信息通过UDP 5566端口发送。同时该病毒会将其他相关文件记录到iexbak.txt和debug_client.txt文件中。

清除方法：

手动扫描系统，记录所有被判断为TSPY_KEYLOG.BF的文件。在任务管理器中，将被判断为病毒的进程中止。

当病毒进程中止后，即可删除病毒的注册表项。打开注册表编辑器，找到以下路径：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>

Run

在右边窗口中找到System Manager = %windows%\svchost.exe的记录并删除。

删除所有被判断为TSPY_KEYLOG.BF的文件，然后再次执行手动扫描，检查病毒是否完全清除。

57) WORM_RONTOKBRO.D

传播方式：

电子邮件

病毒描述：

该病毒通过将自身拷贝作为电子邮件附件的方式进行传播。病毒会搜索系统中特定扩展名的文件，来获取病毒邮件收件人电子邮件列表。

病毒传播时发送的电子邮件特征为：

主题：(空)

附件：Kangen.exe

其中的附件会使用Windows Explorer的图标，来骗取用户点击运行。该病毒执行后，会在多个目录中生成自身的拷贝，并在系统启动时暂停启动进程，需要用户按任意键继续。

此外，该病毒还会将浏览器菜单栏中的―工具‖－―文件夹选项‖隐藏，禁止用户修改文件和文件夹的显示属性。同时该病毒还会禁用命令提示符和注册表编辑器。

病毒还会使用Windows的计划任务中添加计划来定期运行自身程序。该病毒还会自动覆盖hosts文件为一个.html文件。

病毒会监视系统，当用户开启的某个窗口标题栏中包含―.EXE‖或―Registry‖字样时，或是用户执行一个exe程序或开启注册表编辑器时，病毒会自动重启系统。

病毒检测：

需要最低扫描引擎版本：7.000

需要最低病毒码版本：2.888.01

所需病毒码发布日期：2005.10.11

清除方法：

自动清除：

使用趋势科技损害清除服务可以清除系统中驻留内存的病毒。配合手动扫描，可以彻底清除该病毒。

手动清除：

1. 重新启动计算机，进入安全模式

2. 由于病毒禁用了注册表编辑器，首先需要恢复注册表编辑器功能。开启写字板程序

将以下内容复制到写字板中：

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools" = dword:00000000

在菜单栏点击―文件‖－―另存为‖，将该文件保存为C:\RESTORE.REG 点击―开始‖－―运行‖，输入C:\RESTORE.REG，点―确定‖

3. 删除注册表中该病毒的自动运行项目

开启注册表编辑器

在左边树状目录中找到以下内容：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

在右边窗口中找到以下键值并删除：

Windows ME/2000/XP/2003：

Bron-Spizaetus = "%Windows%\ShellNew\ElnorB.exe"

Windows 98/NT：

Bron-Spizaetus = "\ShellNew\ElnorB.exe"

在左边树状目录中找到以下内容：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>R

32常见病毒及处理方法_常见病毒

在右边窗口中找到以下键值并删除：

Windows ME/2000/XP/2003

Tok-Cirrhatus="%UserProfile%\LocalSettings\Application Data\smss.exe" Windows 98/NT

Tok-Cirrhatus="%Windows%\Application Data\smss.exe"

4. 删除注册表中其他病毒相关键值

在注册表编辑器中，在左边树状目录中找到以下内容：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Explorer

在右边窗口中找到并删除以下键值：

NoFolderOptions = "dword:00000001"

在左边树状目录中找到以下内容：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>System

在右边窗口中找到并删除以下键值：

DisableCMD = "dword:00000000"

在左边树状目录中找到以下内容：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced

在右边窗口中找到以下键值：

? Hidden = "dword:00000002"

? HideFileExt = "dword:00000001"

? SuperHidden = "dword:00000000"

将这些键值修改为以下内容：

? Hidden = "dword:00000001"

? HideFileExt = "dword:00000000"

? SuperHidden = "dword:00000001"

关闭注册表编辑器

5. 恢复AUTOEXEC.BAT

使用文本编辑工具(如记事本)打开编辑 C:\AUTOEXEC.BAT

删除其中以下语句：

pause

保存并关闭。

6. 删除计划任务

点击―开始‖－―程序‖－―附件‖－―系统工具‖－―计划任务‖

删除其中名为AT{X}.JOB（其中X代表十进制数字）的计划任务

7. 恢复被修改的hosts文件

找到系统的hosts文件

Windows NT/2000/XP/2003

%System%\drivers\etc\HOSTS

Windows 98/ME

%Windows%\HOSTS.SAM

使用文本编辑工具打开hosts文件

删除所有内容

在hosts文件中写入以下内容：

127.0.0.1 localhost

保存并关闭

8. 关闭系统还原

如果使用的是Windows ME/XP/2003，请关闭系统还原功能

9. 使用最新的Sysclean来扫描系统

10. 重新启动计算机，正常进入系统，使用立即扫描来检查病毒是否完全清除。

11. 如果计算机无法正常启动，请使用Windows安装光盘修复系统。或是从原有的备份恢复Rundll32.exe文件。

58) TROJ_BOOT.AA

传播方式：回索引表

其他病毒

病毒描述：

该病毒程序运行后，会修改系统文件 %Root%/BOOT.INI，该文件用以控制系统引导与启动特性。

清除方法：

使用趋势科技防病毒软件扫描系统，将所有被检测为TROJ_BOOT.AA的病毒文件全部删除。

此外，还需要恢复被病毒破坏的Boot.ini系统文件。具体方法请参考以下微软KB：

On Windows NT On Windows 2000 On Windows XP On Windows 2003

59) BKDR_NPFECT.A

传播方式：

其他病毒

病毒描述：

该后门程序会在被感染的计算机上随机开启一个端口，允许远程用户在本机执行恶意代码。

该病毒本身不会主动传播，通常会被其他病毒/木马程序自动下载，或者与第三方软件绑定。

清除方法：

自动清除：

删除注册表项：

1. 重新启动计算机，进入安全模式。

2. 开启注册表编辑器，找到以下目录：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>RunOnce

3. 在右边窗口中删除以下键值：

dwMyTest = "LOADHW.EXE"

4. 在注册表中找到以下目录：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Enum>Root>LEGACY_NPF>0000>Control

5. 在右边窗口中删除以下键值：

ActiveService = "NPF"

6. 在注册表中找到以下目录：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>NPF

7. 在右边窗口中删除以下键值：

TimestampMode = 0000

8. 关闭注册表编辑器

删除病毒文件：

1. 点击―开始‖-―查找‖

2. 选择查找所有文件类型，在搜索范围中选择Windows目录，然后查找以下文件：

MSITINIT.DLL

NPF.SYS

3. 确认NPF.SYS文件大小是39,952 Bytes，并位于System32目录下。

4. 删除以上两个文件。

5. 手动扫描系统，将所有被检测为感染病毒BKDR_NPFECT.A的文件删除。

注意：Windows XP/ME/2003的用户，请在清除病毒前确保关闭系统还原功能。

如果病毒清除后系统文件受损，请使用Windows安装光盘修复系统文件。

60) TROJ_SMALL.BPH

传播方式：

其他病毒

病毒描述：

该病毒会自动从Internet下载一些病毒文件，并自动运行它们。

清除方法：

1. 找出病毒文件

a. 使用趋势科技防毒软件扫描整个系统

b. 记录下所有被判为病毒的文件

2. 重新启动进入安全模式

3. 删除病毒文件

a. 从[开始]-[搜索]找出第1步中所有被判为病毒的文件

b. 直接删除这些文件

4. 修改注册表清除病毒启动项

a. 点击[开始]-[运行]，启动注册表编辑器

b. 在左侧面板找到以下路径：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mms-up c. 直接删除这个目录

32常见病毒及处理方法_常见病毒

5. 其他注意事项

Windows ME/XP/2003 用户在清除病毒前，请关闭系统还原功能。

61) TROJ_DLOADER.CWA

传播方式：

其他病毒

病毒描述：

该病毒通常与其他程序绑定而进入系统，或是在用户访问某些包含此病毒的网站时感染系统。

当该病毒执行后，会将自身复制为Rundll.exe，放置于Windows的系统目录下（Windows NT/2000/XP/2003上为%Windows%\System32，Windows 9x/ME上为%Windows%\System）。

同时，该病毒会通过添加注册表键值的方式，将自身注册为Browser Helper Object (BHO).

此外，该病毒会通过修改注册表以下键值，使得每次用户执行.exe文件时都会自动执行病毒程序：

将原先的：

HKEY_CLASSES_ROOT\exefile\shell\open\command

@ = ""%1" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command @ = ""%1" %*"

修改为：

HKEY_CLASSES_ROOT\exefile\shell\open\command

@ = "%System%\Rundll.exe "%1" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command @ = "%System%\Rundll.exe "%1" %*"

该病毒会自动访问某恶意网站，自动下载病毒程序并执行。

清除方法：

1. 扫描系统后，将所有被标记为病毒的程序记录下来。

2. 在任务管理器中找到所有的病毒进程并中止它们。

3. 点击―开始‖-―运行‖，输入以下命令：

command /c copy %WinDir%\regedit.exe regedit.com | regedit.com

4. 在注册表编辑器中，在左边找到以下路径：

HKEY_CLASSES_ROOT>exefile>shell>open>command

5. 在右侧找到以下键值：

Default

6. 检查该键值是否指向了被标记为病毒的文件。如果是，则将它们修改为以下键值：

"%1"%*

7. 用同样的方法修改注册表以下路径中的对应键值：

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

8. 在注册表中找到BHO部分，检查其中是否存在病毒路径的键值，如果有，请直接删除：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

9. 再次点击―开始‖-―运行‖，输入以下命令：

command /c del regedit.com

10. 再次执行手动扫描，检查病毒是否可以隔离。

注意：Windows ME/XP 用户请在执行上述操作前关闭系统还原功能。

62) TROJ_AGENT.ARK

传播方式：

其他病毒

病毒描述：

该病毒程序运行后，会检查受感染计算机的网络情况。如果未检测到网络连接，

它会自动中止运行。如果检测到网络连接，则会在后台从某一特定URL下载病毒程序，下载完成后自动退出。

清除方法：

该病毒不会写入注册表，只要重新启动系统进入安全模式，直接删除感染病毒的文件即可。如果仍然无法删除，只要将病毒文件―剪切‖-―粘贴‖到C:\根目录下，重新启动系统，OfficeScan即可隔离该病毒文件。

63) POLYBOOT-B

传播方式：

软盘

病毒描述：回索引表

该病毒驻留内存，会感染磁盘的主引导区(Master Boot Sector, MBS)和引导区(Boot Sector)，包括硬盘和软盘的引导区，导致系统无法引导。该病毒不依存于文件。

清除方法：

清除该病毒的方法即恢复系统引导区的方法。

对于Windows 9X：

1. 使用Windows 95/98 引导盘启动系统

2. 输入以下命令，每输入一行都以回车结尾：

Fdisk /mbr

Sys C:

3. 重新启动系统

对于Windows NT/2000/XP 系统：

1. 使用Windows 2000/XP 安装光盘引导系统

2. 在安装画面中按R，选择进入修复控制台

3. 选择需要修复的系统(如果有多系统的话)

4. 输入管理员密码登陆

5. 输入以下命令后按回车：

FIXMBR <device name>

其中的<device name>是可选，如果有设备需要一个新的MBR，则键入该设备名。通常只使用一个单独的命令FIXMBR即可。

6. 输入以下命令后按回车：

FIXBOOT <drive name>

其中的<device name>是可选，如果需要在某个驱动器设置引导区，则输入该驱动器名。通常只使用一个单独的命令FIXBOOT即可。

7. 输入EXIT 重新启动计算机。

64) WORM_WUKILL.B

传播方式：

网络映射驱动器，软盘，电子邮件

病毒描述：

该病毒会通过修改受感染系统的注册表来阻止用户查看隐藏文件和系统文件。同时，该病毒还会通过电子邮件传播。当病毒感染系统后，会将自身文件发送到所有的Windows地址簿中的email邮箱。发送的email有以下特点：

(其中????表示Unicode字符)

该病毒可以在Windows 95/98/ME/NT/2000/XP系统上运行。

清除方法：

自动清除：

1. 使用趋势科技防毒软件扫描系统，记录下所有感染病毒的文件

2. 在任务管理器中将所有正在运行的病毒进程终止

3. 在注册表编辑器中找到以下路径：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run 然后在右侧窗口中删除以下键值：

RavTimXP = "<malware path>"

4. 重新启动系统

再次执行手动扫描，检查病毒是否能够清除。

65) WORM_TRAXG.S

传播方式：

网络共享目录，软盘

病毒描述：

该病毒感染系统后，会在系统以下目录中以随机文件名产生扩展名为.com的文件：

? Fonts Help System Temp

同时该病毒还会在系统分区根目录下(通常为C:\)产生以下文件：

? folder.htt 被判为WORM_TRAXG.S WORM_TRAXG.S nethood.htm 也被判为Ghost.bat 该病毒自身的拷贝 windows.exe 该病毒自身的拷贝

该病毒还可能在在系统各文件夹下产生以该文件夹名为文件名的exe文件作为自身的拷贝。该病毒常常会使用Windows文件夹的图标来骗取用户双击运行。

32常见病毒及处理方法_常见病毒

该病毒通过网络共享目录和软盘的方式来传播。病毒会在软盘中生成以下文件：

? Document.exe Explorer.exe Windows.exe Ghost.bat

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录下所有感染病毒的文件

2. 在任务管理器中将所有正在运行的病毒进程终止

3. 打开注册表编辑器，找到以下启动项目录：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

4. 在右侧窗口中删除以下键值

TempCom = {病毒路径和文件名}

重新启动系统，扫描所有硬盘分区。

66) WORM_HESI.D

传播方式：

网络映射驱动器，软盘

病毒描述：回索引表

该病毒执行后，会生成以下文件作为自身的拷贝：

%Root%\system.ion

%System%\pcion.exe

同时该病毒会在系统所在分区的根目录下生成一个autorun.inf文件，用以在用户访问该分区时自动运行system.ion文件。

该病毒通过网络共享进行传播。病毒会搜索这些分区：C:\，D:\，E:\，F:\，G:\，H:\，I:\，将system.ion和autorun.inf复制到目标分区。如果这些分区符

正好匹配网络映射的驱动器，则会传染到网络上的其他计算机。当用户访问该分区时，就会自动运行system.ion文件。

该病毒生成的所有文件都被赋予隐藏(Hidden)和系统(System)的属性。

清除方法：

1. 扫描系统后，将所有被标记为病毒的程序记录下来

2. 在任务管理器中将所有正在运行的病毒进程终止

3. 打开“我的电脑”，选择“工具”-“文件夹选项”，在“查看”中选择“显示所有文件”，并取消“隐藏受保护的系统文件”前的复选框，然后确定。

4. 打开注册表编辑器，在左侧面板找到：

HKEY_LOCAL_MACHINE>Software>Microsoft>Active

Setup>Installed Components>{8fab99d0-bab8-11d1-994a-0005454fbbc9}

5. 在右侧面板删除以下键值：

StubPath="%system%\pcion.exe"

6. 点击“开始”-“搜索”-“搜索文件和文件夹”，进行以下搜索：搜索文件名：system.ion

pcion.exe

搜索目标： C:\,D:\,E:\,F:\,G:\,H:\,I:\

7. 将所有搜索到的病毒文件删除

8. 分别打开每一个系统分区，在根目录下查看是否有autorun.inf，如果有，请直接删除。

9. 重新启动系统，然后使用OfficeScan扫描全部硬盘分区，查看病毒是否完全清除。

67) BKDR_HUPIGON.AUT

传播方式：

其他病毒

病毒描述：

该后门程序会在感染的系统中随机开启一个端口，允许远程用户连接到受感染计算机，实现远程操控。同时，该病毒使用Rootkit技术来隐藏自身进程。

清除方法：

1. 重新启动计算机，进入安全模式

2. 打开注册表编辑器，找到以下目录：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

3. 在右侧找到以下键值并删除：

ImagePath = "%windows%\unint.exe"

4. 同样在左侧找到以下子目录并删除：

LogicalWeb Service

5. 重新启动计算机，使用趋势科技防毒软件扫描系统，清除所有病毒文件。

68) HKTL_ROOTKIT.CK

病毒描述：

这是一个黑客工具，被趋势科技划分为灰件。

该灰件被其他恶意程序用来隐藏进程，这是通过修改NT系统文件NTOSKRNL.EXE来实现的。如果对该系统文件修改不当，会引起系统崩溃。

清除方法：

1. 使用趋势科技防毒软件扫描整个系统，记录所有被判断为

HKTL_ROOTKIT.CK的文件。

2. 重新启动进入安全模式，将所有被标记为该病毒的文件删除即可。

69) WORM_WUKILL.AH

传播方式：

电子邮件，网络映射驱动器

病毒描述：

该病毒会将自身的拷贝通过电子邮件的方式发送给Windows地址簿中的所有email邮箱。但由于此病毒程序代码中存在一个bug，使得这个发送邮件的动作不会实际完成。

同时，该病毒会将自身复制到所有分区下，产生文件名为WINFILE.EXE的病毒文件。

该病毒会通过修改注册表键值的方式，禁止用户查看隐藏文件。在Windows NT架构的操作系统上，该病毒会显示一个虚假的系统报错信息提示文件被损坏。

清除方法：

1. 在任务管理器中，中止病毒进程：MSTRAY.EXE。

(注:在Windows 98/ME 系统中，用户可能无法看到该进程，此时需要使用第三方软件如Process Explorer等来查看。如果病毒进程无法中止，请重启进入安全模式)

2. 打开注册表编辑器，在左边找到以下路径：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

3. 在右侧窗口中找到以下键值并删除：

RavTime="%Windows%\Mstray.exe"

4. 在左侧窗口找到以下路径：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced

5. 在右侧窗口找到以下键值：

Hidden = "dword:00000000"

将它修改为：

Hidden = "dword:00000001"

6. 使用趋势科技防毒软件扫描硬盘，清除病毒文件。

注：Windows ME/XP/2003 用户，请在执行以上步骤前确认关闭系统还原功能。

70) TROJ_STARTPAG.A

传播方式：

其他病毒，网页

病毒描述：

该病毒通常被绑定在网页中。

该病毒会通过修改注册表的方式，将IE的主页和搜索页更改为以下含有病毒的网址：

http://targe<BLOCKED>earch.info

被修改的注册表项包括以下内容：

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

Search Page = "http://targe<BLOCKED>earch.info"

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

Search Bar = "http://targe<BLOCKED>earch.info"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search SearchAssistant = http://targe<BLOCKED>earch.info

清除方法：

1. 扫描系统，将所有被标识为TROJ_STARTPAG.A的文件删除。

2. 清空IE临时文件夹，并删除历史记录、Cookies和脱机文件。

3. 将IE的主页和搜索页还原。

71) WORM_RONTKBR.GEN

传播方式：

电子邮件

病毒描述：

此病毒名是对WORM_RONTOKBRO系列和WORM_RONTKBR系列病毒的

32常见病毒及处理方法_常见病毒

一个通用检测，用于尚未被命名的此系列病毒。

这两个系列的病毒通常都自带有SMTP引擎，通过自身SMTP引擎发送电子邮件来传播。同时，这两个系列的病毒通常会检测窗口的标题栏，当标题栏中包含特定关键字时，病毒会自动重新启动计算机。

这两个系列的病毒通常使用Windows文件夹的图标作为自身图标，具有欺骗性。同时此类病毒还会禁用注册表编辑器。

清除方法：

1. 扫描系统，记录所有被标记为WORM_RONTKBR.GEN的病毒文件

2. 中止病毒进程。通常由于病毒会自动终止Windows任务管理器，因此可以使用第三方进程查看工具，例如Process Explorer等。在进程列表中，找到第1步中被判断为病毒的程序，将其终止。

3. 恢复注册表编辑器。打开一个文本编辑器，将以下内容复制：

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Policies\System]

"DisableRegistryTools"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\

CurrentVersion\Policies\System]

"DisableRegistryTools"=-

将其保存为扩展名为.REG的文件，然后双击运行。

4. 删除注册表启动项。打开注册表编辑器，找到以下路径：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 在右侧窗口找到并删除与第一步中检测到的文件名相关的键值。

使用同样的方法，删除以下路径中的键值：

HKEY_CURRENT_USER>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 注意：Windows ME/XP 用户请在执行手动清除操作前先关闭系统还原功能。

72) BKDR_HUPIGON.AGF 回索引表

传播方式：

其他病毒，网络下载

病毒描述：

该病毒通常作为其他病毒的释放文件进入系统，或是从网络下载进入系统。该病毒执行后，会产生以下文件：

? QQServer.dll 被检测为 BKDR_HUPIGON.AGF QQServer.exe 被检测为 BKDR_HUPIGON.AGF QQServer_Hook.dll 被检测为 BKDR_GRAYBIRD.KR QQServerKey.dll 被检测为 BKDR_GRAYBIRD.KR

该后门程序会在受感染系统上开启随机端口，连接到一个Internet Relay Chat (IRC)服务器并加入特定的IRC频道。一旦连接，该后门就会允许远程用户在受感染计算机上执行以下恶意命令：

? 获取系统与注册表信息记录键盘案件

该病毒会生成以下注册表键，将自身注册为一个服务，在每次系统启动时自动执行：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSNServer ImagePath = "%Windows%\QQServer.exe"

该病毒还使用Rootkit技术来隐藏自身进程。

清除方法：

1. 重新启动计算机，进去安全模式

2. 在文件夹选项中，选择“显示所有文件”。如果是NT架构的系统，则确定将“隐藏受保护的系统文件”前的复选框取消选中。

3. 打开注册表编辑器，找到以下主键并删除：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>MSNServer

4. 删除病毒文件

5．从―开始‖-―搜索‖中，查找文件名QQServer.EXE；在搜索目标中选择包

含Windows的分区

6．将搜索到的文件直接删除

7．重复使用以上步骤，删除以下文件：

a) QQServer.dll

b) QQServer_Hook.dll

c) QQServerKey.dll

注意：Windows ME/XP用户在清除病毒前，请确认关闭系统还原功能。

73) BAT_SASSER.A

传播方式：回索引表

利用了Windows LSASS的一个已知漏洞

漏洞补丁：

病毒描述：

该病毒是一个批处理程序，会自动连接TCP 5554端口，并接受来自远程系统的连接。同时，该病毒会自动下载各种不同的SASSER蠕虫，命名为{随机整数}_up.exe，储存于Windows目录下。目前SASSER家族有6个变种：

? SASSER.A SASSER.B SASSER.C SASSER.D SASSER.E SASSER.F

该批处理程序作为SASSER家族的成员，运行与NT架构的操作系统上。

清除方法：

清除该病毒，请使用趋势科技防毒软件扫描整个系统，将所有被判断为此病毒的

文件直接删除即可。同时，请参考WORM_SASSER.A的方案来清除系统中的SASSER病毒。

74) TROJ_CLICKER.JL

传播方式：

其他病毒

病毒描述：

该木马病毒通常与其他恶意程序绑定，或是用户访问了包含恶意代码的网站后被下载进入系统。与大多数TROJ_CLICKER家族的木马病毒类似，该木马自动记录Internet活动，并监视IE的标题栏。如果检测到标题栏中包含有特定字符串，则自动弹出广告窗口。

该病毒创建以下注册表项：

HKEY_CLASSES_ROOT\TypeLib\{DB86DE32-7079-48F6-A57C-D26BC9EB80A2}

清除方法：

1. 使用趋势科技防毒软件扫描系统

2. 记录所有被标记为TROJ_CLICKER.JL的文件

3. 在任务管理器中，找出被标记为TROJ_CLICKER.JL的程序，将它们终止。如果有的进程无法被终止，请重新启动计算机，进入安全模式，再重复此步骤。

4. 打开注册表编辑器，找到以下分键并删除：

HKEY_CLASSES_ROOT>TypeLib>{DB86DE32-7079-48F6-A57C-D26BC9EB80A2}

5. 如果当前是在安全模式，则重新启动计算机进入正常模式

6. 再次使用趋势科技防毒软件扫描系统，将所有被标记为TROJ_CLICKER.JL的文件删除

注意：Windows ME/XP用户在清除病毒前，请确认关闭系统还原功能。

75) HTML_TRAXG.A

传播方式：

其他病毒

病毒描述：

该病毒文件是由以下两个病毒所产生：

WORM_TRAXG.A

WORM_TRAXG.B

该病毒通常被生成为FOLDER.HTT，同时与WORM_TRAXG.A或WORM_TRAXG.B的二进制副本相关联。

清除方法：

请参考WORM_TRAXG.A与WORM_TRAXG.B病毒的清除方法。

76) WORM_TRAXG.B

传播方式：

该病毒通过Outlook中的MAPI接口，向Outlook地址簿中所有联系人发送电子邮件，并在邮件附件中加入自身的拷贝。

该病毒发送的邮件包含以下特征： From: <email address of the infected user>

To: <email address listed on the MS Outlook Address Book>

Subject: <blank>

Message body: Document

Attachment: Document.exe

同时该病毒还会尝试通过将自身拷贝复制到网络共享和驱动器A来进行传播。

病毒描述：

该病毒将自身复制到Windows目录中的以下文件夹内：

32常见病毒及处理方法_常见病毒

? Fonts Help System Temp

同时该病毒会使用随机文件名来生成一个扩展名为.com的文件。该病毒会修改注册表，将自身写入启动项，同时修改了一些无害的注册表项。

该病毒会创建一个包含计算机名称列表的文件D:\net.txt，使用该列表，该病毒会将自身拷贝复制到以下目录中：

? <computer name>\C\Windows\All Users\Start Menu\Programs <computer name>\C$\Windows\All Users\Start Menu\Programs <computer name>\C\Documents and Settings\All Users <computer name>\C$\Documents and Settings\All Users

该病毒还会尝试将自身复制为Windows.exe，复制到以下目录中：

? <computer name>\d\ <computer name>\d$\

该病毒还会将自身拷贝到驱动器A中复制为以下文件：

? A:\EXPLORER.EXE A:\WINDOWS.EXE

清除方法：

使用TSC可以自动清除该病毒。

手动清除方法请参考以下步骤：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为WORM_TRAXG.B的

文件

2. 使用任务管理器终止这些病毒进程。如果任务管理器中无法查看到病毒进程，

请使用第三方软件如等来查看。

3. 打开注册表编辑器，在左侧面板中找到以下目录：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

4. 在右侧面板中，删除以下键值：

TempCom = "%Windows%\%Dropped Folder%\{病毒文件名}"

5. 删除步骤1中所有被检测为病毒的文件。

77) VBS_STARTER.B

传播方式：

其他病毒，利用了VM ActiveX控件的一个漏洞

补丁信息：

病毒描述：

该VB教本通常由其他恶意程序所产生，用以在后台自动执行一些恶意程序。它会利用微软的VM ActiveX控件漏洞来执行一个本地文件WINFILE.EXE 关于此漏洞，请参考以下信息：

清除方法：

只要安装对应的微软补丁，即不会受到此病毒的影响。

78) WORM_SILLYFDC.C

传播方式：

网络映射驱动器，软盘

病毒描述：

该病毒通常为可执行文件，它们会使用微软Word文档的图标来伪装自身，欺骗用户点击运行。病毒运行后，会在系统中显示一个消息框，内容为：

Title: ???? Message: ???????? WORD ??!

该蠕虫病毒会搜索当前文件夹、网络映射驱动器以及软驱分区中的所有.DOC文件，如果发现.DOC文件，则使用自身代码覆盖，并将其文件扩展名更改为.EXE，而文件名不变。

病毒会在系统中产生如下文件：

? Windows 98:

%System%\ORDER.EXE

? Windows 2000/XP/2003

%System%\ORDER.EXE

%System%\REGEDIT.EXE

病毒会产生如下注册表项：

? Windows 98:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

Run

OFFICE = "%System%\order.exe"

? Windows 2000/XP/2003

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

policies\EXPLORER\RUN

OFFICE = "%System%\order.exe"

此外，该病毒还具有键盘记录及密码偷取功能。病毒会将记录的用户密码写入文件，并复制到软驱和网络共享驱动器。

清除方法：

自动清除：

1. 使用趋势科技防毒软件扫描系统，记录下所有感染病毒的文件

2. 在任务管理器中将所有正在运行的病毒进程终止

3. 在注册表编辑器中找到以下路径：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run 然后在右侧窗口中删除以下键值：

OFFICE = "%System%\order.exe"

在左侧窗口中找到以下路径：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>policies>EXPLORER>Run

在右侧窗口中删除以下键值：

OFFICE = "%System%\order.exe"

4. 重新启动系统

再次执行手动扫描，检查病毒是否能够清除。

79) WORM_SDBOT.CKT

传播方式：

网络共享，操作系统漏洞

补丁信息：

病毒描述：

该病毒利用网络共享传播，同时，也会利用操作系统漏洞进行传播。关于这个操作系统漏洞的详细描述，请参考：该病毒会在Windows下的系统文件夹中生成文件，该文件会被趋势科技防毒软件判断为 TROJ_ROOTKIT.E。

该病毒通过修改特定的注册表键值，禁用了Windows自动更新及安全中心的功能，同时禁用了防火墙设置和一些服务。

该病毒会生成一些IP地址，将自身复制到这些IP地址的计算机的默认共享目录中。如果默认共享目录需要密码，则该病毒会使用收集到的用户名和密码列表来

尝试获取权限。

该后门程序会在受感染系统上开启随机端口，连接到一个Internet Relay Chat (IRC)服务器并加入特定的IRC频道。这时病毒会在受感染计算机上执行来自远程恶意用户的命令，这些命令通常会降低系统的安全性，开启更多的后门，以便受到进一步攻击。

清除方法：

注意：若要完全清除该病毒，请同时参考TROJ_ROOTKIT.E的清除方法。

1. 重新启动计算机，进入安全模式

2. 打开注册表编辑器，在左侧面板找到并删除以下主键：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SVCHOST

3. 恢复安全中心设置：

a. 在注册表编辑器中，在左侧面板找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security

在右侧窗口中删除以下键值：

AntiVirusDisableNotify = "dword: 00000001"

AntiVirusOverride = "dword: 00000001"

FirewallDisableNotify = "dword: 00000001"

FirewallOverride = "dword: 00000001"

UpdatesDisableNotify = "dword: 00000001"

b. 在左侧面板中，找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>DomainProfile

在右侧窗口中，删除以下键值：

EnableFirewall = "dword: 00000000"

c. 在左侧面板中，找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>StandardProfile

在右侧窗口中，删除以下键值：

EnableFirewall = "dword:00000000"

32常见病毒及处理方法_常见病毒

4. 删除有关管理共享的注册表键值：

注：若要了解更多关于管理共享被修改及其恢复的内容，请参考：

d. 在注册表编辑器中，在左侧面板里找到以下主键：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>lanmanserver>parameters

在右侧窗口中，删除以下键值：

AutoShareWks = "dword: 00000000"

AutoShareServer = "dword: 00000000"

e. 在左侧面板里，找到以下主键：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>lanmanworkstation>parameters

在右侧窗口中，删除以下键值：

AutoShareWks = "dword: 00000000"

AutoShareServer = "dword: 00000000"

5. 恢复其他被病毒修改的注册表键值：

f. 在注册表编辑器中，在左侧面板找到以下主键：

HKEY_LOCAL_MACHINE>Software>Policies>Microsoft>Windows>WindowsUpdate 在右侧窗口，找到以下键值：

DoNotAllowXPSP2 = "dword: 00000001"

将该键值修改为以下值：

DoNotAllowXPSP2 = "dword: 00000000"

g. 在左侧窗口中，找到以下主键：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>WindowsUpdate>Auto Update

在右侧窗口中，找到以下键值：

AUOptions = "dword: 00000001"

将该键值修改为以下值：

AUOptions = "dword: 00000002"

h. 在左侧窗口中，找到以下主键：

HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>Messenger 在右侧窗口中，找到以下键值：

Start = "dword: 00000004"

将该键值修改为以下值：

Start = "dword: 00000002"

i. 在左侧窗口中，找到以下主键：

HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>RemoteRegistry 在右侧窗口中，找到以下键值：

Start = "dword:00000004"

将该键值修改为以下值：

Start = "dword: 00000002"

j. 在左侧窗口中，找到以下主键：

HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>TlntSvr 在右侧窗口中，找到以下键值：

Start = "dword: 00000004"

将该键值修改为以下值：

Start = "dword: 00000003"

k. 在左侧窗口中，找到以下主键：

HKEY_LOCAL_MACHINE>System>CurrentControlSet>Control>wscsvc 在右侧窗口中，找到以下键值：

Start = "dword: 00000004"

将该键值修改为以下值：

Start = "dword: 00000002"

l. 在左侧窗口中，找到以下主键：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control

在右侧窗口中，找到以下键值：

WaitToKillServiceTimeout = "7000"

将该键值修改为以下值：

WaitToKillServiceTimeout = "20000"

6. 恢复启用DCOM和限制匿名用户的注册表项：

该病毒会修改“启用DCOM”和“限制匿名用户”的注册表项目。若要了解更多关于此方面的内容，请参考下面的文章：

o. p.

参考以下步骤恢复该注册表项目：

在注册表编辑器的左侧窗口中，找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Ole

在右侧窗口中，找到以下键值：

EnableDCOM = "N"

将该键值修改为以下值：

EnableDCOM = "Y"

7. 为避免日后重复感染该病毒，请安装微软的系统补丁：

注意：Windows ME/XP 用户在清除病毒前请关闭系统还原功能。

80) TROJ_ROOTKIT.E

传播方式：

其他病毒

病毒描述：

该木马程序通常由于其他的WORM_RBOT家族病毒所产生。

该病毒执行后，会在Windows目录下的系统文件夹中生成一个RDRIV.SYS文件，并修改注册表来确保在开机时自动运行。

BOT类的蠕虫，例如WORM_RBOT和WORM_SDBOT家族，通常会生成这

个木马程序用以隐藏它们自身的进程。因此如果系统中有其他的这种蠕虫病毒存在，则可能会重复感染而无法彻底清除此木马程序。

清除方法：

自动清除：

1. 重新启动计算机，进入安全模式

2. 打开注册表编辑器，在左侧面板中找到以下主键并删除：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>rdriv>

3. 在―我的电脑‖-―文件夹选项‖中，选择―显示所有文件‖，并取消―隐藏受保护的系统文件‖前的复选框。

4. 删除被判为TROJ_ROOTKIT.E的文件

5. 重新启动计算机，进入正常模式，并再次扫描系统，检查病毒是否已经成功清除。

81) BKDR_HUPIGON.BG

病毒描述：回索引表

执行后，该病毒会将自身的副本与其他组件一起释放到Windows目录下：

? svch0st.dll svch0st.exe - copy of itself svch0st_Hook.dll

svch0stkey.dll ?

这些文件的属性会被设置为―系统‖、―隐藏‖和―只读‖。病毒释放文件名具有使用数字―0‖替代字母―O‖的特征。

随后病毒会将自身注入到Internet Explorer进程中，并使用病毒其他组件来帮助自身隐藏文件与进程。

在Windows 9x/ME系统中该病毒会在注册表中添加以下启动项来使系统在启

动时自动加载病毒程序：

在

Windows NT/2000/XP/2003系统中，病毒会在注册表中将自身注册为服务来使系统在启动时候加载病毒程序：

启动后，病毒程序会开启随机端口来监听远程用户的连接，远程用户也因此可以在受感染的计算机上执行恶意代码以实现以下命令：

清除方法：获取系统及网络信息发送文件获取键盘按键记录

自动清除：

1. 重新启动计算机，进入安全模式

2. 打开注册表编辑器，删除以下键值：

Windows 9x/ME

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svch0st.exe = "%Windows%\svch0st.exe"

32常见病毒及处理方法_常见病毒

Windows NT/2000/XP/2003

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

WindowsServer

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

mchInjDrv

3. 在―我的电脑‖-―文件夹选项‖中，选择―显示所有文件‖，并取消―隐藏受保护的系统文件‖前的复选框。

4. 在Windows目录中搜索以下文件并删除：

a) svch0st.dll

b) svch0st_Hook.dll

c) svch0stkey.dll

5. 重新启动系统进入正常模式，使用趋势科技防毒软件扫描系统，清除所有病毒文件。

82) BKDR_HUPIGON.AY

病毒描述：

该病毒执行后，在Windows目录下生成自身的拷贝为G_SERVER.EXE，同时在该目录下还生成以下动态链接库文件：

? G_Server.DLL G_ServerKey.DLL

同时，病毒将自身注册为服务，在注册表中添加以下内容：

该后门程序作为服务器端，开启一个随机端口用以侦听来自远程计算机的连接。同时，该病毒会将键盘按键记录储存到Windows目录下的文件COMGP32LOG.DLL中。

此外，该病毒使用Rootkit技术来隐藏自身进程，同时使用互斥技术创建互斥体GPigeon5_Shared_Mutex来确保系统中只运行一个病毒进程实例。

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为BKDR_HUPIGON.AY的文件

2. 在―我的电脑‖-―文件夹选项‖中，选择―显示所有文件‖，并取消―隐藏受保护的系统文件‖前的复选框。

3. 重新启动计算机，进入安全模式

4. 打开注册表编辑器，在左侧面板中找到以下主键：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services

扩展该主键，同样在左侧窗口中，找到该主键下的以下分键并删除： GrayPigeonServer

同样在左侧面板中选中以下主键：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services

在右侧窗口中，找到并删除以下键值：

Type = "dword:00000110"

Start = "dword:00000002"

ErrorControl = "dword:00000000"

ImagePath = "hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,47,5f,53,65,72,76,65,72,2e,65,78,65,00,"

DisplayName = "Gray_Pigeon_Server"

ObjectName = "LocalSystem"

Description = "?ò??×ó·t???3ìDò?￡?3ì1/4à??1üàí."

5. 在系统分区中，搜索第一步中被判断为病毒的文件，然后直接删除

6. 重新启动计算机，进入正常模式，使用趋势科技防毒软件扫描系统，清除所有病毒文件，确认病毒是否完全清除。

83) WORM_WUKILL.GEN

传播方式：

电子邮件，网络映射驱动器

病毒描述：回索引表

该病毒是对WORM_WUKILL家族病毒的一个通用检测。该病毒家族都会获取Windows地址簿中的联系人邮箱，使用自带的SMTP引擎，将病毒文件自身拷贝发送到这些email地址，并且会将自身复制到所有分区下，包括网络映射驱动器，以此来传播。该家族的病毒执行后，都会在系统上产生虚假的错误信息。该家族的病毒会修改注册表中的启动项，使系统在启动时加载病毒程序。

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录下所有感染病毒的文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。如果病毒进程无法终止，则可能需要重新启动进入安全模式。

3. 在注册表编辑器中找到启动项，删除其中关联到病毒文件的键值： HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

4. 重新启动系统

5. 再次执行手动扫描，检查病毒是否能够清除

84) WORM_LOVGATE.GEN

传播方式：

电子邮件，网络共享，KaZaA

病毒描述：

该病毒命名是趋势科技对WORM_LOVGATE家族病毒的通用检测。该家族的病毒通常会通过以下方式传播：

将自身的拷贝复制到网络共享目录中通过一款名为KaZaA的P2P软件通过Outlook等MAPI或是通过自带的SMTP引擎来发送电子邮件传播

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为WORM_LOVGATE.GEN的文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病

毒进程，可能需要使用第三方工具，例如Process Explorer等。如果病毒进程无法终止，则可能需要重新启动进入安全模式。

3. 在注册表编辑器中找到启动项，删除其中关联到病毒文件的键值： HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>RunServices

4. 重新启动系统

5. 再次执行手动扫描，检查病毒是否能够清除

85) WORM_TDIROOT.A

传播方式：

网络共享

病毒描述：

该病毒会在病毒的SYSTEM文件夹下创建一个名为 _tdiserv_的文件夹，并生成一个 _tdicli_.exe文件. 它会在此文件夹下生成几个病毒文件。

该病毒会在自启动项下生成键值，使其能在系统启动时，自动运行。它还会在注册表中创建一个服务注册项。

它具有rootkit功能，能隐藏自身文件及进程。进程名如下:

? _tdicli_ _tdiserv_

该病毒会在有效的网络共享文件夹中生成一些文件。

清除方法：

1. 重新启动计算机，进入安全模式

2. 在―我的电脑‖-―文件夹选项‖中，选择―显示所有文件‖，并取消―隐藏受保护的系统文件‖前的复选框。

3. 打开注册表编辑器，在左侧面板中找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

32常见病毒及处理方法_常见病毒

在右侧窗口中，找到并删除以下键值：

_tdiserv_ = ―%System%\_tdiserv_\_tdicli_.exe‖

在左侧面板中找到以下主键：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services

在左侧窗口中，找到并删除以下分键：

_tdiserv_HOOK

4. 在系统中查找并删除所有名为Guid.txt的文件

5. 重新启动进入正常模式，使用趋势科技防毒软件扫描系统，清除所有病毒文件。

86) WORM_TDIROOT.C

传播方式：

网络共享

病毒描述：

该病毒通过网络共享目录传播，它会将自身的拷贝命名为SETUP.EXE并复制到它所找到的所有共享目录中，同时它还会在共享目录中生成一个名为MS.Config的文件夹，并将自身的拷贝复制到该文件夹中。病毒在复制自身的拷贝时，会同时复制一个AUTORUN.INF文件，来实现自动运行病毒文件的功能。

该病毒利用Rootkit技术来隐藏自身的文件和进程。它会根据文件名中的特殊字符串来对文件进行隐藏。

当病毒运行后，会在Windows目录下生成一个名为_TDISERV_的文件夹，并在该文件夹中产生以下病毒文件：

? Setup.exe — 该病毒自身的拷贝 _tdicli_.exe — 被趋势科技防毒软件检测为WORM_TDIROOT.A TdiUpdate.sys — 被趋势科技防毒软件检测为WORM_TDIROOT.A TDI95DEV.VXD — 被趋势科技防毒软件检测为BKDR_TDIROOT.B Guid.txt — 文本文件，不包含恶意代码

该病毒会在注册表的启动项中添加以下内容使其在开机时自动运行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run _tdiserv_ = "%System%\_tdiserv_\_tdicli_.exe"

同时该病毒还会通过修改注册表将自身注册为服务：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_tdiserv_HOOKDisplayName = "TdiHook Update Driver"

ImagePath = "%System%\_tdiserv_\TdiUpdate.sys"

清除方法：

清除该病毒，请参考WORM_TDIROOT.A的清除方法。

1. 重新启动计算机，进入安全模式

2. 在―我的电脑‖-―文件夹选项‖中，选择―显示所有文件‖，并取消―隐藏受保护的系统文件‖前的复选框。

3. 打开注册表编辑器，在左侧面板中找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 在右侧窗口中，找到并删除以下键值：

_tdiserv_ = ―%System%\_tdiserv_\_tdicli_.exe‖

在左侧面板中找到以下主键：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services

在左侧窗口中，找到并删除以下分键：

_tdiserv_HOOK

4. 在系统中查找并删除所有名为Guid.txt的文件

5. 重新启动进入正常模式，使用趋势科技防毒软件扫描系统，清除所有病毒文件。

87) WORM_SIWEOL.A

传播方式：

网络映射驱动器

病毒描述：

该病毒执行后，会在Windows目录下产生两个文件：

? RavMonE.exe – 自身的副本 RavMonLog – 不包含恶意代码

同时，病毒会在注册表中写入以下信息使其开机后自动运行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RavAV = %Windows%\RavMonE.exe"

该病毒会通过网络映射驱动器进行传播。当病毒感染计算机后，会产生一个所有映射驱动器的列表，然后向所有网络映射驱动器的根目录下产生以下文件： ?

? autorun.inf msvcr71.dll – 不包含恶意代码 RavMonE.exe – 自身的副本

这些文件都被设置为只读、系统和隐藏属性。同时由于有autorun.inf文件的影响，用户每访问一次含有病毒文件的映射驱动器，即会自动运行病毒程序。该病毒还具有后门特性。该病毒会在受感染的系统上随机开启一个端口，允许远程用户执行以下操作：

? 创建或删除注册表项目创建线程下载文件执行程序获取文件或系统信息启动或停止服务终止进程

另外病毒会记录所有其可以开启的端口，将其记录到RavMonLog文件中，便于以后使用。

清除方法：

1. 在任务管理器中找到并终止以下病毒进程：

RavMonE.exe

这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。如果病毒进程无法终止，则可能需要重新启动进入安全模式。

2. 打开注册表编辑器，找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 在右侧面板中删除以下键值：

RavAV = %Windows%\RavMonE.exe"

3. 删除病毒文件。在“我的电脑”中搜索RavMonE.exe，然后删除所有这些文件即可。

4. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，检查病毒是否彻底清除。

88) BKDR_HUPIGON.ASI

传播方式：

网页

病毒描述：

该后门程序通常是在访问某些包含恶意代码的网站时被下载到系统中。执行后，该后门程序会在Windows目录下产生以下文件：

? G_Server2006.exe – 自身的拷贝 G_Server2006.DLL – 同样被趋势科技检测为

BKDR_HUPIGONO.ASI

? G_Server2006Key.DLL –同样被趋势科技检测为

BKDR_HUPIGONO.ASI

随后，它会将产生的DLL文件插入到某些正在运行的进程中。

病毒会写入注册表启动项或服务中来确保开机后自动运行，同时该病毒还使用Rootkit技术来隐藏自身的文件和进程。

该后门程序还会在受感染的系统上开启随机的端口，允许远程用户连接并执行恶意命令。

清除方法：

1. 重新启动计算机，进入安全模式

2. 清除注册表中的启动项：

针对Windows 98/ME：

打开注册表编辑器，在左侧面板中找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 在右侧窗口中，找到并删除以下键值：

G_Server2006..exe = "%Windows%\G_Server2006.exe"

针对Windows 2000/XP/2003

打开注册表编辑器，在左侧面板中找到以下主键：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services

在左侧窗口中，找到并删除以下分键：

hgfs

3. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。注意：Windows ME/XP 用户在清除病毒前请关闭系统还原功能。

89) WORM_SIWEOL.B

传播方式：

网络映射驱动器，移动磁盘

病毒描述：回索引表

该病毒执行后，会在Windows目录下生成以下文件：

? RavMon.exe 自身的拷贝 RavMonLog 不包含恶意代码

其中RavMonLog文件中记录了该病毒可以开启的端口。

该病毒会在注册表中写入以下信息来使其在开机时自动运行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RavAV = "%Windows%\RavMon.exe"

32常见病毒及处理方法_常见病毒

该病毒通过网络映射驱动器进行传播。它会列出所有网络映射驱动器，然后在这些映射驱动器根目录下生成以下文件：

? Autorun.INF – 实现自动运行的功能 msvcr71.dll – 不包含恶意代码 RavMon.exe – 自身的拷贝

其中的Autorun.INF用以实现自动运行的功能，每当用户访问这些共享驱动器，就导致病毒程序执行一次。这些文件的属性被设置为―隐藏‖、―只读‖和―系统‖，使其不易被发现。

该病毒同样通过移动的驱动器进行传播，包括软驱、可移动的磁盘等。

另外，该病毒还具有后门能力。它会在系统上开启随机的端口，并允许远程用户连接，执行恶意命令。

清除方法：

1. 在任务管理器中找到并终止以下病毒进程：

RavMon.exe

这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。如果病毒进程无法终止，则可能需要重新启动进入安全模式。

2. 打开注册表编辑器，找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 在右侧面板中删除以下键值：

RavAV = %Windows%\RavMon.exe"

3. 删除病毒文件。在―我的电脑‖中搜索RavMon.exe，然后删除所有这些文件即可。

4. 重新启动系统，并使用趋势科技防毒软件对全系统进行扫描，确保所有病毒都已清除。

90) TSPY_LEGMIR.OQ

病毒描述：回索引表

该病毒会监视用户的Internet浏览行为，并盗窃游戏《魔兽世界》的帐号和密

码。每当用户访问一个特定的URL时，该病毒就会自动将窃取到的信息通过自带的SMTP引擎发送到一个特定的邮箱。

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为TSPY_LEGMIR.OQ的文件

3. 在注册表编辑器中找到启动项，删除其中关联到病毒文件的键值：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run Torjan Program = "%WINDOWS%\WINLOGON.EXE"

HKEY_LOCAL_MACHINE>SOFTWARE>Clients>StartMenuInternet>iexplore.pif>shell>open>command

Default = "%Program files%\Common~1\iexplore.pif"

4. 恢复其他被病毒修改的注册表键值：

q. 在注册表编辑器中，在左侧面板找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>CLASSES>CLSID>{871C5380-42A0-1069-A2EA-08002B30309D}>shell>OpenHomePage>Command

在右侧窗口，找到以下键值：

Default = "%Program files%\Internet Explorer\iexplore.com"

将该键值修改为以下值：

Default = "%Program files%\Internet Explorer\iexplore.exe"

r. 在左侧窗口中，找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>CLASSES>.exe

在右侧窗口中，找到以下键值：

Default = "WindowFiles"

将该键值修改为以下值：

Default = "exefile"

HKEY_LOCAL_MACHINE>SOFTWARE>CLASSES

同样在左侧窗口，找到以下分键并删除：

WindowFiles

t. 在左侧窗口中，找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>CLASSES>ftp>shell>open>command 在右侧窗口中，找到以下键值：

Default = ""%Program files%\Internet Explorer\iexplore.com" %1"

将该键值修改为以下值：

Default = ""%Program files%\Internet Explorer\iexplore.exe" %1"

u. 在左侧窗口中，找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>CLASSES>Drive>shell>find>command 在右侧窗口中，找到以下键值：

Default = "%Windows%\explorer.com"

将该键值修改为以下值：

Default = "%Windows%\Explorer.exe"

v. 在左侧窗口中，找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>CLASSES>Applications>iexplore.exe>shell>open>command

在右侧窗口中，找到以下键值：

Default = ""%Program files%\Internet Explorer\iexplore.com" %1"

将该键值修改为以下值：

Default = ""%Program files%\Internet Explorer\iexplore.exe" %1"

w. 在左侧窗口中，找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>CLASSES>htmlfile>shell>open>command 在右侧窗口中，找到以下键值：

Default = ""%Program files%\Internet Explorer\iexplore.com" -nohome" 将该键值修改为以下值：

Default = ""%Program files%\Internet Explorer\iexplore.exe" -nohome"

HKEY_LOCAL_MACHINE>SOFTWARE>CLASSES>htmlfile>shell>opennew>command

在右侧窗口中，找到以下键值：

Default = "%Program files%\Internet Explorer\iexplore.pif"

将该键值修改为以下值：

Default = "%Program files%\Internet Explorer\iexplore.exe"

y. 在左侧窗口中，找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>CLASSES>http>shell>open>command 在右侧窗口中，找到以下键值：

Default = ""%Program files%\common files\iexplore.pif" -nohome"

将该键值修改为以下值：

Default = ""%Program files%\Internet Explorer\iexplore.exe" -nohome"

z. 在左侧窗口中，找到以下主键：

HKEY_CLASSES_ROOT>. lnk>ShellNew

在右侧窗口中，找到以下键值：

Command = "rundll32.com appwiz.cpl,NewLinkHere %1"

将该键值修改为以下值：

Command = "rundll32.exe appwiz.cpl,NewLinkHere %1"

aa. 在左侧窗口中，找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>CLASSES>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Winlogon

在右侧窗口中，找到以下键值：

Shell = "explorer.exe 1"

将该键值修改为以下值：

Shell = "Explorer.exe"

5. 点击―开始‖-―运行‖，输入命令―command /c del regedit.com‖并确定。

6. 重新启动计算机，并使用趋势科技防毒软件再次扫描系统，将所有病毒文件清除。

91) BKDR_SDBOT.ME

病毒描述：

该病毒是一个动态链接库文件，可以被其他的可执行程序作为一个组件所使用，也可以被插入到其他进程中。一旦Internet连接可用，该病毒会自动下载其他的恶意程序。

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为BKDR_SDBOT.ME的文件

2. 重新启动计算机，进入安全模式

3. 在―我的电脑‖中按F3搜索所有在第1步中被标记为病毒的文件，删除所有搜索到的病毒文件。

92) TROJ_GENERIC

病毒描述：回索引表

该病毒名称是趋势科技对低威胁等级的木马病毒的通用检测。以此命名的木马病毒通常还没有被正式命名。

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

93) TROJ_VANTI.I

病毒描述：

32常见病毒及处理方法_常见病毒

该木马病毒通常用来被其他恶意程序用来隐藏进程。它会将自身复制到Windows目录下，作为一个.sys文件，并使用多种文件名命名。随后该病毒会在注册表中将自身注册为一个服务，达到开机后自动运行的目的。

它通过修改NTOSKRNL.EXE文件的某些函数，用来隐藏其他恶意程序正在运行中的进程，并隐藏一些破坏行为。文件NTOSKRNL.EXE是NT架构的Windows操作系统自身的一个基本功能文件。如果对此文件进行不当的修改，会导致系统崩溃。

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为TROJ_VANTI.I的文件

2. 重新启动计算机，进入安全模式

在―我的电脑‖中按F3搜索所有在第1步中被标记为病毒的文件，删除所有搜索到的病毒文件。

94) PT_BFJNT

病毒描述：

该病毒命名是趋势科技对一些Packer(压缩)技术的通用检测，它实际上并非真正的病毒。

趋势科技最近曾对病毒码做过增强与调整，使用了新的技术，增加了对很多病毒的通用检测。这种病毒码技术的增强，是建立在最新版的扫描引擎支持基础上的。如果使用了旧版本的扫描引擎，通常会采用一些不恰当的处理措施，或者产生一些误报。因此，我们建议尽快将所有趋势科技防毒产品的扫描引擎升级到最新版本8.0以上。

清除方法：

将扫描引擎升级到8.0以上，即可避免再次报告此病毒。

95) WORM_DELF.BTC

传播方式：

网络共享，网络映射驱动器

病毒描述：

该病毒通过共享驱动器进入系统。一旦执行后，病毒会在Windows的系统目录中生成一个自身的副本WINCFGS.EXE。

同时，病毒会将注册表项做如下修改：

将

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 的键值

Load = " "

修改为

Load = "%System%\wincfgs.exe"

该病毒可能会生成一个AUTORUN.EXE文件，并会在每个硬盘分区的根目录下生成一个AUTORUN.INF文件，包括网络映射驱动器。这个.INF文件的脚本会使用户在访问该硬盘分区时自动执行AUTORUN.EXE文件

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为TSPY_LEGMIR.OQ的文件

3. 在注册表编辑器中找到以下主键：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 在右侧面板找到以下键值：

Load = "%System%\wincfgs.exe"

将它修改为：

Load = ""

4. 重新启动计算机，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。

96) WORM_DELF.BRF

传播方式：

USB设备

病毒描述：

执行后，该病毒会将自身复制为WINCFGS.EXE并复制到Windows的系统目录中。同时它还会在Windows目录下生成并执行中文版的NOTEPAD.EXE和KB20060111.EXE这两个病毒文件。

当系统中插入USB设备时，病毒就会立即将自身复制到以下路径生成病毒文件： {USB drive letter}\RECYCLER\RECYCLER\autorun.exe

同时病毒还在USB设备上生成以下文件：

{USB drive letter}\AUTORUN.INF

一旦系统中插入含有病毒的USB设备，就会立即运行USB设备中的病毒程序。

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为TSPY_LEGMIR.OQ的文件

3. 在注册表编辑器中找到以下主键：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 在右侧面板找到以下键值：

Load = "%System%\wincfgs.exe"

将它修改为：

Load = ""

4. 在系统中搜索并删除KB20060111.exe文件。

5. 删除所有移动磁盘上的AUTORUN.exe文件和AUTORUN.INF文件。

6. 重新启动计算机，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。

97) BKDR_HUPIGON.OZ

病毒描述：

该后门程序会在受感染的系统上开启随机的端口，侦听来自远程系统的连接，允许远程用户连接并执行恶意命令。

该病毒执行后，会将自身复制到Windows目录，下生成一个Hacker.com.cn.exe文件。为使其在开机时能够自动运行，该病毒还在注册表中写入如下信息：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\server

ImagePath = %windir%\Hacker.com.cn.exe

DisplayName = "server system"

ObjectName = "LocalSystem"

Description = "?μí3.t???￡"

清除方法：

1. 重新启动计算机，进入安全模式

2. 清除注册表中的启动项：

在注册表编辑器中，在左侧面板找到以下主键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\server

在右侧窗口中，删除以下键值：

"ImagePath" = C:\WINDOWS\Hacker.com.cn.exe

"DisplayName" = "server system"

ObjectName = "LocalSystem"

Description = "?μí3.t???￡"

3. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。

注意：Windows ME/XP 用户在清除病毒前请关闭系统还原功能。

98) TROJ_AGENT.CHS

传播方式：

其他病毒

病毒描述：

该病毒通常是由别的病毒程序产生，或是从网络上下载。

该病毒会连接到以下网址：

www.17bl{BLOCKED}er.com/winmum

它会下载一个文件WINMUM.CAB——这个文件是一个恶意软件的安装程序。随后，该病毒会将WINMUM.CAB保存到当前目录，并在当前目录下的WINMUM子目录中执行这个病毒程序。

由于URL目前已经被屏蔽，因此该病毒无法成功下载到WINMUM.CAB文件。

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为TSPY_LEGMIR.OQ的

文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病

毒进程，可能需要使用第三方工具，例如Process Explorer等。如果病毒进程无法终止，则可能需要重新启动进入安全模式。

3. 在―我的电脑‖中搜索病毒文件，删除所有的病毒文件。

4. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，检查病毒是否被完

全清除。

注意：Windows ME/XP 用户在清除病毒前请关闭系统还原功能。

99) RTKT_AGENT.CVG

传播方式：

其他病毒

32常见病毒及处理方法_常见病毒

病毒描述：

该病毒通常由其他恶意程序所生成或下载，其主要作用是通过使用Rootkit技术，来隐藏其他恶意程序/病毒的文件、进程和在系统中的行为活动。

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为RTKT_AGENT.CVG的文件

2. 重新启动计算机，进入安全模式

3. 打开注册表编辑器，找到主键：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services

在该主键下找到以第1步中查到的文件名命名的分键，将它删除

4. 在包含Windows的系统分区中搜索病毒文件名，并直接删除。

100) WORM_TRAXG.AO

传播方式：

电子邮件，共享目录，网络映射驱动器

病毒描述：

该驻留内存型病毒会使用Outlook的MAPI通过Email进行传播。它会向所有Outlook的联系人发送含有自身拷贝的病毒邮件。

同时，该病毒会向所有的网络共享目录、本机共享目录以及可移动的磁盘驱动器分区中复制自身的拷贝，并使用特定的文件名如下：

? DOCUMENT.EXE EXPLORER.EXE GHOST.BAT WINDOWS.EXE

此外，该病毒还会向所有可用的分区中产生一个名为NETHOOD.HTM文件，该文件包含恶意脚本代码，被趋势科技检测为HTM_TRAXG.A。

该病毒执行后，会在Windows目录中的的以下子目录中产生随机文件名的.COM类型文件：

? Fonts Help System Temp Web

同时，该病毒会在Windows目录下的Web文件夹中生成一个自身的拷贝，命名为Windows.exe，并同时在该生成一个包含恶意脚本代码的文件FOLDER.HTT。随后，病毒会在它原先被执行的目录下产生一个Desktop.ini文件，该.ini文件会使用文件夹外观设置应用FOLDER.HTT文件中的脚本。如果这个文件夹允许了―使用Web外观浏览文件夹‖的选项设置，则会通过Desktop.ini来调用FOLDER.HTT的脚本，随后将Desktop.ini和FOLDER.HTT文件复制到所有用户访问的文件夹中。

该病毒会创建如下注册表项来确保其开机后自动运行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run TempCom = "%Windows%\%Dropped Folder%\{Malware file name}"

（其中{Malware file name}是病毒文件名）

并且，该病毒在初次运行时还会修改以下注册表项，但它们不影响系统正常运作： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Hidden = "dword:00000000"

HideFileExt = "dword:00000001"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState

FullPath = "dword:00000001"

（这些键值默认情况下是由用户自定义的数值）

该病毒使用Windows文件夹的图标来骗取用户双击运行它们。当用户双击病毒文件执行后，病毒文件会自动打开Windows Explorer并显示桌面，以欺骗用

户让用户以为自己打开的是一个普通的文件夹。随后，病毒会显示一个错误信息： Warning

This Folder Has Been Damage!

此外，该病毒需要系统中有MSVBVM60.DLL文件才能正常运行。

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为TSPY_AGENT.CLR的文件

3. 开启注册表编辑器，删除以下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run TempCom = "%Windows%\%Dropped Folder%\{Malware file name}"

4. 禁用Web内容：

a) 打开―我的文档‖文件夹

b) 在菜单栏中，选择―工具‖-―文件夹选项‖

c) 在―Active Desktop‖栏中，选择―使用Windows传统风格的桌面‖ d) 确定后关闭对话框

5. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。

101) TSPY_AGENT.CLR

传播方式：

其他病毒

病毒描述：

该间谍软件通常是被其他间谍软件所下载，或是用户访问某些含有恶意代码的网站时在不知情的情况下下载到系统中。

该间谍软件通常被其他的间谍软件用来实现以下功能：

? 获取当前正在运行的进程列表及其程序版本信息安装/卸载应用程序

这些获取到的信息会被其他的恶意用户或恶意程序所使用。

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为WORM_TRAXG.AO的文件

3. 再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。

102) WORM_SILLY.BN

传播方式：

共享目录，移动磁盘驱动器

病毒描述：

该病毒会向所有的网络共享目录、本机共享目录以及可移动的磁盘驱动器分区中复制自身的拷贝，以此来进行传播。

该病毒执行后，会在系统目录下生成一个自身的拷贝文件，命名为SYS.exe。同时该病毒还在注册表中添加启动信息，确保其开机后自动运行。

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为TSPY_AGENT.CLR的文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。

3. 打开注册表编辑器，找到并删除以下主键：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Policies

>EXPLORER

4. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。

103) TROJ_KONYAT.A

病毒描述：

该病毒将自身伪装为一个安装镜像文件。运行后，该木马会生成一个DLL组件，并将其安装注册成为一个Browser Helper Objects(BHO)。

清除方法：

1. 关闭所有打开的IE窗口

2. 打开命令提示符窗口，进入Windows目录

3. 运行命令 REGSVR32 ODBINT.dll /U

4. 在―我的电脑‖中搜索ODBINT.DLL文件，删除所有找到的文件。如果无法

删除，请重启进入安全模式操作。

5. 使用趋势科技防毒软件扫描系统，清除所有病毒文件。如果在安全模式下，

请重启进入正常模式并再次扫描。

注意：Windows ME/XP 用户在清除病毒前请关闭系统还原功能。

104) TROJ_AGENT.DAO

传播方式：

其他病毒

病毒描述：

该木马通常作为其他恶意程序产生的组件进入系统。木马为.DLL文件，通常与其他恶意程序或灰色软件所绑定。该木马被其他恶意程序用来从某个恶意网站下载文件，被下载的文件可能包含恶意代码。

该木马还会将自身与系统的LSP(分层服务提供者)绑定，随后该木马即可监视用户在Internet上的浏览活动，以便实现一些广告功能或其他商业行为。

32常见病毒及处理方法_常见病毒

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为TROJ_AGENT.DAO的文件；

2. 重新启动计算机，进入安全模式；

3. 在包含Windows的系统分区中搜索病毒文件名，并直接删除；

4. 修复LSP链，删除其中的病毒信息

5. 重新启动计算机，并再次扫描系统，检查病毒是否完全清除。

105) WORM_LOVGATE.BH

传播方式：

电子邮件，网络共享，KaZaA

病毒描述：回索引表

该病毒通过email传播，使用MAPI和病毒自带的SMTP引擎两种方式。同时，病毒还通过网络共享进行传播，它会尝试访问网络中所有的共享目录，使用自带的一个密码列表进行尝试。一旦可以访问，病毒会将自身复制到共享文件夹中。该病毒还通过KaZaA进行传播。KaZaA是一款流行的P2P文件共享软件。病毒会将自身复制到KaZaA的共享文件夹中。

该病毒还有后门功能。病毒会开启随机端口，窃取被感染系统上的信息，并发送给病毒作者。

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为TSPY_AGENT.CLR的文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。

3. 删除注册表中的病毒信息项：

a. 打开注册表编辑器，找到以下主键：

HKEY_CURRENT_USER>Software>Microsoft>Windows

NT>CurrentVersion>Windows

在右侧面板中，删除以下键值：

run = "RAVMOND.exe"

b. 在左侧面板中找到以下主键：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices

在右侧面板中，删除以下键值：

SystemTra = "%Windows%\SysTra.EXE"

c. 在左侧面板中找到以下主键：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run 在右侧面板中，删除以下键值：

Hardware Profile = "%System%\hxdef.exe"

Program In Windows = "%System%\IEXPLORE.EXE"

Microsoft NetMeeting Associates, Inc. = "NetMeeting.exe"

VFW Encoder/Decoder Settings = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg" Protected Storage = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

Shell Extension = "%System%\spollsv.exe"

d. 关闭注册表编辑器

4. 停止病毒创建的服务。在命令提示符下，输入以下命令：

NET STOP "_reg"

NET STOP "Windows Managem ent NetWork Service Extensions"

这时命令提示符下可以看到服务成功停止的信息。

5. 在“我的电脑”中包含Windows的分区内，搜索并删除所有以下病毒文件： results.txt; win2k.txt; winxp.txt; AUTORUN.INF

6. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。

106) VBS_REDLOF.A

传播方式：

电子邮件，网络映射驱动器回索引表

漏洞补丁：

病毒描述：

该VB脚本病毒通常在加密的形态下进入系统。当用户访问受感染的HTML文件时，病毒会于OnLoad事件挂钩，并调用KJ_start()函数。执行后，病毒会自身解密并运行。随后，它会检查自身的宿主的源代码是HTML还是VBS，用以初始化其变量。

随后，病毒会检查Windows目录下是否存在文件WSCRIPT.EXE。如果存在，病毒会将自身复制到默认的Windows系统文件夹（System或System32）目录下，并命名为KERNEL.DLL。如果不存在，则病毒会使用自身代码进行硬编码，生成文件KERNEL32.DLL并存放于%Windows%\System目录下。这个被病毒生成的文件会被趋势科技检测为VBS_REDLOF.A.GEN。

如果受感染的系统上，默认的System文件夹是%Windows%\System，则原始的KERNEL32.DLL可能会被覆盖，这取决于病毒脚本执行时该文件是否在运行中。由于KERNEL32.DLL是一个重要的系统文件，此举可能会导致系统被破坏。如果受感染的系统上默认的System文件夹是%Windows%\System32，则病毒仍然会将KERNEL32.DLL文件在该目录下生成。

该病毒会在注册表中加入以下注册表启动项以使其在开机后自动运行： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Kernel32 = "%System%\Kernel.dll"

或Kernel32 = "%System%\Kernel32.dll"

同时，病毒会在注册表中将自身与DLL类型文件相关联，使得用户在执行DLL文件时会自动运行病毒代码。病毒写入的注册表项如下：

HKEY_CLASSES_ROOT\dllfile\shell\open\command

Default = "%Windows%\WScript.exe "%1" %*"

HKEY_CLASSES_ROOT\dllfile\ScriptEngine

Default = "VBScript"

HKEY_CLASSES_ROOT\dllfile\ShellEx\PropertySheetHandlers\WSHProps

Default = "{60254CA5-953B-11CF-8C96-00AA00B8708C}"

HKEY_CLASSES_ROOT\dllfile\ScriptHostEncode

Default = "{85131631-480C-11D2-B1F9-00C04F86C324}"

病毒感染系统后，会在整个系统中搜索并感染所有以下类型的文件：

? VBS HTML HTM ASP PHP JSP HTT

被感染的文件有加密的版本。并且当使用编辑软件进行查看时，会调用KJ_start()函数。

同样需要注意的是，病毒会特定的感染位于%Windows%\Web目录下的文件FOLDER.HTT，并将该文件的原始内容储存在相同目录下的KJWALL.GIF文件中。

该病毒会感染位于%Program Files%\Common Files\Microsoft Shared\Stationery目录下的Outlook Express的信纸文件BLANK.HTM，并启用信纸的选项，使得通过Outlook Express发送的邮件都包含了病毒的恶意代码。

该病毒感染没有安装VM ActiveX Component漏洞补丁的系统。关于此漏洞更多详情，请参考。

清除方法：

自动清除：

该病毒可使用趋势科技损害清除服务清除。请使用最新版本TSC，执行清除后请使用趋势科技防毒软件手动扫描系统，彻底清除感染病毒的文件。

手动清除：

1. 打开注册表编辑器，找到并删除以下键值，清除启动项：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run Kernel32 = "%System%\Kernel.dll"

Kernel32 = "%System%\Kernel32.dll"

2. 点击―开始‖-―运行‖，输入以下命令并点确定：

command /c copy %WinDir%\regedit.exe regedit.com | regedit.com

3. 在注册表编辑器中找到以下主键：

HKEY_CLASSES_ROOT>dllfile>shell>open>command

在右侧面板找到以下键值：

Default

检查该键值的值是否指向病毒文件。如果是，则将此键值修改为以下内容： "%1" %*

4. 重复第3步中的步骤，分别查找并检查以下注册表中的主键：

HKEY_CLASSES_ROOT>dllfile>ScriptEngine

HKEY_CLASSES_ROOT>dllfile>ScriptHostEncode

HKEY_CLASSES_ROOT>dllfile>ShellEx>PropertySheetHandlers>WSHProps

5. 关闭注册表编辑器，并再次点击―开始‖-―运行‖输入以下命令并确定执行： command /c del regedit.com

6. 如果系统文件KERNEL32.DLL被病毒覆盖或删除，则需要从正常的系统或

是系统备份中将正常的该文件复制到System目录下。

7. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为

VBS_REDLOF.A,VBS_REDLOF.A.GEN,VBS_REDLOF.A-O,VBS_REDLOF.A-1,VBS_REDLOF.A-2,VBS_REDLOF.A-3VBS_REDLOF.A-4的文件。

107) WORM_TOMPAI.A

传播方式：

网络共享，软盘，网络映射驱动器

病毒描述：

病毒执行后，会在Windows的系统目录（System或System32)下使用以下随机文件名生成自身拷贝：

? cmpku.exe

32常见病毒及处理方法_常见病毒

? cmpkunt.exe loadms.exe loadmsnt.exe mainsv.exe netcompt.exe netcomptnt.exe ntdllf.exe ntdllfnt.exe ptsnopt.exe ptsnoptnt.exe

同时，病毒会在Windows目录下生成自身的拷贝MAPSERVER.EXE。病毒会创建以下任何一项注册表项来使得其在开机后自动运行：

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\RunOnce

Cmpnt = "%System%\mainsv.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Run

Ntcheck = "%Windows%\mapserver.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\RunServices

Shell = "%System%\mainsv.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run

Cmpnt = "%System%\{Malware file name}"

在Windows 98/ME系统中，病毒还会通过修改WIN.INI文件中的Run区域内容来使得其在开机后自动运行。

同时病毒还会在注册表中添加以下键值作为其安装的特性：

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\

Doom\Shadow

Conteo = "5"

该病毒会在系统的D:\到Z:\中所有的可用驱动器根目录下生成一个IEXPLORES.EXE文件和一个AUTORUN.INF文件，在用户每次访问这些驱动器根目录时自动运行。

该病毒通过将自身复制到网络共享目录中的方式，利用网络共享进行传播。病毒可能以以下任何一个文件名作为自身在网络中的拷贝：

? Bart_history.txt.pif Crack_tools.exe Dx_ball2_Setup.exe mario_2.exe matrix_desktop.scr matrix3Dsetup.scr mp3_convert.pif Simpsons_review.txt.pif the_matrix.scr VRMLpad_crack.txt.pif Zsnes_win.exe

同时，病毒还在受感染计算机的软盘驱动器（通常为A:\）下生成一个.zip文件，并用以上的任何一个文件名来命名。

该蠕虫会开启UDP 1069和TCP 24007 两个端口来连接到Internet。一旦连接，它会允许远程恶意用户在系统上执行以下命令：

? 访问/列表文件夹的内容修改文件和文件夹的属性修改驱动器若存在WinZIP，则可以压缩文件删除/执行文件获取主机系统时间获取主机在广域网的IP 获取用户名注销/重启/关机

? 发送/接收文件

病毒会将收集到的信息发送到以下站点：

? http://www26.brinkster.com/{BLOCKED}/Actuafecha.asp http://www26.brinkster.com/{BLOCKED}/actua.asp

同样，病毒会将收集到的信息使用自带的SMTP引擎发送到 jlgbxp@hotmail.com 邮箱中。

该病毒会通过修改IE的ActiveX控件设置，允许其在用户不知情的情况下允许，降低IE的安全性。此外，病毒还会修改文件夹的查看方式，会启用―隐藏已知文件的扩展名‖和―隐藏受保护的系统文件‖的选项。

清除方法：

自动清除：

该病毒可使用趋势科技损害清除服务清除。请使用最新版本TSC，执行清除后请使用趋势科技防毒软件手动扫描系统，彻底清除感染病毒的文件。

手动清除：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为WORM_TOMPAI.A的

文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病

毒进程，可能需要使用第三方工具，例如Process Explorer等。

3. 删除注册表中的启动项中病毒相关信息：

a. 打开注册表编辑器，找到以下主键：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

在右侧面板中，删除以下键值：

Cmpnt = "%System%\{Malware file name}"

b. 在左侧面板中找到以下主键：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices

在右侧面板中，删除以下键值：

Shell = "%System%\mainsv.exe"

c. 在左侧面板中找到以下主键：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunOnce 在右侧面板中，删除以下键值：

Cmpnt = "%System%\mainsv.exe"

d. 在左侧面板中找到以下主键：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

在右侧面板中，删除以下键值

Ntcheck = "%Windows%\mapserver.exe"

4. 在注册表编辑器中删除其他相关内容：

在左侧面板中找到以下主键并删除：

HKEY_CURRENT_USER>Software>VB and VBA Program Settings>Doom>Shadow

5. 对于Windows 98/ME系统，需要修改WIN.INI文件。使用系统默认的文本编辑工具打开该文件，找到[windows]区域下的以下内容开头的地方： load =

run =

在同样一行的地方删除以下病毒信息：

%System%\ntdllf.exe

6. 打开―我的电脑‖，选择―工具‖-―文件夹选项‖，在―查看‖中选择―显示所有文件‖，并取消―隐藏受保护的系统文件‖前的复选框，然后确定。

7. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

108) PE_LOOKED.AH-O

传播方式：

其他病毒

病毒描述：

该病毒可能从Internet被下载而进入系统，也有可能是由其他恶意程序在系统中生成。

执行后，病毒会在Windows目录下生成自身的拷贝，命名为RUNDLL32.EXE。同时还在Windows目录下生成一个VIRDLL.DLL作为它的组件，该文件被趋势科技检测为PE_LOOKED.AI。

在Windows 98/ME系统中，病毒添加以下注册表项来实现开机后自动启动： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run

Load = "%Windows%\RUNDL132.exe"

在Windows 2000/XP/2003系统中，病毒添加以下注册表项来实现开机后自动启动：

HKEY_CURRENT_USER\Software\Microsoft\

Windows NT\CurrentVersion\Windows

Load = "%Windows%\RUNDL132.exe"

同时，病毒还会创建以下注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW

Auto = "1"

病毒会搜索从C:\到Z:\中所有可用的分区下的所有.EXE文件，并将自身代码预先插入到这些文件中。病毒不会感染包含以下字符串的文件：

? Common Files ComPlus Applications Documents and Settings InstallShield Installation Information Internet Explorer Messenger Microsoft Frontpage Microsoft Office Movie Maker MSN Gaming Zone NetMeeting Outlook Express Recycled

32常见病毒及处理方法_常见病毒

? system System Volume Information system32 windows Windows Media Player Windows NT WindowsUpdate winnt

所有被感染的文件都会被趋势科技检测为PE_LOOKED.AH。为防止重复感染同一文件，病毒会对所有的.EXE文件检查kByDwing这个字符串。

同时，病毒还会自动终止以下进程，这些进程都属于各种安全软件：

? Eghost.exe Iparmor.exe Kavpfw.exe Mailmon.exe RavMon.exe Ravmond.exe

如果系统中存在金山毒霸，病毒还会自动停止金山毒霸的服务。

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为PE_LOOKED.AH-O的

文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病

毒进程，可能需要使用第三方工具，例如Process Explorer等。

3. 删除注册表中的启动项中病毒相关信息：

a. 对于Windows 98/ME系统，找到并删除以下键值：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run Load = "%Windows%\RUNDL132.exe"

b. 对于Windows 2000/XP/2003系统，找到并删除以下键值：

HKEY_CURRENT_USER>Software>Microsoft>Windows

NT>CurrentVersion>Windows

Load = "%Windows%\RUNDL132.exe"

4. 删除注册表中的其他病毒相关键值：

HKEY_LOCAL_MACHINE>SOFTWARE>Soft

DownloadWWW

5. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为

病毒的文件。

109) JS_MHTREDIR.HR

传播方式：

网页

病毒描述：回索引表

该恶意JavaScript脚本通常是用户在访问一些含恶意代码的网页时，绑定在网页中一起下载到用户的系统中的。当该恶意脚本执行后，它会自动连接以下URL：

http://www.l{BLOCKED06.com/q16/1.js

并下载一个文件，该下载的文件被趋势科技检测为CHM_CODEBASE.BV。

清除方法：

1. 关闭IE浏览器；

2. 清空IE缓存及临时文件夹；

3. 关闭系统还原

4. 使用趋势科技防毒软件扫描系统，删除所有病毒文件。

110) PE_LGEMIR.D

病毒描述：

执行后，病毒会在注册表中添加如下内容：

HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW

Auto = "1"

随后它会向Windows目录下生成一个自身的拷贝，命名为LOGO1_.EXE，同时还在Windows目录下生成一个VIRDLL.DLL文件作为其组件。

该病毒会感染所有非移动磁盘。同时它还会向以下IP地址发送文本字符串Hello World：

? 192.168.0.30 192.168.8.1

同时，病毒还会自动终止以下进程，这些进程都属于各种安全软件：

? EGHOST.EXE IPARMOR.EXE KAVPFW.EXE MAILMON.EXE

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为PE_LEGMIR.D的文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病

毒进程，可能需要使用第三方工具，例如Process Explorer等。

3. 打开注册表编辑器，找到并删除以下键值：

HKEY_LOCAL_MACHINE>Software>Soft>DownloadWWW

auto = "1"

4. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为

病毒的文件。

111) TROJ_LEGMIR.A

病毒描述：

该病毒会将自身拷贝到Windows目录下命名为INTRENAT.EXE，并在System32目录下生成另一份拷贝，命名为WINSOCKS.DLL。

病毒会创建以下注册表项来实现自动启动的功能：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Intrenat= %Windows%\intrenat.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Intrenat= %Windows%\intrenat.exe

该木马用于盗窃密码，它会盗窃游戏《传奇》的密码，并将包含密码的资料通过自带的SMTP引擎发送电子邮件到指定的邮箱。

同时，病毒还会监视并自动终止以下程序，它们大多是防毒软件、系统安全软件等：

? CCenter EGhost Kavpfw Mailmon Navapw32 Ravmon Ravtimer

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为TROJ_LEGMIR.A的

文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病

毒进程，可能需要使用第三方工具，例如Process Explorer等。

3. 打开注册表编辑器，删除以下包含病毒信息的键值：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run Intrenat = "%Windows%\intrenat.exe"

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices

Intrenat = "%Windows%\intrenat.exe"

4. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为

病毒的文件。

112) TROJ_QQHELPER.AA

传播方式：

其他病毒

病毒描述：

该木马是一个大型恶意程序包的一部分。执行后，该木马会在当前目录下生成一个不包含恶意代码的UPDATESR.INI文件。该生成的文件内容如下： Guid = {random strings}

Firstrun = 0

Firstruntime = {date of this Trojan's initial execution}

该木马包含有可能被其他恶意程序所使用的恶意代码。同时，该木马代码包含的功能中含有下载并执行恶意程序、以及删除其他恶意程序所使用的文件等功能。

清除方法：

扫描系统，删除所有病毒文件即可。同时删除所有病毒生成的UPDATESR.INI文件。

113) TROJ_SMALL.BEP

病毒描述：

执行后该木马会在当前目录下生成一个随机文件名的.TMP文件。为实现自动运行的功能，病毒会将自身注册为服务，创建以下注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WintUPp 病毒会自动连接以下URL：

? 61.1{BLOCKED}.108.37/wint/sp.cab 61.1{BLOCKED}.108.37/wint/update.ini

连接后，该木马会自动下载并运行一个恶意程序，该程序会被趋势科技检测为TROJ_AGENT.AYQ。

如果使用的系统是Windows 98/ME，则病毒不会下载上述的文件。

同时，病毒还会在Windows目录下生成一个WININIT.INI文件，用来在下次

32常见病毒及处理方法_常见病毒

Windows启动时删除病毒自身文件。该.INI包含以下内容：

NUL={malware path and file name}

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为TROJ_SMALL.BEP的文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。

3. 打开注册表编辑器，删除病毒对自身注册的服务相关主键：

HKEY_LOCAL_MACHINE>SOFTWARE>CurrentControlSet>Services

WintUPp

4. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

114) WORM_RJUMP.A

传播方式：

移动磁盘

病毒描述：

病毒执行后，会将自身复制到Windows目录下并命名为BITTORRENT.EXE。同时病毒创建以下注册表项来实现自动启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Bittorrent = "%Windows%\bittorrent.exe"

该蠕虫通过移动磁盘进行传播。当移动磁盘连接到染毒计算机时，病毒会在移动磁盘中生成以下文件：

? AUTORUN.INF – 不包含恶意代码，用来实现自动运行蠕虫程序 BITTORRENT.EXE – 自身的拷贝 MSVCR71.DLL – 非恶意程序

同时病毒会将这些文件属性设置为只读、隐藏和系统，以此来避免被检测。

该病毒还具有后门功能。它会开机随机端口侦听来自远程用户的连接。

清除方案：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为WORM_RJUMP.A的文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。

3. 打开注册表编辑器，删除以下启动项键值：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run Bittorrent = "%Windows%\bittorrent.exe"

4. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

115) TROJ_AUTDROP.DR

病毒描述：

该自解压的木马程序通常是由Web、下载的程序或用户手动安装等方式进入系统。它是一个插件程序，允许已有的服务器和客户端扩展它们的兼容性。运行后，病毒会在Windows的System目录下生成以下文件：

? LIVEUP.EXE – 被检测为 TROJ_DLDR.C MSSTART.EXE -被检测为BKDR_LIVUP.C SVRHOST.EXE -被检测为BKDR_LIVUP.C

同时在注册表中生成以下键值来实现自动启动的功能：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run msstart "C:\Windows\System32\msstart.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run svrhost "C:\Windows\System32\svrhost.exe"

另外，病毒还会创建以下注册表内容：

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache <path of the malware>\<file name>.EXE = "Installation"

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为WORM_RJUMP.A的文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。

3. 打开注册表编辑器，删除以下启动项键值：

a. 在左侧面板中找到以下主键

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run 在右侧面板中找到并删除以下键值：

msstart "C:\Windows\System32\msstart.exe"

svrhost "C:\Windows\System32\svrhost.exe"

b. 在左侧面板中找到以下主键

HKEY_CURRENT_USER>Software>Microsoft>Windows>ShellNoRoam>MUICache 在右侧面板找到其值为病毒文件名的键值并删除。

4. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

116) PE_TUFIK.D

病毒描述：回索引表

该病毒会将自身代码附加于Explorer.exe程序上来感染此文件。同时病毒还会搜索并感染所有分区下的所有EXE文件。

清除方法：

由于该病毒属于文件感染型病毒，附加了自身代码于正常文件之上，因此无法手动清除。在使用趋势科技防毒软件配合病毒码2.888.01以上版本扫描后均可清除。

117) TROJ_CHIMOZ.AB

传播方式：

其他病毒

病毒描述：

该木马通常是从Internet被下载进入系统，也有可能是由其他恶意软件在系统中生成。

该木马会从URL http://w{BLOCKED}n/sf下载以下文件：

? intranet.exe - 被检测为 TROJ_CHIMOZ.K iupdate.exe - 被检测为 TROJ_CHIMOZ.AH service.exe – 被检测为 TROJ_CHIMOZ.AC taskmor.exe - 被检测为 TROJ_CHIMOZ.AD tupdate.exe - 被检测为 TROJ_CHIMOZ.AI winlogin.exe - 被检测为 TROJ_CHIMOZ.AF wupdate.exe - 被检测为 TROJ_CHIMOZ.AE

一旦病毒成功下载了文件TASKMOR.EXE，会创建以下注册表项来实现自动启动功能：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run taskmor = "Taskmor.exe"

该木马会监视用户的Internet行为，并检查打开的IE窗口标题栏，如果发现特定的字符串，则自动弹出广告窗口。

清除方法：

清除该病毒时，请同时参考TROJ_CHIMOZ.AC的清除方案检查系统。

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为WORM_RJUMP.A的文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。

3. 打开注册表编辑器，找到并删除以下启动项键值：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run taskmor = "Taskmor.exe"

重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

118) TROJ_CHIMOZ.AC

传播方式：

其他病毒

病毒描述：

该木马通常是从Internet被下载进入系统，也有可能是由其他恶意软件在系统中生成。

该木马会从URL http://w{BLOCKED}n/sf下载以下文件：

? explore.exe – 被检测为 TROJ_CHIMOZ.AB intranet.exe -被检测为TROJ_CHIMOZ.K iupdate.exe -被检测为TROJ_CHIMOZ.AH taskmor.exe -被检测为TROJ_CHIMOZ.AD tupdate.exe -被检测为TROJ_CHIMOZ.AI winlogin.exe -被检测为TROJ_CHIMOZ.AF wupdate.exe -被检测为TROJ_CHIMOZ.AE

一旦病毒成功下载了文件intranet.exe，会创建以下注册表项来实现自动启动功能：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run taskmor = "intranet.exe"

清除方法：

清除该病毒时，请同时参考TROJ_CHIMOZ.AB的清除方案检查系统。

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为WORM_RJUMP.A的文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。

32常见病毒及处理方法_常见病毒

3. 打开注册表编辑器，找到并删除以下启动项键值：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run taskmor = "intranet.exe"

重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

119) TROJ_TMFNF.A

病毒描述

执行后，该木马会在Windows的系统目录（System或System32）下生成自身的拷贝，命名为word.exe。在Windows XP和2003系统上，病毒还会在%Windows%\System目录下生成一个拷贝命名为regedit.exe。随后，病毒创建以下注册表项来实现自动启动的功能：

在Windows 98/ME系统中：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run KV2005 = "%System%\word.EXE

在Windows NT/2000/XP/2003系统中：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

KV2005 = "%System%\word.EXE"

该木马会显示一个信息提示窗口如下：

该木马还会窃取敏感信息，例如用户名和密码等。但是由于该病毒无法实现驻留内存，因此该功能必须是当病毒手动运行后才能实现。

此外，该病毒还会将所有.DOC文件的扩展名更改为.EXE。

清除方法：

1. 打开注册表编辑器，删除以下键值：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run KV2005 = "%System%\word.EXE

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>policies>Explorer>Run

KV2005 = "%System%\word.EXE

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Explorer>RUN

KV2005 = "%System%\word.EXE

2. 使用趋势科技防毒软件扫描系统，删除所有病毒文件。

120) BKDR_THEEF.J

病毒描述：

病毒执行后，会在Windows的System32目录下生成以下文件：

capture.exe – 病毒自身拷贝

Gsetup.ini – 配置文件，不包含恶意代码

同时，病毒会创建以下注册表项来实现自动启动功能：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Capture="%System%\capture.exe"

该病毒一旦被读取，就会驻留内存，同时连接到远程服务器，等待远程用户的命令。这时病毒会监视键盘输入，用以窃取诸如密码等用户信息，并将窃取到的信息通过email发送给指定收件人。

清除方法：

1. 在任务管理器中，终止以下进程：

capture.exe

2. 打开注册表编辑器，删除以下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Capture="%System%\capture.exe"

3. 使用趋势科技防毒软件扫描系统，删除所有病毒文件。

121) TSPY_QQPASS.QQ

病毒描述：

执行后，该间谍软件会在Windows的System32目录下生成以下文件： ?

? agetlker.exe – 被趋势科技检测为TSPY_QQPASS.QQ noruns.reg – 组件文件，不包含恶意代码 psapi.lib – 组件文件，不包含恶意代码 rastutlz.dll – 配置文件，不包含恶意代码 SVOHOST.exe - 被趋势科技检测为TSPY_QQPASS.QQ winscok.dll - 被趋势科技检测为TSPY_QQPASS.QQ

该间谍软件还会在注册表中添加以下启动项键值来实现自动启动功能： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RavUpteki = "%System%\agetlker.exe"

或者

SoundMam = "%System%\SVOHOST.exe"

该木马会记录键盘按键，窃取QQ Messanger的用户名和密码等信息，并通过自带的SMTP引擎发送给远程的恶意用户。

处理方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为TSPY_QQPASS.QQ的文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。

3. 打开注册表编辑器，找到并删除任何以下的启动项键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RavUpteki = "%System%\agetlker.exe"

SoundMam = "%System%\SVOHOST.exe"

4. 使用趋势科技防毒软件再次扫描包含Windows的分区，删除所有病毒文件

5. 在包含Windows的分区搜索并删除以下文件：

noruns.reg psapi.lib rastutlz.dll

122) TSPY_LEGMIR.RX

传播方式：

网页，其他病毒

病毒描述：

执行后，病毒会产生以下文件作为其自身的副本：

? %Program Files%\Common Files\iexplore.pif %Program Files%\Internet Explorer\iexplore.com %System%\command.pif %System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %System%\regedit.com %System%\rundll32.com %Windows%\1.com %Windows%\Debug\DebugProgram.exe %Windows%\ExERoute.exe %Windows%\explorer.com %Windows%\finder.com %Windows%\WINLOGON.EXE

同时，病毒会创建以下注册表项来实现自动启动功能：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Torjan Program = "%Windows%\WINLOGON.EXE"

病毒创建以下注册表键值，使得Windows将病毒进程判断为原始的IExplore.exe进程：

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command

@ = ""%Program Files%\common~1\iexplore.pif""

该注册表键值导致每当用户打开IE的时候就会运行病毒程序。

该病毒使用了Shell Spawning技术，通过修改以下注册表键值来影响多种文件：

修改―我的公文包‖相关内容：

HKEY_CLASSES_ROOT\.bfc\ShellNew

Command = "%SystemRoot%\system32\rundll32.com %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"

修改.EXE文件执行时的相关内容：

HKEY_CLASSES_ROOT\.exe

@ = "winfiles"

修改.LNK文件执行时的相关内容：

HKEY_CLASSES_ROOT\.lnk\ShellNew

Command = "rundll32.com appwiz.cpl,NewLinkHere %1"

执行IE时的相关内容：

HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command

@ = ""%Program Files%\Internet Explorer\iexplore.com" %1"

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

@ = ""%Program Files%\Internet Explorer\iexplore.com""

打开―控制面板‖时的相关内容：

HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command

@ = "rundll32.com shell32.dll,Control_RunDLL %1,%*"

当执行Windows Explorer时的相关内容：

HKEY_CLASSES_ROOT\Drive\shell\find\command

@ = "%SystemRoot%\explorer.com"

当执行.DUN导出文件时的相关内容：

32常见病毒及处理方法_常见病毒

HKEY_CLASSES_ROOT\dunfile\shell\open\command

@ = "%SystemRoot%\system32\rundll32.com NETSHELL.DLL,InvokeDunFile %1" 当使用IE访问FTP站点时的相关内容：

HKEY_CLASSES_ROOT\ftp\shell\open\command

@ = ""%Program Files%\Internet Explorer\iexplore.com" %1"

当使用IE打开HTML文件时的相关内容：

HKEY_CLASSES_ROOT\htmlfile\shell\open\command

@ = ""%Program Files%\Internet Explorer\iexplore.com" -nohome"

HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

@ = ""%Program Files%\common~1\iexplore.pif" %1"

HKEY_CLASSES_ROOT\htmlfile\shell\Print\command

@ = "rundll32.com %SystemRoot%\system32\mshtml.dll,PrintHTML "%1"" 当使用IE访问HTTP网站时的相关内容：

HKEY_CLASSES_ROOT\http\shell\open\command

@ = ""%Program Files%\common~1\iexplore.pif" -nohome"

当打开INF文件时的相关内容：

HKEY_CLASSES_ROOT\inffile\shell\Install\command

@ = "%SystemRoot%\system32\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

当使用快捷方式访问一个URL时的相关内容：

HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command

@ = "finder.com shdocvw.dll,OpenURL %l"

当设置屏幕保护程序时的相关内容：

HKEY_CLASSES_ROOT\scrfile\shell\install\commandsaver

@ = "finder.com desk.cpl,InstallScreenSaver %l"

当使用Windows脚本组件时的相关内容：

HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command

@ = ""%System%\finder.com" %System%\scrobj.dll,GenerateTypeLib "%1"" 当使用Telnet时的相关内容：

HKEY_CLASSES_ROOT\telnet\shell\open\command

@ = "finder.com url.dll,TelnetProtocolHandler %1"

当执行未知类型的文件时的相关内容：

HKEY_CLASSES_ROOT\Unknown\shell\openas\command

@ = "%SystemRoot%\system32\finder.com %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"

最后，病毒通过以下注册表键值使得病毒程序1.com替代了原始的Explorer.exe正常文件：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon

Shell = "Explorer.exe 1"

该间谍软件会在后台运行，记录并窃取游戏“魔兽时间”和“传奇”的用户名和密码。所有窃取到的信息会通过HTTP方式发送给远程用户。

该间谍软件还会终止带有以下特定关键字的安全相关的进程：

? AGENTSVR ASSISTSE CCENTER FYGT IEFIND IPARMOR KPFW KPOP KREG RFWMA RULEWIZE SVI.EXE TROJDIE UPHC

清除方法：

1. 恢复注册表被修改的内容：

由于注册表编辑器REGEDIT.EXE执行时会带动病毒进程一起运行，因此要手动恢复注册表内容，需要从制作一个.reg文件。

a. 点击“开始”-“运行”，输入notepad.exe点击确定；

b. 在写字板中，输入以下内容：

REGEDIT4

[HKEY_CLASSES_ROOT\.bfc\ShellNew]

"Command"="%SystemRoot%\\system32\\rundll32.exe %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"

[HKEY_CLASSES_ROOT\.exe]

@="exefile"

[HKEY_CLASSES_ROOT\.lnk\ShellNew]

"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"

[HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"

[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]

@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""

[HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command]

@="rundll32.exe shell32.dll,Control_RunDLL %1,%*"

[HKEY_CLASSES_ROOT\Drive\shell\find\command]

@="%SystemRoot%\\explorer.exe"

[HKEY_CLASSES_ROOT\dunfile\shell\open\command]

@="%SystemRoot%\\system32\\rundll32.exe

NETSHELL.DLL,InvokeDunFile %1"

[HKEY_CLASSES_ROOT\ftp\shell\open\command]

@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"

[HKEY_CLASSES_ROOT\htmlfile\shell\open\command]

@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"

[HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command]

@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"

[HKEY_CLASSES_ROOT\htmlfile\shell\Print\command]

@="rundll32.exe %SystemRoot%\\System32\\mshtml.dll,PrintHTML \"%1\""

[HKEY_CLASSES_ROOT\http\shell\open\command]

@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"

[HKEY_CLASSES_ROOT\inffile\shell\Install\command]

@="%SystemRoot%\\System32\\rundll32.exe

DefaultInstall 132 %1"

[HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command]

@="rundll32.exe shdocvw.dll,OpenURL %l"

[HKEY_CLASSES_ROOT\scrfile\shell\install\command]

@="rundll32.exe desk.cpl,InstallScreenSaver %l"

[HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command] setupapi,InstallHinfSection

@="\"C:\\WINDOWS\\System32\\RUNDLL32.EXE\"

C:\\WINDOWS\\System32\\scrobj.dll,GenerateTypeLib \"%1\""

[HKEY_CLASSES_ROOT\telnet\shell\open\command]

@="rundll32.exe url.dll,TelnetProtocolHandler %l"

[HKEY_CLASSES_ROOT\Unknown\shell\openas\command]

@="%SystemRoot%\\system32\\rundll32.exe %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"

[HKEY_CLASSES_ROOT\winfiles]

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet]

@="IEXPLORE.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan Program"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe"

c. 将当前内容保存为C:\RESTORE.REG文件；

d. 点击“开始”-“运行”，输入C:\RESTORE.REG然后点击确定，运行

此注册表文件。

2. 使用工具Process Explorer，查看当前系统进程列表。找到

WINLOGON.EXE进程，点击右键选择属性，查看文件路径。如果文件路径为Windows目录下的WINLOGON.EXE，则终止此进程。

32常见病毒及处理方法_常见病毒

3. 使用趋势科技防毒软件扫描系统，删除所有病毒文件。

123) TROJ_AGENT.DLQ

病毒描述：

执行后，该木马会在Windows的System32目录下生成一个名为common.exe的自身拷贝。它会自动连接多个恶意网站，自动下载其他的恶意程序或病毒。

同时该木马还会在安装时创建以下注册表主键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion anzhuang = "ver123"

该木马会修改以下注册表内容来实现自动启动的功能：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon

Userinit = &quo t;%system%\userinit.exe,"

修改为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon

Userinit = "%system%\userinit.exe%system%\cmmon.exe"

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为TROJ_AGENT.DLQ的文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。

3. 打开注册表编辑器，删除以下键值：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion> anzhuang = "ver123"

4. 在注册表编辑器中修改以下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon

Userinit = "%system%\userinit.exe%system%\cmmon.exe"

修改为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon

Userinit = &quo t;%system%\userinit.exe,"

5. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为

病毒的文件。

124) ADW_ROOGOO.D

传播方式：

网页，其他病毒

病毒描述：

该广告软件安装时会创建以下注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Roogoo 回索引表

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Adplus.Xlink

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Adplus.XLink.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18F57D30-EF36-4C0E-9343-7BFA6DF79B4A}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\

{2805A558-1E98-48FB-8BA5-49A3AD78B129}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\

{57F7A59D-8F7F-41B2-98B8-A095456716E9}

该广告软件会监视用户的Internet浏览行为，并根据用户所访问的网站类型或用户在Internet上搜索的条件来显示一些弹出的广告窗口。

同时，该广告软件还会创建以下注册表项来取消浏览器对弹出窗口的限制： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

2102 = "dword:00000000"

另外，它还会通过创建以下注册表项，将自身安装成为LSP，从而监测用户网络行为，并将搜索结果报告给ROOGOO.com：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000{nnn}

PackedCatalogItem = "{Adware path and file name}"

(nnn指的是从001到999中的任何一个数字)

清除方法：

1. 重新启动计算机，进入安全模式；

2. 打开注册表编辑器，删除以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE

Roogoo

HKEY_LOCAL_MACHINE>SOFTWARE>Classes

Adplus.Xlink

Adplus.Xlink.1

HKEY_LOCAL_MACHINE>SOFTWARE>Classes>CLSID

{18F57D30-EF36-4C0E-9343-7BFA6DF79B4A}

HKEY_LOCAL_MACHINE>SOFTWARE>Classes>Interface

{2805A558-1E98-48FB-8BA5-49A3AD78B129}

HKEY_LOCAL_MACHINE>SOFTWARE>Classes>TypeLib

{57F7A59D-8F7F-41B2-98B8-A095456716E9}

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Internet Settings>Zones>3

2102 = "dword:00000000"

3. 修复LSP

4. 重新启动计算机，并再次扫描系统，检查病毒是否完全清除。

125) TSPY_WOW.FC

传播方式：回索引表

网页，其他病毒

病毒描述：

执行后，病毒会产生以下文件作为其自身的副本：

? %Program Files%\Common Files\INTEXPLORE.PIF %Program Files%\Internet Explorer\INTEXPLORE.COM %System%\DXDIAG.COM %System%\MSCONFIG.COM %System%\REGEDIT.COM %Windows%\Debug\DEBUGPROGRAM.EXE %Windows%\EXERT.EXE %Windows%\LSASS.EXE

这些文件名与正常的文件名非常类似或相同，具有欺骗性。

该病毒创建以下注册表项目来实现自动启动的功能：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ToP = "%Windows%\LSASS.EXE"

同时，该病毒还会修改以下注册表项，使用户在打开某些特定类型的文件时自动运行病毒程序：

HKEY_CLASSES_ROOT\WindowFiles\Shell\Open\Command

Default = ""%Windows%\EXERT.exe "%1" %*"

（以上键值默认值为"%1" %*".）

HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command

Default = ""%Program Files%\Internet Explorer\INTEXPLORE.com" %1"

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

Default = "%Program Files%\Internet Explorer\INTEXPLORE.com"

HKEY_CLASSES_ROOT\ftp\shell\open\command

Default = ""%Program Files%\Internet Explorer\INTEXPLORE.com" %1" HKEY_CLASSES_ROOT\htmlfile\shell\open\command

@ = ""%Program Files%\Internet Explorer\INTEXPLORE.com" -nohome"

HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

Default = ""%Program Files%\common~1\INTEXPLORE.pif" %1"

HKEY_CLASSES_ROOT\http\shell\open\command

Default = ""%Program Files%\common~1\INTEXPLORE.pif" -nohome"

（以上键值默认值为"%Program Files%\Internet Explorer\iexplore.exe"）

该病毒还修改其他注册表内容如下：

HKEY_CLASSES_ROOT\.exe

Default = "WindowFiles"

（以上键值默认值为exefile）

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Check_Associations = "No"

（以上键值默认值为"Yes"）

该间谍软件监视用户Internet浏览行为以窃取信息，特别针对游戏《魔兽世界》窃取用户的帐号密码等信息。每当用户访问以下URL时，该间谍软件就会执行一次它的功能：

? eu.logon.world{BLOCKED}warcraft.com tw.logon.world{BLOCKED}warcraft.com us.logon.world{BLOCKED}warcraft.com

该间谍软件会将收集到的信息通过自带的SMTP引擎发送电子邮件至远程用户。

该间谍软件还会终止带有以下特定关键字的安全相关的进程：

? ASSISTSE AGENTSVR CCENTER FYGT IEFIND IPARMOR KPFW KPOP KREG

32常见病毒及处理方法_常见病毒

? RAVMON.EXE RFWSRV RULEWIZE SVI.EXE TROJDIE UPHC

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为TSPY_WOW.FC的文

件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病

毒进程，可能需要使用第三方工具，例如Process Explorer等。

3. 修复注册表编辑器并恢复被病毒修改的注册表键值，以免每次执行可执行文

件时病毒会自动执行：

a) 点击“开始”-“运行”，输入以下命令并点击“确定”

command /c copy %WinDir%\regedit.exe regedit.com | regedit.com

b) 在注册表编辑器中，左侧找到以下主键：

HKEY_CLASSES_ROOT>Windowfiles>shell>open>command

c) 在右侧找到以下键值：

Default

d) 检查该键值的值是否指向了病毒文件。如果是，将它的键值修改为以下

默认值：

"%1" %*

e) 在左侧面板找到以下主键：

HKEY_CLASSES_ROOT>Applications>iexplore.exe>shell>open>command f) 在右侧面板找到以下键值：

Default

g) 检查该键值的值是否指向以下路径下的病毒文件：

%Program Files%\Internet Explorer\INTEXPLORE.com

h) 如果是，将其键值修改为以下默认值：

"%Program Files%\Internet Explorer\iexplore.exe"

i) 针对以下主键，重复以上e-h的步骤：

ii.

iii.

iv.

v. HKEY_CLASSES_ROOT>ftp>shell>open>command HKEY_CLASSES_ROOT>htmlfile>shell>open>command HKEY_CLASSES_ROOT>htmlfile>shell>opennew>command HKEY_CLASSES_ROOT>http>shell>open>command HKEY_CLASSES_ROOT>CLSID>{871C5380-42A0-1069-A2EA-08002B

30309D}>shell>OpenHomePage>Command

j) 关闭注册表编辑器

k) 点击“开始”-“运行”，输入以下命令并点击“确定”

command /c del regedit.com

4. 删除注册表中以下病毒相关的启动项键值：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run ToP = "%Windows%\LSASS.EXE"

5. 修复其他被修改的注册表键值：

l) 在注册表编辑器中，找到以下主键：

HKEY_CLASSES_ROOT>.exe

m) 在右侧面板找到以下键值：

@ = "WindowFiles"

n) 将该键值修改为以下值：

@ = "exefile"

o) 在左侧面板找到以下主键：

HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>Main

p) 在右侧面板找到以下键值：

Check_Associations = "No"

q) 将该键值修改为以下值：

Check_Associations = "Yes"

6. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为

病毒的文件。

126) TSPY_LINEAGE.AWO

传播方式：

网页，其他病毒

病毒描述：

该间谍软件会监视用户的Internet浏览行为，并通过记录键盘按键来窃取用户的密码等个人信息。每当用户访问某些特定的游戏网站时，该间谍软件就会将它的功能执行一次。

清除方法：

1. 使用趋势科技防毒软件扫描系统，记录所有被标记为TSPY_LINEAGE.AWO的文件

2. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。

3. 打开注册表编辑器，找到以下键值：

HKEY_CURRENT_USER>Software>Microsoft>Windows NT>CurrentVersion>Windows load = "%Windows%\svhost32.exe"

将它的值修改为：

load = ""

4. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

127) TROJ_ADLOAD.IE

传播方式：

网页，其他病毒

病毒描述：

执行后，该木马会在Windows的%System%目录下生成一个TASKLIST.DLL文件，该文件也被趋势科技检测为TROJ_ADLOAD.IE。

该木马通过修改以下注册表，将自身注册为一个服务，以此来实现自动启动的功能：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AutoUpdate DisplayName = "AutoUpdate"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AutoUpdate\Parameters

ServiceDll = "%System%\tasklist.dll"

同时，该木马还通过连接以下URL下载包含恶意代码的文件：

此外，该木马还使用了Rootkit技术，以此来隐藏自身的组件文件和相关进程。

清除方法：

1. 重新启动计算机，进入安全模式 http://{BLOCKED}at.ni94.com/installer.asp?key=%s&ver=%s http://{BLOCKED}.ni94.com http://{BLOCKED}1.ni94.com http://{BLOCKED}10.ni94.com http://{BLOCKED}2.ni94.com http://{BLOCKED}3.ni94.com http://{BLOCKED}4.ni94.com http://{BLOCKED}5.ni94.com http://{BLOCKED}6.ni94.com http://{BLOCKED}7.ni94.com http://{BLOCKED}8.ni94.com http://{BLOCKED}9.ni94.com

2. 打开注册表编辑器，删除以下主键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AutoUpdate

3. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

128) WORM_RANDEX.AH

传播方式：

其他病毒，网络共享，系统漏洞

漏洞补丁：

Microsoft Security Bulletin MS04-007

Microsoft Security Bulletin MS05-017

Microsoft Security Bulletin MS06-040

病毒描述：

执行后，该病毒会在Windows的系统目录下生成一个JAVANET.EXE文件，随后会创建以下注册表项来实现自动启动功能：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices MS Java for Windows XP & NT = "javanet.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

MS Java for Windows XP & NT = "javanet.exe"

同时，作为自动启动功能的一部分，病毒还会修改以下注册表键值： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon

Shell = "Explorer.exe javanet.exe"

(默认键值为Shell="Explorer.exe")

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

32常见病毒及处理方法_常见病毒

NT\CurrentVersion\Winlogon

Userinit = "%System%\userinit.exe,javanet.exe"

(默认键值为Userinit = "%System%\userinit.exe,")

此外，病毒还会创建以下注册表项作为其安装的特性：

HKEY_CURRENT_USER\Software\Microsoft\Windows

JavaNet = "rBot v2 a.k.a. the next generation (working on winXP SP2)"

病毒会通过修改以下注册表项来禁用DCOM协议并限制匿名访问：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

EnableDCOM = "N"

(默认键值为EnableDCOM = "Y")

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Restrictanonymous = "dword:00000001"

(该键值默认没有预设值)

同时，病毒会通过修改以下注册表键值来禁用Windows XP SP2的防火墙： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start = "dword:00000004"

(默认键值为Start = "dword:00000003")

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

Start = "dword:00000004"

(默认键值为Start = "dword:00000002")

该病毒通过网络共享传播，它会将自身复制到所查找到的网络共享目录中。如果该共享目录设有密码，则该病毒会尝试使用以下列表中的字符串来尝试登陆： 00000

000000

0000000

00000000

12345

123456

1234567

12345678

123456789

abc123

access

alpha

anonymous

asdfgh

backdoor

backup

coffee

computer

database

debug

default

guest

hello

install

internet

manager

money

monitor

network

newpass

nobody

nopass

oracle

passwd

password

poiuytre

private

qwerty

random

remote

ruler

secret

secure

security

server

setup

shadow

super

system

telnet

test1

test2

visitor

windows

该病毒还具有后门特性，使用随机的TCP端口，连接到IRC服务器forum.ednet.es，加入特定的频道。一旦建立连接后，就可以允许远程用户在系统上执行以下操作：

下载、执行文件

列表、启动、停止进程

记录键盘按键

打开命令提示符进行操作

执行SYN/UDP以及HTTP DDOS攻击

此外，该病毒会组织包含以下字符串的进程启动：

avast

blackice

firewall

lockdown

mcafee

nod32

norton

reged

spybot

vsmon

zonea

清除方法：

1. 在任务管理器中找到并终止以下病毒进程（这一步中如果无法找到病毒进程，

可能需要使用第三方工具，例如Process Explorer等）：

javanet.exe

2. 打开注册表编辑器，找到并删除以下键值：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices MS Java for Windows XP & NT = "javanet.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

MS Java for Windows XP & NT = "javanet.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows

JavaNet = "rBot v2 a.k.a. the next generation (working on winXP SP2)"

3. 修复被病毒修改的注册表内容：

a. 找到以下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon

Shell = "Explorer.exe javanet.exe"

将其修改为：

Shell="Explorer.exe"

b. 找到以下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon

Userinit = "%System%\userinit.exe,javanet.exe"

将其修改为：

Userinit = "%System%\userinit.exe,"

c. 找到以下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

EnableDCOM = "N"

将其修改为：

EnableDCOM = "Y"

d. 找到以下键值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start = "dword:00000004"

将其修改为：

Start = "dword:00000003"

e. 找到以下键值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start = "dword:00000004"

将其修改为：

Start = "dword:00000002"

4. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

5. 安装相关系统补丁。

129) TSPY_AGENT.CDV

病毒描述：

这个木马通过其它软件,或从网上下载软件,而进入系统的

32常见病毒及处理方法_常见病毒

当它执行后,它会生成以下文件

* %System%\VKTServ.exe %System%\drivers\KSDT1983.sys

(注意: %System% 是Windows 系统目录, 在Windows NT and 2000上,通常是 C:\WINNT\System32, Windows XP and Server 2003上是C:\Windows\System32)

它会自行进行注册作为服务,并会创建以下注册表内容及键值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\KSDT1983

ImagePath = "{Malware path of the .SYS component}

DisplayName = "KSDT1983"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\VKTServ

ImagePath = "{Malware path and file name}"

DisplayName = "VKTServ

清除方法：

停止病毒服务:Disabling Malware Service

在Windows NT, 2000, XP, 和Server 2003上停止相应服务

开启Windows命令行窗口.点开始>运行, 输入CMD, 然后按回车.

NET STOP VKTServ 然后按回来. 这时应该会提示服务被成功停止关闭Windows命令行窗口

病毒文件更命:

注册表编辑

* KSDT1983 右击开始,然后点查找. 查找: KSDT1983.sys 查找到文件后,将其扩展名后加入-1- 打开注册表编辑器. 点开始>运行, 输入REGEDIT,然后按回车. 查找以下内容 HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services 查找并删除以下键值 * VKTServ

如果是Windows XP,请关闭系统还原

130) WORM_DELF.CSA

病毒描述：

这个病毒是通过互联网或其它软件上,而感染系统的

当在感染机器上接入USB, 病毒就会在USB里进行自我复制.它还会在生成一个AUTPRUN.INF的文件.

这个病毒还会在Windows目录中生成并执行KB20060111.EXEr. 它还会执行一个中文版的记事本

清除方法：

1.在任务管理器中,终止wincfgs.exe进程

wincfgs.EXE

2.进入注册表,查找到以下内容

HKEY_CURRENT_USER>Software>Microsoft>Windows

NT>CurrentVersion>Windows

右边的健值为:load = "%System%\WINCFGS.EXE"

3.然后将其值修改如下

Load = ―‖

4.然后再删除KB20060111.exe这个文件

131) TSPY_QQPASS.MI

传播方式：

通过互联网或绑定在其它软件上.

病毒描述：

执行后，它会在Windows系统目录下,生成多个文件,这些文件会被趋势检测为TSPY_DELF.CGR

他会监控用户浏览互联网的活动,并会盗取信息,例如QQ的用户名及密码,并通过自带的SMTP引擎,将其发送给远端恶意用户.

清除方法：

1.在任务管理器中将所有正在运行的病毒进程终止。进程名为了SVOHOST 这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。如果病毒进程无法终止，则可能需要重新启动进入安全模式。

7. 在注册表编辑器中找到以下主键：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>

Windows>CurrentVersion>Run

在右侧面板找到并删除以下键值：

SoundMam = "%System%\SVOHOST.EXE"

重新启动计算机，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。

132) PE_LOOKED.BF

传播方式：

网络共享

病毒描述：

病毒一旦执行,它会在Windows文件夹下,生成并执行RUNDLL32.EXE,它同样也会生成.DLL文件,这个.DLL文件被趋势检测为了TROJ_LOOKED.BF,它会注入到Internet Explorer的进程中.

该病毒会通过网络共享进行传播,它会使用Administrator或Guest帐号来打开共享文件夹,然后在该文件夹下进行自我复制

清除方法：

一、自动清除方法

升级趋势防病毒软件的病毒码至3.709（含）以上可以进行防御。同时请在OfficeScan和ServerProtect服务器上部署专用DCT（即TSC）工具，也可以在已经感染了该病毒的机器上单独运行TSC工具，以清除该病毒。

二、手动清除方法：

重启进入安全模式

该病毒的特性决定需要重新启动机器到安全模式，点击此页了解如何重启您的机器进入安全模式。

编辑注册表

这个恶意程序会修改系统的注册表。受这个恶意程序影响的用户需要修改或删除特定的注册表键值或项目。有关编辑注册表项目的细节信息，请参考如下微软的文章：

a. 有关注册表和如何使用注册表编辑器

b. 如何备份和恢复Windows 95, Windows 98和Windows Me的注册表 c. 如何备份和恢复Windows NT 4.0的注册表

d. 如何备份和恢复Windows XP的注册表

e. 如何备份和恢复Windows 2000的注册表

删除注册表中的项目

32常见病毒及处理方法_常见病毒

从注册表中删除自动运行键来阻止恶意程序在启动时执行。

打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter

在左边的面板中，双击:

HKEY_LOCAL_MACHINE>SOFTWARE>SOFT

仍然在左边的面板中，找到并删除如下键：

DownloadWWW

注意：如果不能按照上述步骤终止运行在内存中的恶意进程，请重启系统。附加Windows ME/XP清除说明

运行Windows ME和XP的用户必须禁用系统还原，从而可以对受感染的系统进行全面扫描。

运行其他Windows版本的用户可以不需要处理上面的附加说明。

使用防病毒软件扫描清除。

使用趋势科技防病毒产品扫描系统并删除所有被检测为PE_LOOKED.BF的文件。趋势科技的用户必须在扫描系统之前下载最新病毒码文件。其他的互联网用户可以使用Housecall，这是趋势科技的免费在线病毒扫描。

133) WORM_DELF.BTC

传播方式：

网络共享，网络映射驱动器

病毒描述：回索引表

该病毒通过共享驱动器进入系统。一旦执行后，病毒会在Windows的系统目录中生成一个自身的副本WINCFGS.EXE。

同时，病毒会将注册表项做如下修改：

将

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 的键值

Load = " "

修改为

Load = "%System%\wincfgs.exe"

清除方法：

7. 使用趋势科技防毒软件扫描系统，记录所有被标记为TSPY_LEGMIR.OQ的文件

8. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。如果病毒进程无法终止，则可能需要重新启动进入安全模式。

9. 在注册表编辑器中找到以下主键：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 在右侧面板找到以下键值：

Load = "%System%\wincfgs.exe"

将它修改为：

Load = ""

重新启动计算机，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。

134) TSPY_QQDRAGON.AY

病毒描述：回索引表

这个病毒会驻留在内存中,一般通过网上下载文件或由其它病毒生成.而感染病毒

运行后,它会通过监测键盘,从而盗取即时聊天工具的信息.它还会终止一些相有关安全的进程.

清除方法：

1. 重启机器进入安全模式

2. 打开注册表编辑器，在左边的面板中,查找以下内容HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

3. 在右边的面板中,查找并删除以下键值

services = "%Windows%services.exe"

4. 在左边的面板中,查找以下内容

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices

5. 在右边的面板中,查找并删除以下键值

services = "%Windows%services.exe"

6. 在左边的面板中,查找以下内容

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunServices

7. 在右边的面板中,查找并删除以下键值

services = "%Windows%services.exe"

8. 在左边的面板中,查找以下内容

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

9. 在右边的面板中,查找并删除以下键值

services = "%Windows%services.exe"

10. 在左边的面板中,查找以下内容

HKEY_CURRENT_USER>Software>Microsoft>Windows

NT >CurrentVersion>Windows

11. 在右边的面板中,查找并删除以下键值

services = "%Windows%services.exe"

12. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

135) TROJ_VB.BDN

病毒描述：

这个病毒会驻留在内存中,一般通过网上下载文件或由其它病毒生成.而感染病毒

运行后,它会打开根目录,通常是c:\,然后创建一个c:\Recycler目录.它还会创建AUTORUN.INF文件

清除方法：

13. 重启机器进入安全模式

14. 使用Sysclean清除该病毒

136) TSPY_LEGMIR.WE

病毒描述：

这个病毒会驻留在内存中,一般通过网上下载文件或由其它病毒生成.而感染病毒

这个病毒会盗取传奇的游戏帐号及密码,然后通过自带的SMTP将信息发送给远端恶意用户

运行后,它还会终止一些有关防病毒产品的进程.

清除方法：

一,自动清除方法:

直接运行TSC工具,即可将其清除

二,手动清除方法:

15. 重启机器进入安全模式

16. 打开注册表编辑器，

如果是Windows 98 and ME,在左边的面板中,查找以下内容HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run 在右边的面板中,查找并删除以下键值

KernelCheck = "%System%\winmer.exe"

如果是Windows 2000, XP, and Server 2003, 在左边的面板中,查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>policies>Explorer>Run

在右边的面板中,查找并删除以下键值

KernelCheck = "%System%\winmer.exe"

17. 在左边的面板中,查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE

18. 在右边的面板中,查找并删除以下键值

wSkysoft

19. 直接删除病毒文件

VBARUN.DLL

20. 打开以下文件%System%\GroupPolicy\Machine\Scripts\ SCRIPTS.INI.查找是否有%System%\winmer.exe字段,如果有,直接删除该文件

21. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

137) JS_NIMDA.A

病毒描述：

这是一个恶意的JAVA脚本.

32常见病毒及处理方法_常见病毒

清除方法：

使用最新病毒码,即可清除该病毒

138) WORM_DELF.BTC

传播方式：

网络共享，网络映射驱动器

病毒描述：

该病毒通过共享驱动器进入系统。一旦执行后，病毒会在Windows的系统目录中生成一个自身的副本WINCFGS.EXE。

同时，病毒会将注册表项做如下修改：

将

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 的键值

Load = " "

修改为

Load = "%System%\wincfgs.exe"

清除方法：

10. 使用趋势科技防毒软件扫描系统，记录所有被标记为TSPY_LEGMIR.OQ的文件

11. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。如果病毒进程无法终止，则可能需要重新启动进入安全模式。

12. 在注册表编辑器中找到以下主键：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 在右侧面板找到以下键值：

Load = "%System%\wincfgs.exe"

将它修改为：

Load = ""

13. 重新启动计算机，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。

139) WORM_SASSER.U

传播方式：

操作系统漏洞

补丁信息：

Microsoft Security Bulletin MS04-011

病毒描述：

这个病毒会驻留在内存中,并利用Windows LSASS漏洞进行传播.它通过缓存溢出的方式,使用恶意用户获得完全控制感染机器的权限.

这个WORM会发送封包,通过TCP445端口.这个端口是Windwos 2000的Transport Server Message Block(SMB)所使用的.

清除方法：

5. 重新启动计算机，进入安全模式

6. 打开注册表编辑器，在左侧面板找到以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

7. 在右侧窗口中删除以下键值

AVSERVE2.EXE = "%Windows%\avserve2.exe"

AVSERVE.EXE = "%Windows%\avserve.exe"

8. 然后删除其病毒文件

9. 为避免日后重复感染该病毒，请安装微软的系统补丁：

注意：Windows ME/XP 用户在清除病毒前请关闭系统还原功能。

140) WORM_DELF.CWJ

传播方式：

USB

病毒描述：回索引表

执行后,它会在Windows系统目录下,进行自我复制,生成一个WIBCFGS.EXE的文件.它还会生成NOTEPADE.EXE和KB20060111.EXE在Windows目录下

该病毒会在USB的\RECYCLER\RECYCLER下,生成一个AUTORUN.EXE文件，它还会在USB下生成一个AUTORUN.INF文件,为了使当插入USB到计算要时,自动运行AUTORUN.EXE文件

清除方法：

14. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。如果病毒进程无法终止，则可能需要重新启动进入安全模式。

15. 在注册表编辑器中找到以下主键：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 在右侧面板找到以下键值：

Load = "%System%\wincfgs.exe"

将它修改为：

Load = ""

16. 重新启动计算机，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文

件。

141) WORM_SILLFDC.AN

传播方式：

移动设备

病毒描述：回索引表

这个病毒通过硬盘和可移动设备,例如软盘和U盘,一旦感染系统,它会在系统目录下进行自我复制.同样,它还会生成一个NOTEPAD.EXE文件

清除方法：

17. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病

毒进程，可能需要使用第三方工具，例如Process Explorer等。如果病毒进程无法终止，则可能需要重新启动进入安全模式。

18. 在注册表编辑器中找到以下主键：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 在右侧面板找到以下键值：

Load = "%System%\wincfgs.exe"

将它修改为：

Load = ""

19. 同样在在注册表中.查找以下内容

HKEY_CURRENT_USER>Software>Microsoft

在右侧面板找到并删除以下键值：

Notepad

20. 查找并删除KB20060111.EXE文件

21. 重新启动计算机，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。

142) WORM_RANDEX.AI

传播方式：

网络共享

病毒描述：

这个病毒一般是其它恶意程序下载或生成的.它也有可能是用户访问某些网站,手动安装的.执行后，它会显示以下错误信息

它会在Windows系统目录下,进行自我复制,生成一个BOOTINI.EXE的文件. 另外,它会修改相应的注册表,使其不显示系统服务

它通过网络共享进行传播.它会在目录机器的默认共享下,进行自我复制

这个蠕虫还具有后门能力. 它会使用一相随机端口,连接到Internet Relay Chat (IRC) 服务器. 一旦建立连接,它会加入相应的IRC频道,并在这里侦听从远端恶意用户发出的命令

清除方法：

32常见病毒及处理方法_常见病毒

自动清除方法

下载并运行清病毒工具,自动清除该病毒

http://www.trendmicro.com/download/dcs.asp

143) WORM_DELF.DAR

传播方式：

移动磁盘

病毒描述：

执行后，该病毒会在Windows的系统目录下生成以下文件：

? SVOHOST.exe winscok.dll

这些文件被赋予了隐藏和系统的属性，使得它们更难以被发现。同时，该病毒还将自身的副本复制到所有检测到的移动磁盘中，并在移动磁盘根目录下生成一个AUTORUN.INF文件，使得每当用户访问移动磁盘时就会自动运行病毒程序。该病毒会在注册表启动项中加入以下内容，以实现自动运行的功能：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SoundMam = "%system%\SVOHOST.exe"

同时，该病毒还修改注册表以下内容，使得查看文件夹时不显示隐藏文件： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue= "0"

此外，该病毒还会修改以下注册表项，使某些服务被禁用：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice Start = dword:00000004

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Star t= dword:00000004

清除方法：

5. 使用趋势科技防毒软件扫描系统，记录所有被标记为WORM_DELF.CNI的文件，同时删除可以被清除的病毒。

6. 打开注册表编辑器，找到并删除以下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SoundMam = "%system%\SVOHOST.exe"

7. 恢复被修改的注册表内容：

a) 在注册表中找到以下主键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

在右侧面板中找到键值：

CheckedValue = "0"

将其删除,并新建一个DWORD值：

CheckedValue = "1"

b) 在注册表中找到以下主键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice

在右侧面板中找到以下键值：

Start = dword:00000004

将其修改为：

Start = dword:00000002

c) 在注册表中找到以下主键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ wscsvc

在右侧面板中找到以下键值：

Start = dword:00000004

将其修改为：

Start = dword:00000002

8. 查找AUTORUN.INF文件。删除以下内容

[AutoRun]

open = sxs.exe

shellexecute= sxs.exe

shel l\Auto\command=sxs.exe

9. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

144) TROJ_LEGMIR.T

病毒描述：

该木马用于盗窃密码，它会盗窃游戏《传奇》的密码，并将包含密码的资料通过自带的SMTP引擎发送电子邮件到指定的邮箱。

清除方法：

6. 在任务管理器中将所有正在运行的病毒进程INTRENAT.EXE终止。

这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。

7. 打开注册表编辑器，删除以下包含病毒信息的键值：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run Intrenat = "%Windows%\intrenat.exe"

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices

Intrenat = "%Windows%\intrenat.exe"

8. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

145) WORM_NETSKY.AQ

传播方式：

电子邮件

病毒描述：

它会进行自我复制,感染系统后,它会在注册表中创建启动项,以使其能在每次系统启动中,自动运行

这会使用自带的SMTP引擎,将自己做为附件,进行发送

清除方法：

1. 重启机器进入安全模式

2. 进入注册表编辑器,在左边的面板中查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

3. 在右边的面板中,查找并删除以下键值

service = "%Windows%\services.exe -serv"

4. 删除病毒文件.

146) WORM_WAREZOV.EQ

传播方式：

电子邮件

病毒描述：回索引表

这个病毒会将自己作为附件,并使用自带的SMTP引擎,将邮件发送给目标地址运行后,它会生成在Windows目录和系统目录下生成一些文件

它还会在注册表中,创建启动项,使其在系统每次启动时自动运行。

清除方法：

手动清除方法：

编辑注册表

该恶意程序会修改系统的注册表。受该恶意程序影响的用户需要修改或删除特定的注册表键值或项目。有关编辑注册表项目的细节信息，请参考如下微软的文章：

1. 如何恢复和备份windows NT 4.0注册表

2. 如何恢复和备份Windows 2000注册表

3. 如何恢复和备份Windows XP and Server 2003注册表

删除注册表中的自启动键

如果没有发现如下注册表键值，请进行下一步骤。

从注册表中删除自动运行键来阻止恶意程序在启动时执行。

1. 打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter

2. 在左边的面板中，双击:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>

Windows>CurrentVersion>Run

3. 在右边的面板中，找到并删除如下键：

t2serv = "%Windows%\t2serv.exe s"

恢复被修改的注册表键值（Windows XP系统）

1. 仍然在注册表编辑器中，在左面面板中，双击如下项:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>

Windows NT>CurrentVersion>Windows

2. 在右面的面板中找到如下项:

AppInit_DLLs = "qdvtscf.dll e1.dll"

3. 右键单击该键值，选择修改，然后删除该键值.

4. 关闭注册表编辑器.

32常见病毒及处理方法_常见病毒

注意: 注意: 上述解决方案是为了防止QDVTSCF.DLL文件在系统启动后注入其他运行的进程，值得注意的是经过上述修改后QDVTSCF.DLL文件仍然会通过设置AppInit_DLLs为 E1.DLL注入其他进程.)

重命名dll文件

该病毒将病毒文件e1.dll 注入其他运行的进程中，导致安全模式无法删除，请参照如下设置方法删除病毒：

1. 打开记事本。点击开始－运行，键入Notepad然后回车

2. 复制粘贴如下内容:

3. 保存为%System%\WORM_STRATION.BAT.

4. 点击开始运行，键入 %System%\WORM_STRATION.BAT, 然后回车.

（注意：%System%是指Windows系统文件夹，在Windows 98 和ME中通常是 C:\Windows\System或C:\WINNT\System32，在Windows NT和Windows 2000中通常是指C:\WINNT\System32，在Windows XP 和 Server 2003 中通常是指 C:\Windows\System32）

注意：操作如下步骤前请您重启您的电脑

恢复被修改的注册表键值（Windows XP系统）

1. 打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter

2 在左面的面板中双击如下键:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>

Windows NT>CurrentVersion>Windows

3 在右面的面板中双击如下键.

AppInit_DLLs = "E1.DLL"

4 右键单击该键值，选择修改，然后删除该键值.

5. 关闭注册表编辑器.

删除恶意文件以及文件夹

1. 右击开始，点击搜索或寻找，这取决于当前运行的Windows版本。

2. 在名称输入框中，输入T2SERV.WAX

3. 在搜索下拉列表中，选择包含Windows的驱动器，然后按回车。

4. 一旦找到，点击该文件然后选择删除。

5. 重复上述步骤删除如下文件

1. T2SERV.S

2. E1.DLL

147) WORM_STRATIO.BV

传播方式：

电子邮件

病毒描述：

这个病毒会将自己作为附件,并使用自带的SMTP引擎,将邮件发送给目标地址运行后,它会生成在Windows目录和系统目录下生成一些文件

它还会在注册表中,创建启动项,使其在系统每次启动时自动运行。

清除方法：

手动清除方法：

编辑注册表

4. 如何恢复和备份windows NT 4.0注册表

5. 如何恢复和备份Windows 2000注册表

6. 如何恢复和备份Windows XP and Server 2003注册表

删除注册表中的自启动键

如果没有发现如下注册表键值，请进行下一步骤。

从注册表中删除自动运行键来阻止恶意程序在启动时执行。

4. 打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter

5. 在左边的面板中，双击:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>

Windows>CurrentVersion>Run

6. 在右边的面板中，找到并删除如下键：

t2serv = "%Windows%\t2serv.exe s"

恢复被修改的注册表键值（Windows XP系统）

6. 仍然在注册表编辑器中，在左面面板中，双击如下项:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>

Windows NT>CurrentVersion>Windows

7. 在右面的面板中找到如下项:

AppInit_DLLs = "qdvtscf.dll e1.dll"

8. 右键单击该键值，选择修改，然后删除该键值.

9. 关闭注册表编辑器.

重命名dll文件

该病毒将病毒文件e1.dll 注入其他运行的进程中，导致安全模式无法删除，请参照如下设置方法删除病毒：

5. 打开记事本。点击开始－运行，键入Notepad然后回车

6. 复制粘贴如下内容:

7. 保存为%System%\WORM_STRATION.BAT.

8. 点击开始运行，键入 %System%\WORM_STRATION.BAT, 然后回车.

注意：操作如下步骤前请您重启您的电脑

恢复被修改的注册表键值（Windows XP系统）

1. 打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter

2 在左面的面板中双击如下键:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>

Windows NT>CurrentVersion>Windows

3 在右面的面板中双击如下键.

AppInit_DLLs = "E1.DLL"

4 右键单击该键值，选择修改，然后删除该键值.

10.关闭注册表编辑器.

删除恶意文件以及文件夹

6. 右击开始，点击搜索或寻找，这取决于当前运行的Windows版本。

7. 在名称输入框中，输入T2SERV.WAX

8. 在搜索下拉列表中，选择包含Windows的驱动器，然后按回车。

9. 一旦找到，点击该文件然后选择删除。

10.重复上述步骤删除如下文件

1. T2SERV.S

2. E1.DLL

148) PE_LOOKED.HH

病毒描述：

感染病毒后，它会感染所有可执行文件。它会将恶意代码加入这些可执行文件中，当运行这些执行文件时，就会运行恶意代码

清除方法：

1. 重启机器进入安全模式

2. 使用Sysclean清除该病毒

149) PE_LOOKED.CY

病毒描述：回索引表

这个病毒会生成并执行LOGO1_.EXE文件，该文件被趋势检测为

PE_LOOKED.CY-O。

32常见病毒及处理方法_常见病毒

清除方法：

自动清除方法:

直接运行TSC工具，即可将其清除

手动清除方法:

1. 重启机器进入安全模式

2. 使用Sysclean清除该病毒

150) ALS_BURSTED.E

病毒描述：回索引表

这个AutoLSP脚本病毒会感染安装AutoCAD软件的系统。一般通过从

Internet下载文件，并在用户不知情的情况下安装。病毒一旦执行，它就会在AutoCAD当前的目录下，进行自我复制。

它还会在AutoCAD的Support目录下，生成ACADISO.LSP文件。并会在每次启动AutoCAD时，自动执行。

清除方法：

1. 重启机器进入安全模式

2. 使用Sysclean清除该病毒

151) TSPY_QQPASS.AAQ

病毒描述：回索引表

这个病毒会监控并收集用户的信息，它通常在后台运行。许多用户在安装免费软件时，在不注意的情况下，同意End User License Agreement (EULA)，而安装这个Spyware

清除方法：

1. 重启机器进入安全模式

2. 使用Sysclean清除该病毒

152) PE_LOOKED.ID

病毒描述：

这个病毒通常是由其它病毒生成的，或在用户访问恶意网站时，在不知情的情况下下载的。

感染系统后，它会将恶意代码写入所有的.EXE文件。它同样会在每个目录下生成_DESKTOP.INI文件，内容会包含系统感染时间。

这个文件型病毒还会通过网络共享传播。它会在目标IP地址的默认共享下，进行自我复制

清除方法：

1. 重启机器进入安全模式

2. 查找并删除_DESKTOP.INI文件

使用Sysclean清除该病毒

153) WORM_SASSER.DAM

病毒描述：

这是WORM_SASSER病毒一个变种

清除方法：

1. 重启机器进入安全模式

2. 使用Sysclean清除该病毒

回索引表

154) PE_LOOKED.EG

病毒描述：

这个病毒会生成并执行LOGO1_.EXE文件，该文件被趋势检测为

PE_LOOKED.CY-O。

清除方法：

1. 重启机器进入安全模式

2. 使用Sysclean清除该病毒

155) PE_LOOKED系列

病毒描述：

感染病毒后，它会感染所有可执行文件。它会将恶意代码加入这些可执行文件中，当运行这些执行文件时，就会运行恶意代码

清除方法：

1. 重启机器进入安全模式

2. 使用Sysclean清除该病毒

156) WORM_AGENT.FZW

传播方式：

移动磁盘

病毒描述：

这个病毒会通过移动设备传播，它会进行自我复制，并会修改注册表，以使系统每次启动时自动运行。

清除方法：

1. 重启计算机进入安全模式

2. 点开始>运行>输入regedit，进入注册表编辑器。查找以下内容

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Windows

3. 查找以下键值：

AppInit_DLLs = "kernel32.sys"

将其修改为AppInit_DLLs = ""

4. 查找以下内容

HKEY_CLASSES_ROOT>CLSID>{Noted CLSID}

5. 检查是否为以下键值

(Default) = "%Windows%\java\classes\java.dll"

6. 查找以下内容

HKEY_CLASSES_ROOT>CLSID>{Noted CLSID}>InprocServer32

7. 检查是否为以下键值

(Default) = "{病毒文件名及路径}"

8. 如果4-7存在，请删除以下键值

HKEY_CLASSES_ROOT>CLSID>{Noted CLSID}

9. 如果不存在，继续查找，直到找到为止

10. 查找并打开AUTORUN.INI文件

11. 清除以下内容

[autorun]

open = .\RECYCLER\RECYCLER\autorun.exe –o

shell\1=&Open

shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe –o

shellexecute=.\RECYCLER\RECYCLER\autorun.exe -o

12. 查找并删除病毒文件

RECYCLER

157) WORM_DELF.DFB

传播方式：

移动设备回索引表

病毒描述：

这个病毒会生成AUTORUN.INF文件，使它生成自动运行。它会终止感染系统上的一些进程，它还会删除一些注册表内容

一旦感染病毒，它就会检测即时通讯QQ软件是否存在，如果安装，它会记录聊天记录及帐号信息，然后通过自带的SMTP引擎，发送给恶意用户

清除方法：

1. 重启计算机进入安全模式

2. 点开始>运行>输入regedit，进入注册表编辑器。查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

3. 查找并删除以下键值：

SoundMam = "%System%\SVOHOST.exe"

4. 查找以下内容

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>srservice

5. 将Start = "4"修改为Start = "2"

6. 查找并打开AUTORUN.INI文件

7. 清除以下内容

[AutoRun]

open = sxs.exe

shellexecute= sxs.exe

shell\Auto\command=sxs.exe

8. 查找并删除病毒文件

158) TSPY_KEYLOGGE.AI

病毒描述：

这个病毒会收集感染系统上一些信息，例如IP，用户名及键盘活动信息。病毒运行后，它会生成以下文件

32常见病毒及处理方法_常见病毒

Sevenlog.sys被检测为TSPY_AGENT.GKL

sevenlog.txt – 不包含恶意代码，包含收集到的数据

SevenSowrdSvr.exe – 自我复制文件

SysSevenSowrd.exe -自我复制文件

清除方法：

1．打开注册表编辑器。点击开始>运行，输入REGEDIT,然后按回车

2．查找以下内容

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3．查找并删除以下键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4．查找并删除以下内容

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sevenlink

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SevenSword

5．查找并删除以下文件

sevenlog.txt

159) TSPY_QQPASS.AOE

病毒描述：

病毒运行后，它会在Outlook Express文件夹中，生成以下文件

MQQ.DLL - DLL 组件

MYQQBI – 自我复制的文件

然后它会将它的.DLL组件注入到相应的进程中，这个DLL组件同样会被检测为TSPY_QQPASS.AOD.

并会创建以下注册表键值，使其每次系统启动时自动运行

HKEY_CLASSES_ROOT\CLSID\

{25E1EECB-E580-4032-97A2-A456D33820D1}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\ShellExecuteHooks

{25E1EECB-E580-4032-97A2-A456D33820D1} = ""

它会监测用户的上网活动，并会盗取信息，例如用户名和密码，然后通过自带的SMTP引擎，将获得的信息发送给恶意用户

清除方法：

1．打开注册表编辑器。点击开始>运行，输入REGEDIT,然后按回车

2．查找以下内容

HKEY_CLASSES_ROOT>CLSID

3．查找并删除以下键值

{25E1EECB-E580-4032-97A2-A456D33820D1}

4．查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>ShellExecuteHooks

5．查找并删除以下键值

{25E1EECB-E580-4032-97A2-A456D33820D1} = ""

160) HTML_DLOADER.GUR

病毒描述：

这个HTML脚本病毒通常都是由其它病毒生成的，它也可能是因为用户访问特定网站，而感染该病毒。

清除方法：

使用最新病毒码即可将其清除

161) BKDR_HUPIGON.BNV

病毒描述：

该后门程序通常是在访问某些包含恶意代码的网站时被下载到系统中。

病毒运行后，病毒会写入注册表启动项或服务中来确保开机后自动运行，同时该病毒还使用Rootkit技术来隐藏自身的文件和进程。

该后门程序还会在受感染的系统上开启随机的端口，允许远程用户连接并执行恶意命令。

清除方法：

1. 重新启动计算机，进入安全模式

2. 进入注册表编辑器,查找以下内容

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services

在左侧窗口中，找到并删除以下内容：

help

3. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。注意：Windows ME/XP 用户在清除病毒前请关闭系统还原功能。

162) TSPY_QQROB.AQD

病毒描述：回索引表

这个病毒通常都是由其它病毒生成的，感染系统后会驻留在内存中，它也可能是因为用户访问特定网站，而感染该病毒。

病毒一旦运行，它就会在Windows系统目录下进入自我复制，并会生成一个.DLL文件。

它会通过监控用户活动来盗取帐号信息，例如用户名和密码，然后将这些信息发送给远程恶意用户。

清除方法：

1. 重新启动计算机，进入安全模式

2. 进入注册表编辑器,查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 在左侧窗口中，找到并删除以下内容：

{Random} = "%System%\YUDTPL.EXE"

3. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。注意：Windows ME/XP 用户在清除病毒前请关闭系统还原功能。

163) POSSIBLE_INFOSTL

病毒描述：

趋势科技使用新的反病毒技术，根据文件的特征及行为，来判断其为以下病毒类型的变种：

? TSPY_LEGMIR TSPY_LINEAGE TSPY_QQPASS

清除方法：

需要收集样本，并发送给防病毒人员，以确认是否为病毒

164) PE_TUFIK.D

病毒描述：

这个文件型病毒会在EXPLORER.EXE中注入恶意代码。EXPLORER.EXE是一个系统文件，主要负责桌面、开始菜单、任务栏和文件管理器。

病毒运行后，它会使病毒在系统每次启动时，自动运行该病毒

清除方法：

使用最新病毒码即可将其清除

165) HTML_FUJACKS.E

病毒描述：

感染PE_FUJACKS.F-O病毒后，病毒会在感染的文件中，插入一段IFrame代码，使其打开以下网站，然后通过重定向，使感染用户访问另一个病毒站点

趋势会将IFrame检测为HTML_FUJACKS.E病毒

清除方法：

使用最新病毒码即可清除该病毒

166) HTML_FUJACKS.A

病毒描述：

这是一个HTML病毒，它会在HTML文件中注入恶意脚本。使其在执行HTML页面时，自动执行恶意脚本

清除方法：

使用最新病毒码即可清除该病毒

167) HTML_FUJACKS.AL 回索引表病毒描述：

这是一个HTML病毒，它会在HTML文件中注入恶意脚本。使其在执行HTML页面时，自动执行恶意脚本

清除方法：

32常见病毒及处理方法_常见病毒

使用最新病毒码即可清除该病毒

168) HTML_FUJACKS.AN 病毒描述：

感染PE_FUJACKS.F-O病毒后，病毒会在感染的文件中，插入一段IFrame代码，使其打开以下网站，然后通过重定向，使感染用户访问另一个病毒站点趋势会将IFrame检测为HTML_FUJACKS.AN病毒

清除方法：

使用最新病毒码即可清除该病毒

169) TROJ_DELF.CTY

病毒描述：

这个病毒一般通过网上下载文件或由其它病毒生成.而感染病毒

清除方法：

1. 重启机器进入安全模式

2. 进入注册表编辑器，查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows

NT>CurrentVersion>Winlogon

3. 查找以下键值

Shell = "Explorer.exe{spaces}svchost.exe"

4. 修改为以下键值

Shell = "Explorer.exe"

5. 查找并打开AUTORUN.INF文件，删除以下内容

OPEN= C:\pagefile.pif

170) TSPY_VB.CBJ

病毒描述：

这个病毒会监控并收集用户的信息，它通常是在后台运行。用户往往是在安装免费软件时，安装上该程序。

清除方法：

1. 重启机器进入安全模式

2. 使用Sysclean清除该病毒

171) ADW_BAIDU.E 回索引表

病毒描述：

这是一个广告软件，当用户使用浏览器访问网页时，会自动弹出广告。通常是在安装免费软件时，安装上该程序

清除方法：

1. 重启机器进入安全模式

2. 使用Sysclean清除该病毒

172) WORM_VB.BWP

传播方式：

移动磁盘

病毒描述：

这个蠕虫病毒会在感染系统的所有磁盘的根目录下,进行自我复制，它还会在不同文件夹下生成病毒

清除方法：

1. 在任务管理器中，中止病毒进程。

(注:在Windows 98/ME 系统中，用户可能无法看到该进程，此时需要使用第三方软件如Process Explorer等来查看。如果病毒进程无法中止，请重启进入

安全模式)

2. 打开注册表编辑器，在左边找到以下路径：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

3. 在右侧窗口中找到以下键值并删除：

ASocksrv = "SocksA.exe"

4. 查找并打开autorun.inf文件，如果包含以下内容，删除该文件

open=tel.xls.exe

shellexecute=tel.xls.exe

shell\Auto\command=tel.xls.exe

shell=Auto

5. 使用趋势科技防毒软件扫描硬盘，清除病毒文件。

注：Windows ME/XP/2003 用户，请在执行以上步骤前确认关闭系统还原功能。

173) WORM_VB.CVS

病毒描述：

这个蠕虫一般通过网络共享传播，它还会通过电话邮件，即时通讯，和P2P网络传播。

蠕虫不会感染文件，但会生成一些payload，例如信息盗取。

蠕虫通常会修改系统设定，使其自动启动。用户在删除前需要停止病毒进程。清除方法：

使用最新病毒码即可清除该病毒

注：Windows ME/XP/2003 用户，请在执行以上步骤前确认关闭系统还原功能。

174) WORM_FUJACKS.AN 传播方式：

网络共享、移动磁盘

病毒描述：

当访问恶意网站时，在用户不知情的情况下进入系统。它也能通过网络共享传播。

一旦执行，它会在%System%\drivers目录下，生成SPOCLSV.EXE文件。

它会在相应扩展名的文件中插入IFRAME代码。这些文件被趋势检测为HTML_FUJACKS.AN。它会在所有文件夹下生成DESKTOP_.INI文件，以及在所有的物理磁盘和移动磁盘下生成SETUP.EXE文件，并生成AUTORUN.INF文件，使其能在进行磁盘时，自动运行。

它还会终止一些防病毒和安全应用软件。

清除方法：

1. 重新启动计算机，进入安全模式

2. 终止以下进程

SPOCLSV.EXE

3. 进入注册表编辑器，查找以下内容

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

4. 查找并删除以下键值:

Svcshare = "%System%\drivers\SPOCLSV.EXE"

5. 删除病毒文件

6. 查找并打开AUTORUN.INF文件

7. 如果包含以下内容，就直接删除文件

open=setup.exe

shellexecute=setup.exe

shell\Auto\command=setup.exe

8. 查找并删除以下文件

DESKTOP_.INI

注意：Windows ME/XP 用户在清除病毒前请关闭系统还原功能。

175) BKDR_HUPIGON系列回索引表

传播方式：

其他病毒，网络下载

病毒描述：

该病毒通常作为其他病毒的释放文件进入系统，或是从网络下载进入系统。该病毒执行后，会产生以下文件：

? QQServer.dll 被检测为 BKDR_HUPIGON.AGF QQServer.exe 被检测为 BKDR_HUPIGON.AGF QQServer_Hook.dll 被检测为 BKDR_GRAYBIRD.KR QQServerKey.dll 被检测为 BKDR_GRAYBIRD.KR

? 获取系统与注册表信息记录键盘案件

该病毒会生成以下注册表键，将自身注册为一个服务，在每次系统启动时自动执行：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSNServer ImagePath = "%Windows%\QQServer.exe"

该病毒还使用Rootkit技术来隐藏自身进程。

32常见病毒及处理方法_常见病毒

清除方法:

由于正常模式下BKDR_HUPIGON会隐藏自身，因此检测BKDR_HUPIGON的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择―Safe Mode‖或―安全模式‖。

1、由于BKDR_HUPIGON的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开―我的电脑‖，选择菜单―工具‖—>―文件夹选项‖，点击―查看‖，取消―隐藏受保护的操作系统文件‖前的对勾，并在―隐藏文件和文件夹‖项中选择―显示所有文件和文件夹‖，然后点击―确定‖。

2、打开Windows的―搜索文件‖，文件名称输入―_hook.dll‖，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。

3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为explor_Hook.dll的文件（由于存在变种，搜索出的_Hook.dll文件名可能不是explor_Hook.dll，这时将下面步骤中的“explor”字符串更改为搜索到的_Hook.dll文件名的字符串）。

4、如果explor_Hook.DLL是BKDR_HUPIGON的文件，则在操作系统安装目录（Windows目录）下还会有explor.exe和explor.dll文件，同时还有一个用于记录键盘操作的explorKey.dll文件。

经过这几步操作我们基本就可以确定这些文件是BKDR_HUPIGON木马了，下面就可以进行手动清除。另外，如果你发现了趋势产品查不到的BKDR_HUPIGON变种，请将样本加密压缩后发送到Servic邮箱

BKDR_HUPIGON的手工清除

经过上面的分析，清除BKDR_HUPIGON就很容易了。清除BKDR_HUPIGON仍然要在安全模式下操作，主要有两步：1、清除BKDR_HUPIGON的服务；2删除BKDR_HUPIGON程序文件。

注意：为防止误操作，清除前一定要做好备份。

一、清除BKDR_HUPIGON的服务

2000／XP系统：

1、打开注册表编辑器（点击―开始‖－>―运行‖，输入―Regedit.exe‖，确定。），打开

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

2、点击菜单―编辑‖－>―查找‖，―查找目标‖输入―explor.exe‖，点击确定，我们就可以找到BKDR_HUPIGON的服务项（此例为Explor_Server）。

3、删除整个Explor_Server项。

98／me系统：

在9X下，BKDR_HUPIGON启动项只有一个，因此清除更为简单。运行注册表编辑器，打开

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Explor.exe的一项，将Eame.exe项删除即可。

二、删除BKDR_HUPIGON程序文件

删除BKDR_HUPIGON程序文件非常简单，只需要在安全模式下删除Windows目录下的Explor.exe、Explor.dll、Explor_Hook.dll以及Explorkey.dll文件，然后重新启动计算机。至此，BKDR_HUPIGON已经被清除干净。

176) PE_LUDER.CH 回索引表

病毒描述：

这是一个文件型病毒，它是由其母体文件而感染的，然而，它并不包含其母体文件的代码

它会生成一个随机文件，这个文件同样会被检测为TROJ_LUDER系列的病毒

清除方法：

1. 重启机器进入安全模式

2. 使用Sysclean清除该病毒

177) PE_DZAN.A

病毒描述：

这个文件型病毒通常是由其它恶意软件生成的，或从互联网上下载而感染的

感染后,它会在目标系统的host文件中插入代码，它会感染指定类型的文件

清除方法：

重启机器进入安全模式

Windows 98,Windows ME的清除方法

1. 进入注册表编辑器，查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

2. 查找并删除以下键值

ck = "%System%\mmc.exe /autorun"

3. 以下文件已经病毒被删除或覆盖，可以从备份中将其恢复

MMC.EXE

Windows 2000,Windows XP和Server 2003的清除方法

1. 进入注册表编辑器,查找以下内容

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services

2. 查找并删除以下键值

mmc

3. 以下文件已经病毒被删除或覆盖，可以从备份中将其恢复

MMC.EXE

178) PE_VIRUT.A

病毒描述：

该病毒会感染所有运行的进程中的扩展名为.exe和.scr文件。它会检查进程中的文件是否属于可执行的文件，随后将自身代码附加于该进程文件。

另外，这个病毒还具有后门能力。它会开启65520端口，并连接到指定到Internet Relay Chat (IRC)服务器，一旦连接成功，它就允许远程恶意用户在感染系统上下载文件

清除方法：

在安全模式下,运行Sysclean工具即可清除病毒。

179) PE_CEKAR.B

病毒描述：回索引表

一旦运行,它会生成一个_.DE的文件, 它被趋势检测为PE_CEKAR.A-O

清除方法：

使用最新病毒码即可清除该病毒

180) BKDR_HUPIGON.ETG 病毒描述：

该后门程序通常是在访问某些包含恶意代码的网站时被下载到系统中。

病毒运行后，病毒会写入注册表启动项或服务中来确保开机后自动运行，同时该病毒还使用Rootkit技术来隐藏自身的文件和进程。

该后门程序还会在受感染的系统上开启随机的端口，允许远程用户连接并执行恶意命令。

清除方法：

1. 重新启动计算机，进入安全模式

2. 进入注册表编辑器,查找以下内容

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services

在左侧窗口中，找到并删除以下内容：

32常见病毒及处理方法_常见病毒

COMSystemApp

3. 查找并打开autorun.inf文件,如果包含以下内容,就删除该文件

open=RUNAUT~1\autorun.pif

shell\1=′ò?a(&O)

shell\1\Command=RUNAUT~1\autorun.pif

shell\2\=?ˉàà(&B)

shell\2\Command=RUNAUT~1\autorun.pif

shellexecute=RUNAUT~1\autorun.pif

4. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。注意：Windows ME/XP 用户在清除病毒前请关闭系统还原功能。

181) POSSIBLE_Fujak-1 病毒描述：

趋势科技会将具有FUJACKS病毒特征的文件检测为该病毒

清除方法：

需要收集样本，并发送给防病毒人员，以确认是否为病毒

182) WORM_QQPASS.BFP 病毒描述：

这个蠕虫病毒会通过网络共享传播，它还会通过即时通讯和P2P共享传播

它不会感染文件,但会携带一些加载项,例如信息盗取等,病毒会修改配置使其能自动运行，用户需要终止病毒进程，才能将其删除

清除方法：

更新病毒码，并使用趋势科技防毒软件扫描系统，即可清除病毒

183) WORM_DELF.JAG

传播方式：

移动设备

病毒描述：

该病毒主要通过移动设备感染系统，感染后,它会在Windows系统目录下,进行自我复制

清除方法：

1.在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。如果病毒进程无法终止，则可能需要重新启动进入安全模式。

2.在注册表编辑器中找到以下主键：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services

3.在右侧面板找到并删除以下键值：

KSD2Service

4.重新启动计算机，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。

184) TROJ_GENERIC.APC 回索引表病毒描述：

该病毒名称是趋势科技对低威胁等级的木马病毒的通用检测。以此命名的木马病毒通常还没有被正式命名。

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

185) WORM_IRCBOT.ADU 病毒特性：

1.通过MSN传播和IRC传播

2.从网上下载其他病毒文件

3.通过网上下载的病毒实现其他恶意行为

该病毒的主要文件清单及相关功能：

1.主体文件<%system%>msn.exe和libcintles3.dll

2.msn.exe为通过msn和irc发送的文件的拷贝，运行后会把自身复制到<%system%>下面，并释放libcintles3.dll

3.libcintles3.dll插入explorer.exe进程，在explorer.exe下创建进程并利用msn和irc发送msn.exe

解决方法：

1.更新病毒码：

中国区病毒码用户请在线更新到4.624.70以上。

2.病毒清除工具下载地址：

可以在防病毒园地下载,具体位置如下:

快讯—防病毒工具—WORM_IRCBOT.ADU毒专杀工具

另外,也可以直接从Internet下载清除工具

http://support.trendmicro.com.cn/Anti-Virus/DCT/BANDAGE/tsc.zip

186) TROJ_DELF.DVG 回索引表病毒描述：

这个木马可能是绑定在其它恶意软件上, 也可能是用户访问恶意网站时,在不知情的情况下下载该病毒, 它会进行自我复制

感染系统后,它会连接到某个来网站下载恶意文件, 然后再执行这些文件

清除方法：

1. 重启机器进入安全模式

2. 进入注册表编辑器，查找以下内容

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services

3. 查找并删除以下键值

KSD2Service

运行防病毒软件进行全面扫描

187) TSPY_QQDRAGON.BL 病毒描述：

这个病毒会监控并收集用户的信息, 它通常在后台运行, 许多用户都是在安装免费软件时, 不注意的情况下,同意安装该病毒

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

188) Suspicious_File 回索引表病毒描述：

趋势科技使用新的反病毒技术，根据文件的特征及行为，来判断其为疑似病毒

清除方法：

需要收集样本，并发送给防病毒人员，以确认是否为病毒

189) VBS_RUNAUTO.F 病毒描述：

该VB脚本病毒通常是捆绑在恶意软件安装中，或者是用户在不知情的情况下访问恶意网站而感染系统的。

病毒执行后，它会在所有的物理磁盘和移动磁盘下生成以下文件

USBDRIVE.DLL

autorun.vbs <-隐藏属性

<随机名>.vbs

它同样会在为每个.DOC的文件在所有文件夹下生成.VBS文件。它还会生成隐藏的autorun.inf文件

清除方法：

1. 删除以下病毒文件

doc.reg

vbs.reg

autorun.inf

2. 进入注册表编辑器，查找以下内容

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3. 删除以下键值:

USBDRIVE.DLL=%system%\USBDRIVE.DLL

4. 查找以下内容:

HKEY_CLASSES_ROOT\DLLFILE

5. 删除以下键值

ScriptEngine=VBscript

ScriptHostEncode={85131631-480C-11D2-b1F9-00C04F86C324}

6. 查找以下内容

HKEY_CLASSES_ROOT\DLLFILE\Shell\Open

7. 删除以下键值

Command= %system%\wscript.exe %1 %*

8. 查找以下内容

HKEY_CLASSES_ROOT\DLLFILE\ShellEx\PropertySheetHandlers

32常见病毒及处理方法_常见病毒

9. 删除以下键值

WSHProps={60254CA5-953B-11CF-8C96-00AA00B8708C}

10. 查找以下内容

HKEY_CURRENT_USER\Software\Microsoft\Windows Script

Host\Settings

11. 删除以下键值

Timeout=0

12. 查找以下内容

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

13.查找到以下键值

NoDriveTypeAutoRun=0

将其修改为

NoDriveTypeAutoRun=95

14. 查找以下内容

HKEY_LOCAL_MACHINE\SOFTWARE\Mic

rosoft\Windows\CurrentVersion\Policies\Explorer

15. 查找到以下键值

NoDriveTypeAutoRun=0

将其修改为

NoDriveTypeAutoRun=95

16. 查找以下内容

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

17. 查找到以下键值

NoDriveTypeAutoRun=0

将其修改为

NoDriveTypeAutoRun=95

18. 查找以下内容

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Explorer\Advanced

19. 查找到以下键值

ShowSuperHidden=0

HideFileExt=1

Hidden=0

将其修改为

ShowSuperHidden=1

HideFileExt=0

Hidden=1

20. 运行防病毒软件全面扫描病毒

190) PE_RECTIX.A 病毒描述：

这是一个文件型病毒，它会感染可执行文件，它将恶意代码注入到正常的可执行文件中。

文件型病毒还具有一些其它能力，许多病毒会打开一个后门端口，使其允许远程用户在感染系统上执行恶意指令

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

191) HTML_FUBALCA.AP 病毒描述：

这是一个HTML病毒，它会在HTML文件中插入恶意脚本。当打开这些HTML文件时，会自动执行病毒

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

192) BKDR_DELF.GAX 病毒描述：

这个后门病毒通常是在用户浏览恶意网页，或由其它恶意软件生成的它会修改注册表，使其能在每次系统启动时自动运行

它会随机开启一个端口，并等待远程恶意用户的命令。

清除方法：

1. 重启计算机进入安全模式

2. 点开始>运行>输入regedit，进入注册表编辑器。查找以下内容 HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services

3. 查找并删除以下键值

kkdc

4. 查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Image File Execution Options>cmd.exe

5. 查找并删除以下键值

Debugger = "setuprs1.PIF"

6. 查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT> CurrentVersion>Image File Execution Options>msconfig.exe

7. 查找并删除以下键值

Debugger = "8714.PIF"

8. 查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT> CurrentVersion>Image File Execution Options>regedit.exe

9. 查找并删除以下键值

Debugger = "setuprs1.PIF"

10.查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT> CurrentVersion>Image File Execution Options>regedt32.exe

11.查找并删除以下键值

Debugger = "setuprs1.PIF"

运行防病毒软件扫描系统

193) PE_MADANGEL.D 回索引表感染途径：

文件感染

病毒描述：

这是一个文件型病毒，一旦执行，它会在Windows系统文件夹下生成一个SERVERX.EXE的文件

它会搜索根目录下的所有.EXE文件，然后在目标文件中插入恶意代码它会尝试访问特定的网址，去下载一些恶意文件

清除方法：

自动清除方法:

直接运行TSC工具，即可将其清除

手动清除方法:

3. 使用任务管理器，终止病毒进程

4. 进入注册表编辑器，查找以下内容

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

5. 查找并删除以下键值

Serverx = "%System%\serverx.exe"

6. 查找以下内容

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>lanmanserver>Parameters

7. 查找并删除以下键值

AutoShareWks= "dword:00000000"

AutoShareServer= "dword:00000000"

194) WORM_VB.BDN 感染途径：

移动设备

病毒描述：

这个蠕虫一般是由其它病毒生成的，或是用户在访问某些恶意网站而感染的，感染病毒后，它会在根目录下创建一个RECYCLED文件夹，并在其下生成

CTFMON.EXE文件。它还会创建AUTORUN.INF文件，使其能自动运行这个蠕虫病毒。它通过在移动设备上生成没有恶意代码的AUTORUN.INF文件进行传播

清除方法：

使用最新损害清除工具即可清除病毒

32常见病毒及处理方法_常见病毒

注：Windows ME/XP/2003 用户，请在执行以上步骤前确认关闭系统还原功能。

195) WORM_VB.CII 感染途径：

移动设备

病毒描述：

这个蠕虫会在本地磁盘和移动设备的根目录下生成SAL.XLS.EXE文件，它还会创建AUTORUN.INF文件，使其能在用户访问本地或移动磁盘时自动运行

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

196) PE_MUMAWOW.AH 回索引表病毒描述：

这是一个文件型病毒，它会感染可执行文件，它将恶意代码注入到正常的可执行文件中。

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

197) WORM_VB.FXN

病毒描述：

这个蠕虫会在本地磁盘和移动设备的根目录下生成病毒文件，它还会创建AUTORUN.INF文件，使其能在用户访问本地或移动磁盘时自动运行

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

198) HTML_IFRAME.FR 病毒描述：

该病毒会在网页中插入感染IFrame代码，一旦用户访问感染后的网页，就会自动连接到指定的网站，并可能下载恶意文件。

清除方法：

使用最新病毒码即可清除该病毒

199) WORM_VB.CEZ 回索引表

感染途径：

移动设备

病毒描述：

这个蠕虫通常是用户在访问某些恶意网站而感染的，感染病毒后，它会在

Windows和Windows system文件夹下进行自我复制。它会在本地磁盘和移动设备的根目录下生成TEL.XLS.EXE文件，它还会创建AUTORUN.INF文件，使其能在用户访问本地或移动磁盘时自动运行

清除方法：

1. 重启计算机进入安全模式

2. 进入注册表编辑，查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

3. 查找并删除以下键值

ASocksrv= "SocksA.exe"

4. 查找并打开autorun.inf文件，如其包含以下内容，就将其清除

open=tel.xls.exe

shellexecute=tel.xls.exe

shell\Auto\command=tel.xls.exe

shell=Auto

注：Windows ME/XP/2003 用户，请在执行以上步骤前确认关闭系统还原功能。

200) RTL.USB.Immunity 病毒描述：

如果检测到用户没有关闭磁盘的自动播放功能，我们会关闭其自动播放的功能，并在日志中记录为找到RTL.USB.Immunity。一定程度上起到防御U盘病毒的作用

清除方法：

更新损害清除模板

201) RTL.AUTORUN.INF 病毒描述：

清除各个磁盘根目录下autorun.inf,修复双击盘符无法打开的问题，根据

autorun.inf, 反向查杀病毒进程和文件,对未知病毒也有清除效果，一定程度上抑制U盘病毒传播

清除方法：

更新损害清除模板

202) BKDR_HUPIGON.KUJ 回索引表传播方式：

移动设备

病毒描述：

这个后门程序是由其实恶意软件生成的，它也可能是用户访问恶意网站时，在不知情的情况下下载的。感染后，它会创建注册表键值使它能在每次系统启动时自动运行。它还会在每个驱动盘下面生成AUTORUN.INF，使其能自动运行。它会生成一个随机端口，使远程用户连接到感染系统，一旦连接成功建立，远程用户就能在感染系统上执行命令。

清除方法：

1. 重新启动计算机，进入安全模式

2. 打开注册表编辑器，找到以下目录：

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Policies>Explorer>Run

3. 在右侧找到以下键值并删除：

explorer = "%Windows%\winhlep.exe -NetSata"

(Note: %Windows% is the Windows folder, which is usually C:\Windows or C:\WINNT.)

4. 找到以下目录：

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services

5. 在右侧找到以下键值并删除：

WinHlep

6. 查找并打开AUTORUN.INF文件，如果包含以下内容则将其清除

[AutoRun]

open=.\ RECYCLER\ RECYCLER.exe

shell\ 1=?′?2???a(&O)

shell\ 1\ Command=.\ RECYCLER\ RECYCLER.exe

shell\ 2\ =?¤?ˉ?€?€(&B)

shell\ 2\ Command=.\ RECYCLER\ RECYCLER.exe

shellexecute=.\ RECYCLER\ RECYCLER.exe

203) RTL.GenClean.ON 病毒描述：

部署China DCT后，日志中会出现RTL.GenClean.ON的信息，表明用户客户端已经开启了RTL_GENCLEAN.001。RTL.GenClean.ON 是包含在RTL_GENCLEAN.001 中的，它能够自动检查用户客户端并开启通用清除功能，无需用户手动操作

清除方法：

更新损害清除模板

204) VBS_INVADESYS.AN 传播方式：

网络共享、文件感染

病毒描述：

该VB脚本病毒是由其它恶意软件生成的，它可以通过网络共享传播，也可以捆绑在恶意软件安装包中作为恶意组件

32常见病毒及处理方法_常见病毒

病毒执行后，它会在在所有的物理磁盘和移动磁盘下生成AUTORUN.INF文件

清除方法：

1.点击开始－运行，输入command /c copy %WinDir%\regedit.exe regedit.com | regedit.com，按确定

2. 查找以下内容

HKEY_CLASSES_ROOT>exefile>shell>open>command

3. 查找以下键值

Default

4. 检查它的值是否是恶意文件的路径

5. 如果是，修改其值为

"%1" %*

6. 在以下键值中，重复以上内容

HKEY_CLASSES_ROOT>hlpfile>shell>open>command

HKEY_CLASSES_ROOT>regfile>shell>open>command

HKEY_CLASSES_ROOT>txtfile>shell>open>command

7. 点击开始－运行，输入command /c del regedit.com,按确定

8. 查找以下内容

HKEY_CURRENT_USER>Software>Microsoft>Windows

NT>CurrentVersion>Windows

9. 查找以下键值

load = "%System%\{UserName}.vbs"

将其修改为空

10. 查找以下内容

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion> Explorer>Advanced

11. 查找以下键值

ShowSuperHidden = "0"

将其修改为1

12. 查找以下内容

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion> Policies>Explorer

13.查找以下键值

NoDriveTypeAutoRun = "81"

将其修改为

"91"

14. 查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Advanced>Folder>Hidden>SHOWALL

15. 查找到以下键值

CheckedValue = "0"

将其修改为

"1"

16. 查找以下内容，如发现就将其删除

%System%\{User Name}.ini

17. 查找并打开AUTORUN.INF文件，如包含以下内容，就将其清除

[AutoRun]

Shellexecute=WScript.exe {User Name}.vbs "AutoRun"

shell\AutoRun=′ò?a(&O)

shell\AutoRun\command=WScript.exe {User Name}.vbs "AutoRun" shell\AutoRun1=×ê?′1üàí?÷(&X)

shell\AutoRun1\command=WScript.exe {User Name}.vbs "AutoRun"

18. 如发现就将其删除运行防病毒软件全面扫描病毒

205) WORM_DRONZHO.A 传播方式：

移动设备

病毒描述：

这个蠕虫通常捆绑在其它恶意包中，它同样也可能是用户在访问某些恶意网站而感染的。感染病毒后，它会创建一个文件，并将其注入到正在运行的进程中，以盗取信息。它会在所有的移动磁盘下进行自我复制，它还有生成相应的文件，使其能在访问磁盘时自动运行

清除方法：

1. 使用任务管理器，停止相应的病毒进程

2. 点击开始――运行――输入Command，进入命令行

3. 运行以下命令

Copy %System%\dllcache\c_20218.nls % System%\calc.exe

4. 运行以下命令

5. 运行以下命令

Copy %System%\dllcache\c_20911.nls %System%\userinit.exe

6. 点击开始――查找

7. 输入以下名称

%Current %\1.dat

8. 定位到该文件后，将其删除

9. 重复布骤 6-8 ,将以下文件删除

%Current%\11.dat

%System%\dllcache\c_20218.nls

%System%\dllcache\c_20601.nls

%System%\dllcache\c_20911.nls

10.查找并打开AUTORUN.INF文件，如包含以下内容，就将其清除

[AutoRun]

open="...\help.exe o_disk"

shell\open=?′?2???a(&O)

shell\open\Command="...\help.exe o_disk"

shell\open\Default=1

shell\explore=?—???”?′?1???€?-????(&X)

shell\explore\Command="...\help.exe o_disk"

shellexecute="...\help.exe o_disk"

shell\Auto\command="...\help.exe o_disk"

206) POSSIBLE_AUTORUN 病毒描述：

趋势科技会将autorun.inf文件检测为POSSIBLE_AUTORUN,一定程度上抑制U盘病毒传播

清除方法：

更新最新病毒码

207) VBS_AGENT.EJK 病毒描述：

这个脚本通常写在另一个应用程序中，通常是使用Visual Basic Script, JavaScript和HTML语句编写

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

208) HTML_IFRAME.FR 病毒描述：

该病毒会在网页中插入感染IFrame代码，一旦用户访问感染后的网页，就会自动连接到指定的网站，并可能下载恶意文件。

清除方法：

使用最新病毒码即可清除该病毒

209) WORM_VB.CQA

病毒描述：

这个蠕虫一般是由其它病毒生成的，或是用户在访问某些恶意网站而感染的，感染病毒后，它会在Windows系统目录进行自我复制。它还会创建AUTORUN.INF文件，使其能自动运行这个蠕虫病毒。它通过在移动设备上生成没有恶意代码的AUTORUN.INF文件进行传播

清除方法：

1、打开任务管理器，停止以下进程

Lcass.exe

2、进入注册表编辑器，查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows> CurrentVersion>Run

3、查找并删除以下键值

Lcass = "%System%\Lcass.exe"

4、

5、查找并打开autorun.inf文件，如包含以下内容，就将其清除

[autorun]

open = .\RECYCLER\Lcass.exe

shell\1 = ??

shell\1\Command = .\RECYCLER\Lcass.exe

shell\2 = ??

shell\2\Command = .\RECYCLER\Lcass.exe

32常见病毒及处理方法_常见病毒

shellexecute = .\RECYCLER\Lcass.exe

210) TSPY_ONLINEG.OPQ 病毒描述：

这个间谍软件是由其它恶意软件生成的，它会盗取一些热门的网络游戏的帐号信息

清除方法：

1. 重启机器进入安全模式

2. 删除病毒文件

重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

211) WORM_SILLY.DD 病毒描述：

该病毒是由其它恶意软件生成，也可以是用户在不知情的情况下，访问恶意网页而感染的。

该病毒执行后，会在系统目录下生成%system%\Lcass.exe文件。同时该病毒还在注册表中添加启动信息，确保其开机后自动运行。

清除方法：

1. 在任务管理器中将所有正在运行的病毒进程终止。这一步中如果无法找到病毒进程，可能需要使用第三方工具，例如Process Explorer等。

2. 打开注册表编辑器，找到并删除以下主键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PnP plug 0n Service

ImagePath = "C:\WINDOWS\System32\Lcass.exe"

3. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，清除所有病毒文件。

212) VBS_AGENT.DMU 病毒描述：

这个脚本通常写在另一个应用程序中。恶意软件的制作者利用相关生产脚本的弱点，通常是使用Visual Basic Script, JavaScript和HTML语句编写的。

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

213) VBS_RUNAUTO.M

病毒描述：

这个脚本通常写在另一个应用程序中。恶意软件的制作者利用相关生产脚本的弱点，通常是使用Visual Basic Script, JavaScript和HTML语句编写的。

清除方法：

1. 打开注册表编辑器

Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.

2. 查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows> CurrentVersion>policies>explorer>run

3. 查找并删除以下键值

WINXP = ".vbe"

4. 查找以下内容

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced

5. 查找以下键值

ShowSuperHidden = "0"

6. 将其值修改为1

7. 查找并删除AUTORUN.INF文件

8. 运行防病毒软件全面扫描病毒

214) HTML_IFRAME.AV 回索引表

病毒描述：

该病毒会在网页中插入感染IFrame代码，一旦用户访问感染后的网页，就会自动连接到指定的网站，并可能下载恶意文件。

清除方法：

使用最新病毒码即可清除该病毒

215) HTML_AGENT.AFBL

病毒描述：

这个恶意的HTML文件通常是通过插入恶意脚本代码的方式，嵌入到相关的网页中。一旦不知情的用户访问该网页，这个恶意脚本就会自动连接到指定的网站，并可能下载恶意文件。

清除方法：

使用最新病毒码即可清除该病毒

216) POSSIBLE_MLWR-5

病毒描述：

趋势科技使用新的反病毒技术，根据文件的特征及行为，来判断其为

PE_LOOKED病毒类型的变种。它同样还会判断其它的间谍软件，例如TSPY_FRETHOG病毒类型的变种

清除方法：

需要收集样本，并发送给防病毒人员，以确认是否为病毒

217) TSPY_GAMEOL.AS

病毒描述：

这个间谍软件会监听并收集用户的信息，它通常在后台运行，对于多数用户来说，它的活动是透明的。许多用户是在安装一些免费软件时，不注意的情况下而同意安装该间谍软件的。

清除方法：

使用最新病毒码即可清除病毒

218) JS_IFRAME.AA

病毒描述：

该病毒会在网页中插入感染IFrame代码，一旦用户访问感染后的网页，就会自动连接到指定的网站，并可能下载恶意文件。

清除方法：

使用最新病毒码即可清除该病毒

219) HTML_SILLY.CQ 回索引表病毒描述：

这个病毒是由WORM_SILLY.CQ生成的，它会在网页上插入IFRAME代码，使用户访问网页时，自动连接到恶意网站

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

220) PE_REULJ.A 回索引表病毒描述：

这是一个文件型病毒，它会感染可执行文件，它将恶意代码注入到正常的可执行文件中。

文件型病毒还具有一些其它能力，许多病毒会打开一个后门端口，使其允许远程用户在感染系统上执行恶意指令

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

221) TROJ_AGENT.ACSO 病毒描述：

这个木马是在用户不知的情况下访问恶意网站而感染的。它也有可能作为.Dll文件被其它病毒而使用。

清除方法：

32常见病毒及处理方法_常见病毒

１．进入注册表编辑器查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE

２．查找并删除以下键值

wanglian

３．运行防病毒软件，删除病毒文件

222) VBS_RUNAUTO.AOK 病毒描述：

该VB脚本病毒通常是捆绑在其它应用程序中，恶意软件的制作者利用相关生产脚本的弱点，通常是使用Visual Basic Script, JavaScript和HTML语句编写的。

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

223) POSSIBLE_OLGM-11 回索引表病毒描述：

趋势科技使用新的反病毒技术，根据文件的特征及行为，来判断其为以下病毒类型的变种：

TSPY_ONLINEG

清除方法：

需要收集样本，并发送给防病毒人员，以确认是否为病毒

224) PE_MUMAWOW.AS 病毒描述：

它可能是用户在不知情的情况下访问恶意网页而感染的，感染后，它会连接相应的网站下载文件，包括TROJ_DLOADER.UEQ，然后使用相应的文件保存下载的文件，并执行该文件。

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

225) PE_CORELINK.A 病毒描述：

病毒执行后，这个病毒会生成一个.DLL文件，这个文件被趋势科技检测为PE_CORELINK.A-O。该DLL文件会注入到正常的进程文件EXPLORER.EXE中，并驻留在内容

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

226) PE_PARITE.A-0

病毒描述：

这个病毒会感染EXPLORER.EXE，以获得驻留内存的能力，一旦驻留成功，它会感染系统中所有的.EXE和.SCR的文件，它会在目标文件中插入一段恶意代码。清除方法：

1. 重新启动计算机，进入安全模式

2. 打开注册表编辑器，在左侧面板找到并删除以下主键：

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer 在右侧窗口中删除以下键值：

PINF

3. 使用Sysclean扫描系统，清除所有病毒文件

重新启动进入正常模式，再次扫描系统，检查病毒是否被完全清除。

227) TSPY_ONLINEG.FGF 病毒描述：

这个间谍软件可能是绑定在其它恶意软件包中，作为恶意软件的一个组件，也可能是用户在不知情的情况下，访问恶意网站时感染的，这也有可能是通过其它恶意软件生成的。

这个间谍软件会盗取用户帐户信息，例如一些流行的网络游戏的用户名和密码，它会记录敲击键盘的情况，然后将获得的信息通过自带的SMTP，发送给指定的邮箱。

清除方法：

1. 重启机器进入安全模式

2. 删除病毒文件

3. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

228) PE_ERTH.A 病毒描述：

这是一个文件型病毒，会感染可执行文件。它会将恶意代码驻入到可执行文件中，

为了使被感染的文件打开时，自动执行恶意代码。

文件型病毒可能还具有其它能力，许多病毒会打开后门的端口，来允许远端恶意用户来控制感染的系统

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

229) HTML_IFRAME.GG 病毒描述：

这个恶意的HTML可能被挂在网站上的，当用户访问该网站时就会感染病毒。清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

230) VBS_AUTORUN.APX 病毒描述：

VBS脚本病毒，具有自动加载功能，能够通过脚本加载其它恶意代码，使其它病毒文件在本机激活。

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

231) BKDR_HUPIGON.IOX 病毒描述：

该后门程序会在受感染的系统上开启随机的端口，侦听来自远程系统的连接，允许远程用户连接并执行恶意命令。

清除方法：

1. 重启机器进入安全模式

2. 删除病毒文件

3. 重新启动系统，并再次使用趋势科技防毒软件扫描系统，删除所有被标记为病毒的文件。

232) TROJ_PAGIPEF.AA 病毒描述：

这是一个木马病毒，这类病毒不会自动传播到其它系统。木马通常会携带加载器或其它恶意行为，它可能修改系统配置使其自动运行。

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

233) WORM_OTURUN.B-CN 回索引表病毒描述：

这是China Pattern增加的一个通用检测名，趋势会将具有系统启动时自动运行特征的病毒，检测为该病毒名

清除方法：

32常见病毒及处理方法_常见病毒

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

234) Mal_Otorun5 病毒描述：

这是一个疑似病毒，趋势科技将病毒特征与WORM_AUTORUN类似病毒，归为这一病毒。

清除方法：

更新病毒码至最新能够自动清除，可对病毒判定有疑问，需收集并提交样本，以作分析。

235) WORM_DRONZHO.A 回索引表病毒描述：

这个蠕虫病毒可能是绑定在其它恶意软件包中，作为恶意软件的一个组件，也可能是用户在不知情的情况下，访问恶意网站时感染的，这也有可能是通过其它恶意软件生成的。

它同样会创建一个病毒文件，并将其插入正在运行的进程，以盗取信息。它会侦测并记录用户的键盘敲击情况，并通过自带的SMTP，发送到指定的邮箱。

清除方法：

更新最新损害清除模板即可自动清除病毒

236) POSSIBLE_DLDER 回索引表病毒描述：

趋势科技使用新的反病毒技术，根据文件的特征及行为，来判断其为以下病毒类型的变种：

? TROJ_DLOAD

? TROJ_DLOADER

? TROJ_DLDR

? TROJ_SMALL

? TROJ_AGENT

清除方法：

需要收集样本，并发送给防病毒人员，以确认是否为病毒

237) Mal.Otorun1 回索引表病毒描述：

趋势科技会将autorun.inf文件检测为POSSIBLE_AUTORUN,一定程度上抑制U盘病毒传播

清除方法：

使用最新扫描引擎即可清除

238) Mal.Otorun2 病毒描述：

趋势科技会将autorun.inf文件检测为POSSIBLE_AUTORUN,一定程度上抑制U盘病毒传播

清除方法：

使用最新扫描引擎即可清除

239) Mal_HIFRM 病毒描述：

这是一个疑似病毒，趋势科技将病毒特征与HTML_IFRAME类似病毒，归为这一病毒。

清除方法：

更新病毒码至最新能够自动清除，可对病毒判定有疑问，需收集并提交样本，以作分析。

240) BAT_AGENT.ASBZ 病毒描述：

这是一个脚本病毒，它通常会插入在其它应用程序中。

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

241) HTML_IFRAME.QT 病毒描述：

该病毒会在网页中插入感染IFrame代码，一旦用户访问感染后的网页，就会自动连接到指定的网站，并可能下载恶意文件。

清除方法：

使用最新病毒码即可清除该病毒

242) WORM_ECODE.B-CN 回索引表病毒描述：

这是一个疑似病毒，趋势科技会将使用E语言编写的、具有蠕虫病毒特征归为这一病毒。

清除方法：

更新病毒码至最新能够自动清除，可对病毒判定有疑问，需收集并提交样本，以作分析。

243) VBS_INVADESYS.AN 回索引表传播方式：

网络共享、文件感染

病毒描述：

该VB脚本病毒是由其它恶意软件生成的，它可以通过网络共享传播，也可以捆绑在恶意软件安装包中作为恶意组件。病毒执行后，它会在在所有的物理磁盘和移动磁盘下生成AUTORUN.INF文件

清除方法：

1.点击开始－运行，输入command /c copy %WinDir%\regedit.exe regedit.com | regedit.com，按确定

2. 查找以下内容

HKEY_CLASSES_ROOT>exefile>shell>open>command

3. 查找以下键值

Default

4. 检查它的值是否是恶意文件的路径

5. 如果是，修改其值为

"%1" %*

6. 在以下键值中，重复以上内容

HKEY_CLASSES_ROOT>hlpfile>shell>open>command

HKEY_CLASSES_ROOT>regfile>shell>open>command

HKEY_CLASSES_ROOT>txtfile>shell>open>command

7. 点击开始－运行，输入command /c del regedit.com,按确定

8. 查找以下内容

HKEY_CURRENT_USER>Software>Microsoft>Windows

NT>CurrentVersion>Windows

9. 查找以下键值

load = "%System%\{UserName}.vbs"

将其修改为空

10. 查找以下内容

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion> Explorer>Advanced

11. 查找以下键值

ShowSuperHidden = "0"

将其修改为1

12. 查找以下内容

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion> Policies>Explorer

13.查找以下键值

NoDriveTypeAutoRun = "81"

将其修改为

"91"

14. 查找以下内容

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Advanced>Folder>Hidden>SHOWALL

15. 查找到以下键值

CheckedValue = "0"

将其修改为

"1"

16. 查找以下内容，如发现就将其删除

%System%\{User Name}.ini

17. 查找并打开AUTORUN.INF文件，如包含以下内容，就将其清除

[AutoRun]

Shellexecute=WScript.exe {User Name}.vbs "AutoRun"

shell\AutoRun=′ò?a(&O)

shell\AutoRun\command=WScript.exe {User Name}.vbs "AutoRun" shell\AutoRun1=×ê?′1üàí?÷(&X)

shell\AutoRun1\command=WScript.exe {User Name}.vbs "AutoRun"

18. 如发现就将其删除运行防病毒软件全面扫描病毒

244) HTML_IFRAME.QP 回索引表病毒描述：

该病毒会在网页中插入感染IFrame代码，一旦用户访问感染后的网页，就会自动连接到指定的网站，并可能下载恶意文件。

清除方法：

使用最新病毒码即可清除该病毒

245) HTML_HIFRM.A-CN 病毒描述：

趋势科技会将具有ifram恶意特征的文件检测为HTML_HIFRM.A-CN

清除方法：

使用最新病毒码即可清除

246) HTML_IFRAME.ARQ 病毒描述：

该病毒会在网页中插入感染IFrame代码，一旦用户访问感染后的网页，就会自动连接到指定的网站，并可能下载恶意文件。

清除方法：

使用最新病毒码即可清除该病毒

247) WORM_DOWNAD.AD 回索引表病毒描述：

这个蠕虫病毒主要是利用MS08-067漏洞传播和网络传播，它会使用暴力破解，当破解掉弱密码的设备后，该病毒会在这台机器上创建计划任务，同时会将自身拷贝至admin$\System32目录。此外，它还会拷贝自身到所有可用的可移动磁盘和网络驱动器中，并且写入aoturun.inf以达到双击磁盘就自动运行病毒的目的。

清除方法：

1、安装MS08-067补丁

2、管理员帐户采用复杂强密码

3、更新扫描引擎8.913.1006

4、更新最新的病毒码和损害清除模板

5、对于病毒日志中显示无法隔离、无法删除或者反复提示隔离成功的病毒文

件请尝试使用闪电杀毒手做清除操作

248) Mal_QHOST 病毒描述：

这是一个疑似病毒，趋势科技将病毒特征与BAT_QHOST类似病毒，归为这一病毒。

32常见病毒及处理方法_常见病毒

清除方法：

更新病毒码至最新能够自动清除，可对病毒判定有疑问，需收集并提交样本，以作分析。

249) PE_CORELINK.C 病毒描述：

病毒执行后，这个病毒会生成一个.DLL文件，这个文件被趋势科技检测为

PE_CORELINK.C-O。该DLL文件会注入到正常的进程文件EXPLORER.EXE中，并驻留在内容

清除方法：

确认病毒码和扫描引擎已经升级至最新，然后使用趋势科技防毒软件扫描系统，检查是否能够清除或隔离/删除此病毒。

如果病毒无法清除/隔离/删除，请重新启动计算机，进入安全模式，然后再次删除病毒文件。

如果病毒删除后再次出现，或以上操作无效，则请将病毒样本发送至趋势科技进行分析。

250) TROJ_AGENT.ANLB 回索引表病毒描述：

这个木马是在用户不知的情况下访问恶意网站而感染的。它也有可能作为.Dll文件被其它病毒而使用。

清除方法：

使用最新病毒码即可将其清除

251) TROJ_DLOADER.VLD 回索引表病毒描述：

该病毒是个木马程序，但是不会感染其他的系统。一些用户会经常不知不觉从Internet上下载一些木马程序并安装在自己的机器上。

木马程序通常会带来毁坏或其他有害的行动，轻则只是骚扰重则不可修复。他们也可能修改系统导致重起。

采取措施：

确保病毒码和扫描引擎为最新。趋势科技防毒软件可清除并删除大多数类型的病毒。而对于特定类型的病毒如：特洛伊木马型病毒、JavaScript/VBScript病毒、玩笑程序等被判定为不易清除的病毒等，都可以轻易侦测并删除

252) Possible_DownadJ 病毒描述：

该病毒名称已经被重新定义为MAL_DOWNADJ，这是一个疑似病毒，趋势科技将病毒特征与TROJ_DOWNADJOB类似病毒，归为这一病毒。

清除方法：

更新病毒码至最新版本，如对检测到的文件有疑问，需收集并提交样本，以作分析。

253) Mal_Otorun2 病毒描述：

这是一个疑似病毒，趋势科技将病毒特征与WORM_AUTORUN类似病毒，归为这一病毒。

被检测到的文件一般拷贝自身到所有可用的可移动磁盘和网络驱动器中，并且写入aoturun.inf以达到双击磁盘就自动运行病毒的目的。

清除方法：

更新病毒码至最新版本，如对检测到的文件有疑问，需收集并提交样本，以作分析。

254) TROJ_DROPPER.ECQ 传播方式：

网络共享，移动设备

病毒描述：

该病毒运行时，会释放自身的拷贝到以下系统目录下：

%System%\config\Win.exe

%System%\WinSit.exe

%Windows%\Help\Other.exe

%Windows%\inf\Other.exe

%Windows%\dc.exe

%Windows%\SVIQ.EXE

%Windows%\system\Fun.exe

除了释放上述的病毒文件之外，还会创建以下的注册表键值以便Windows一启动

该病毒就自动运行：

HKEY_CURRENT_USER\Software\Microsoft\

Windows NT\CurrentVersion\Windows

run = "%System%\config\Win.exe"

HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Run

dc = "%Windows%\dc.exe"

HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Run

dc2k5 = "%Windows%\SVIQ.EXE"

HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Run

Fun = "%Windows%\system\Fun.exe"

HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Run

imscmig = "%Windows%\imscmig.exe"

并且还会修改如下的注册表键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows NT\CurrentVersion\Winlogon

Shell = "Explorer.exe %System%\WinSit.exe"

HKEY_CURRENT_USER\Software\Microsoft\

Windows NT\CurrentVersion\Windows

load = "%Windows%\inf\Other.exe"

默认的键值为Shell = Explorer.exe 和load =" "

清除方法：

1：删除注册表键值

In HKEY_CURRENT_USER\Software\Microsoft\

Windows NT\CurrentVersion\Windows

run = "%system%\config\Win.exe"

In HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Run

dc = "%Windows%\dc.exe"

dc2k5 = "%Windows%\SVIQ.EXE"

Fun = "%Windows%\system\Fun.exe"

imscmig = "%Windows%\imscmig.exe"

2：恢复被修改的注册表键值

In HKEY_CURRENT_USER\Software\Microsoft\

Windows NT\CurrentVersion\Windows

From: load = "%Windows%\inf\Other.exe"

To: load = "" ""

3：删除下列文件

%System%\config\Win.exe

%System%\WinSit.exe

%Windows%\Help\Other.exe

%Windows%\inf\Other.exe

%Windows%\dc.exe

%Windows%\SVIQ.EXE

%Windows%\system\Fun.exe

注意：有时上述文件会被隐藏，所以请启用“显示所有文件和文件夹”设置 4：使用趋势杀毒软件进行全盘扫描来删除被检测为TROJ_DROPPER.ECQ 的文件

255) BKDR_SENSODE.E

传播方式：

网络

病毒描述：

该后门程序被其他恶意程序所释放。当用户访问某个恶意网站，该后门程序就可能不知不觉的下载到本地。

病毒运行后，它会连接到远程主机并且监听远程用户所发布的命令，一旦连接成功后，远程用户能够执行以下操作：

1．下载/执行文件

2．获取系统信息

3．中断/结束进程

4．关闭/重启系统

该后门程序能够运行在Windows 98、ME、 NT、2000、XP、and Server 2003等系统上。

清除方法：

更新最新版本的病毒码和扫描引擎，然后使用趋势防病毒产品扫描系统来删除被检测为BKDR_SENSODE.E的文件

备注：对于WinME/XP的计算机，请关闭所有磁盘的系统还原功能。

256) BKDR_BIFROSE.COT

传播方式：

网络

病毒描述：

当用户访问某个恶意网站，该后门程序就可能不知不觉的被下载到本地。

该后门程序是一个用来构建Bifrost服务端组件的一个工具，这个恶意程序的输

出文件被检测为BKDR_BIFROSE.AQR。

该后门程序能够运行在Windows 98、ME、 NT、2000、XP、and Server 2003等系统上。

清除方法：

更新最新版本的病毒码和扫描引擎，然后使用趋势防病毒产品扫描系统来删除被检测为BKDR_BIFROSE.COT的文件

备注：对于WinME/XP的计算机，请关闭所有磁盘的系统还原功能。

257) BKDR_SINGU.O 病毒描述：

该后门程序执行后，会释放以下恶意文件

%Windows%\WINT.EXE – 该后门程序的一个拷贝

%System%\FINDRIV.DLL –该后门程序记录键盘记录的一个组件.

这个后门程序同时会在注册表中创建以下键值以保证它在每次系统重启时自动运行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run

qq = "%Windows%\wint.exe"

当该后门程序执行后可以完成以下动作：关闭受感染的系统、获取受感染系统的驱动程序列表、获取受感染的系统的文件和文件夹、从受感染的系统中下载文件、上传文件到受感染的系统、搜索文件、打开文件、删除文件或文件夹、创建一个文件夹、重命名文件或文件夹、获取所有正在运行的进程、中止进程、获得密码如BIOS密码，屏幕保护程序的密码，电子邮件密码、获得系统信息、发起Telnet连接、视频监控（摄像头），然后它创建系统目录%System%\VXDRIVER，并在该目录下创建包含系统信息. vxd文件。

清除方法：

1:更新最新版本的病毒码，然后对染毒设备进行全盘扫描，记录所有被检测为BKDR_SINGU.O的文件

2:重启电脑进入安全模式

32常见病毒及处理方法_常见病毒

3:删除以下注册表键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run

qq = "%Windows%\wint.exe"

4:删除%System%\VXDRIVER目录下的所有文件

5:重启电脑再次进行全盘扫描删除所有被检测为BKDR_SINGU.O的文件。

258) BKDR_CONSTRUC.M 病毒描述：

该后门程序通常是在访问某些包含恶意代码的网站时被下载到系统中，病毒运行后，病毒会写入注册表启动项或服务中来确保开机后自动运行

清除方法：

更新病毒码和扫描引擎至最新版本。

259) Mal_DownadJ

病毒描述：

这个病毒主要是利用MS08-067漏洞传播和网络传播，它会使用暴力

破解，当破解掉弱密码的设备后，该病毒会在这台机器上创建计划任务，同时会将自身拷贝至admin$\System32目录。此外，它还会拷贝自身到所有可用的可移动磁盘和网络驱动器中，并且写入aoturun.inf以达到双击磁盘就自动运行病毒的目的。

采取措施：

1、对上述客户机需要安装微软MS08-067系统安全补丁程序，安装

完毕后重新启动设备；

2、关闭无用的网络共享文件夹；

3、关闭不需要的帐号，并修改为复杂密码，密码需要包括大小写字

母、符号、数字；

4、确认防病毒软件的病毒码更新至5.928.60以上；

5、确认设备上是否使用了NTFS磁盘格式中的文件夹加密功能

6、如果有使用该功能，则使用Collect工具进行搜索文件样本。如

果没有使用，则执行以下操作。工具获取地址：防病毒园地—快讯—防病毒工具—“WORM_DOWNAD样本收集工具”；

7、请将扫描引擎文件解压：引擎文件获取地址：防病毒园地—快讯

—问题集锦—“关于WORM_DOWNAD病毒的清除方法”

8、手动停止防病毒软件服务，并将解压后的文件复制到防病毒软件

安装目录，覆盖原有文件；

9、最后启动防病毒软件服务，并扫描系统盘；

10、如病毒文件无法删除，则使用闪电杀毒手进行清理。

11、闪电杀毒手获取地址：防病毒园地—快讯—防病毒工具—“趋

势科技闪电杀毒手--清除双失败病毒和重复报病毒问题”。

260) RTL_GENCLEAN.001

病毒描述：

对病毒的通用清除结果，其病毒清除码包含在China DCT中，能够

清除大部分无法清除、无法隔离的病毒。

触发条件：

1. DCE 版本5.0以上

2. 部署China DCT后日志中出现RTL.GenClean.ON

3. 使用实时扫描或手动扫描

4. 出现“无法清除、无法隔离”的病毒

261) PE_HUNK.CAR

病毒描述：

该病毒的主要特征为将恶意代码加载到系统文件explorer.exe中，然后尝试感染系统中的其它.exe可执行程序。

清除方法：

更新最新病毒码

262) HTML_IFRAME.SMA

病毒描述：

趋势科技会将具有ifram恶意特征的文件检测为HTML_IFRAME.SMA

清除方法：：

使用最新病毒码即可清除

263) WORM_NEERIS.A 回索引表传播方式：

MS08-067漏洞，移动设备，网络

病毒描述：

感染该病毒后会自动连接到恶意网站下载恶意文件以及打开随即端口连接到远程服务器，由远程服务器在受感染的系统上执行恶意指令。

采取措施：

1. 先清除由WORM_NEERIS.A病毒下载及生成的病毒

HKTL_TCPAGENT

TROJ_DLOADER.YXA

2. 使用防病毒软件检测病毒，并在安全模式下删除相关病毒

3. 删除注册表键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

{registry name} = {malware path and file name}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List {malware path and file name} = "{malware path and file name}:*:Enabled:{file name}"

4. 删除注册表键

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal {key}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network {key}

5. 对上述客户机需要安装微软MS08-067系统安全补丁程序，安装完毕后重新

启动设备

264) PE_FUNTIK.A 传播方式：

移动设备，网络

病毒描述：

该病毒主要通过移动设备传播，通过其它病毒释放恶意程序，或是用户访问某些包含此病毒的网站时感染系统。

该病毒运行后，会向本机扩展名为.exe类型的文件中加入恶意代码，从而达到快速传播、反复感染的目的。

采取措施：

1. 识别和终止被检测为PE_FUNTIK.A的进程

2. 删除以下注册表键值

In HKEY_CURRENT_USER\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run

imscmig = "%Windows%\imscmig.exe"

3. 删除如下文件

%Windows%\_mscmig.exe

%Windows%\imscmig.exe

4. 再次进行全盘扫描删除所有被检测为PE_FUNTIK.A的文件。

265) WORM_VB.MAB 回索引表传播方式：

移动设备

病毒描述：

该病毒主要通过移动设备传播，或是访问某些包含恶意代码的网站时被下载

到系统中，病毒运行后，会尝试遍历，在每个文件夹下生成一个与该文件夹同名的.exe恶意程序，并会在注册表中创建启动项,以使其能在每次系统启动中,自动运行

采取措施：

更新至最新病毒码和DCT,然后使用趋势防病毒程序删除被检测为WORM_VB.MAB的恶意文件。

266) PE_SALITY.AZ-O 回索引表病毒描述：

该病毒可能从Internet被下载而进入系统，也有可能是由其他恶意程序在系统中生成。

该病毒运行后，会禁止使用Windows的安全中心和任务管理器，当磁盘盘符被访问时，会在每个盘符的更目录下自动生成一个autorun.inf恶意文件，并且会自动连接到恶意网站下载恶意代码。

采取措施：

1. 识别和终止被检测为PE_SALITY.AZ-O的进程

2. 删除以下注册表键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Security Center\Svc

AntiVirusDisableNotify = "1"

AntiVirusOverride = "1"

FirewallDisableNotify = "1"

FirewallOverride = "1"

UacDisableNotify = "1"

UpdatesDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Policies\

System

32常见病毒及处理方法_常见病毒

EnableLUA = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\SharedAccess\Parameters\

FirewallPolicy\StandardProfile

DoNotAllowExceptions = "0"

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\SharedAccess\Parameters\

FirewallPolicy\StandardProfile\AuthorizedApplications\

List

{malware path and file name} = "{malware path and name}:*:Enabled:ipsec"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center FirewallDisableNotify = "1"

UpdatesDisableNotify = "1"

AntiVirusDisableNotify = "1"

AntiVirusOverride = "1"

FirewallOverride = "1"

UacDisableNotify = "1"

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ SharedAccess\Parameters\FirewallPolicy\StandardProfile EnableFirewall = "0"

3. 恢复如下被修改的注册表键值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\SharedAccess\Parameters\ file

FirewallPolicy\StandardProfile

由: EnableFirewall = "0"

修改为: EnableFirewall = "1"

In HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Explorer\Advanced

由: Hidden = "2"

修改为: Hidden = "1"

4. 查找和删除由PE_SALITY.AZ-O创建的包含如下内容的Autorun.inf

文件

[AutoRun]

;{random characters}

shell\opeN\defAUlt=1

;{random characters}

shEll\oPen\commaNd= {random filename}

SHELl\eXplore\CommaND = {random filename}

;{random characters}

open={random filename}

sheLl\aUtoplay\cOmmand={random filename}

5. 使用趋势趋势防病毒软件进行全盘扫描删除被检测为

PE_SALITY.AZ-O, TROJ_IFRAMER.AH, TROJ_SPAMBOT.BC的病毒文件。

267) TROJ_VB.JNJ 病毒描述：

该木马病毒会自身释放病毒副本，并创建和修改注册表键值，以便开机后自动运行。

采取措施：

1. 搜索和删除以下文件

%Windows%\Fonts\services.exe

2. 删除以下注册表键值

In HKEY_CURRENT_USER\Software\Microsoft\

Windows NT\CurrentVersion\Windows

run = "%Windows%\fonts\services.exe"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\policies\

Explorer\Run

exec = "%Windows%\fonts\services.exe"

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ SharedAccess\Parameters\FirewallPolicy\StandardProfile

DoNotAllowExceptions = "0"

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ SharedAccess\Parameters\FirewallPolicy\StandardProfile\ AuthorizedApplications\List

%Windows%\fonts\services.exe =

"%Windows%\fonts\services.exe:*:Enabled:services.exe"

3. 恢复如下被修改的注册表键值

In HKEY_CURRENT_USER\Software\Microsoft\

Windows NT\CurrentVersion\Windows

由: load = "%Windows%\fonts\services.exe"

修改为: load = ""

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Explorer\

Advanced\Folder\Hidden\

SHOWALL

由: CheckedValue = "0"

修改为: CheckedValue = "1"

4. 使用趋势防病毒软件进行全盘扫描删除被检测为TROJ_VB.JNJ的病

毒文件。

268) HTML_DOWN.A

病毒描述：

采取措施：

1. 关闭所有IE浏览器

2. 使用趋势防病毒软件进行全盘扫描清除被检测为HTML_DOWN.A的病

毒文件

269) JS_REDIR.SME 回索引表

病毒描述：

这是趋势科技对于被插入恶意JavaScript脚本文件的检测。

这个恶意JavaScript脚本可能是在用户访问网站时，在不知情的情况下被感染。

一旦一个恶意文件被打开，它会连接到以下站点下载恶意文件。 http://{BLOCKED}.{BLOCKED}.com/css/1.js

http://{BLOCKED}.{BLOCKED}et/1.js

http://{BLOCKED}.{BLOCKED}.com/1.js

采取措施：

更新病毒码至最新，即可清除病毒。

270) TROJ_DOWNAD.INF 回索引表

病毒描述：

TROJ_DOWNAD.INF为WORM_DOWNAD蠕虫关联木马，主要通过网络共享和移动设备传播，该病毒会被存在于移动设备和网络驱动器中的WORM_DOWNAD变种释放。

采取措施：

1、关闭无用的网络共享文件夹；

2、关闭不需要的帐号，并修改为复杂密码，密码需要包括大小写字母、符号、数字；

3、对于一些无法设置强密码的设备（例如自助终端设备）,在确保该设备不需要向其他设备提供共享服务（包括共享文件、共享打印机等等）的前提下，禁用Windows的Server服务。

4、更新病毒码和DCT至最新版本

本文标题：常见外伤处理方法-烧伤的常见急救处理方法
本文地址： http://www.61k.com/1092661.html

上一篇：基督教耶稣再来的时间-耶稣基督的见证
下一篇：感恩亲情-感亲恩

61阅读

常见外伤处理方法-烧伤的常见急救处理方法

烧伤的常见急救处理方法

电梯常见故障处理方法

遇到蛇怎么办

生物学