有问题需要解决的朋友！
首先欢迎您来到《我是网管》【 病毒木马 】 版块！
  我们虽然有5个斑竹，但不能保证24小时在线！只好出此下策！

  我先在把一些常见的病毒木马的症状及解决办法发布下！

  希望有问题需要帮助的朋友先到这里来看看！


发帖规定
1、发帖不能为空，或一二个字等，违者一律删除！
2、为了使版面更为统一和清晰，请所有朋友在发帖时注意，标题加好标识[...]（如[原创]、[转贴]、[讨论]等等）
3.　发与本版无关的帖子(发广告,赚钱帖....)为者删帖、禁止发言
4. 不能重复发内容相同或类似的主题，为者删帖
5. 禁止多次纯引用的贴子 (只引用别人的原话,没有自己意见的)
6. 使用不文明的语言, 恶意攻击辱骂别人的帖子，封ID，删帖

如何提问才能让我们更高效的处理您的问题
1、在提出你的问题之前，请用论坛搜索功能，或者在论坛搜索是否有人讨论过类似的问题，重复提问是在浪费大家的时间和精力；
2、发帖前，先考虑清楚自己要问什么（不要扫个日志丢下就不管了），先说明问题再用“HijackThis”软件扫个日志贴上来（这样以方便我们帮你分析的问题原因）！“SERNG”软件日志如有需要再提供！扫描前请用“恶意软件清理助手”清理一下系统！（一定要在安全模式下操作，这样才能清理干净）
详细工具见：[推荐]反病毒/恶意软件修复以及扫描工具
http://bbs.54master.com/thread-55515-1-1.html
http://bbs.54master.com/thread-8710-1-1.html

3.一些反病毒和工具的基本操作及常见病毒清除方法（个人推荐认真看完以下帖子）
帖子主题：[推荐]反病毒可能需要用到的方法及操作步骤，希望可以置顶
http://bbs.54master.com/thread-8908-1-1.html

帖子主题: [[转载]] [转帖]学看hijackthis日志
http://bbs.54master.com/thread-11399-1-1.html

帖子主题：关于几款杀毒工具的应用以及简单的一些操作
http://bbs.54master.com/thread-11234-1-1.html

帖子主题：[原创]关联错误，打不开文件解决方法
http://bbs.54master.com/thread-10011-1-5.html

帖子主题：[原创]灰鸽子的快速手工检测
http://bbs.54master.com/bbs/thread-9486-1-4.html

帖子主题：病毒木马应急处理及手动清除专贴
http://bbs.54master.com/thread-55244-1-5.html

帖子主题:网友 廖仔ONLYONE 转贴[ 怎样用SSM解决实际问题]
http://bbs.54master.com/thread-71827-1-2.html

帖子主题: [[转载]] SREng2.0.21.505常用操作说明 （2.0 RC2）
http://bbs.54master.com/thread-72895-1-1.html

标题:  关于没有文件选项和无法显示隐藏文件解决方法
http://bbs.54master.com/viewthread.php?tid=115546&highlight=

标题：威金和尼姆亚（熊猫烧香）相关工具整理（更新）
http://bbs.54master.com/thread-123543-1-1.html

4、当你解决问题后，请回贴表示感谢，以表示尊重别人的劳动。并自行编缉主题的标识为 [完成] 在主题前加上【已解决】偶们将视形状给于加分鼓励！！经常有新人发问以后，就不见了，过三天或是一周才来回帖或是又来问同样的问题，请避免这样不够专业的行为；

5、如果你自行发现了问题的解决方法，也请你将你的答案贴回来，与大家分享，不要只加一句“解决了”。因为即使是你自己看来蠢笨的问题。但是如果你能说出来，下次别人可能就不会犯同样的错误.



  想解决病毒！请了解病毒是什么！！

常见问题——计算机病毒的特征


(一)非授权可执行性 用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。

(二)隐蔽性 计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。

(三)传染性 传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像 Internet这样的网络传遍世界。

(四)潜伏性 计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。

(五)表现性或破坏性 无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。

(六)可触发性 计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。


常见问题——计算机病毒的分类
(一)按寄生方式分为引导型、病毒文件型病毒和复合型病毒
引导型病毒是指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导型系统的过程中侵入系统,驻留内存,监视系统运行,待机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。主引导记录病毒感染硬盘的主引导区,如大麻病毒、2708病毒、火炬病毒等;分区引导记录病毒感染硬盘的活动分区引导记录,如小球病毒、Girl病毒等。
文件型病毒是指能够寄生在文件中的计算机病毒。这类病毒程序感染可执行文件或数据文件。如1575/1591病毒、848病毒感染.COM和.EXE等可执行文件;Macro/Concept、Macro/Atoms等宏病毒感染.DOC文件。
复合型病毒是指具有引导型病毒和文件型病毒寄生方式的计算机病毒。这种病毒扩大了病毒程序的传染途径,它既感染磁盘的引导记录,又感染可执行文件。当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时,病毒都会被激活。因此在检测、清除复合型病毒时,必须全面彻底地根治,如果只发现该病毒的一个特性,把它只当作引导型或文件型病毒进行清除。虽然好像是清除了,但还留有隐患,这种经过消毒后的“洁净”系统更赋有攻击性。这种病毒有Flip病毒、新世际病毒、One-half病毒等。
(二)按破坏性分为良性病毒和恶性病毒
良性病毒是指那些只是为了表现自身,并不彻底破坏系统和数据,但会大量占用CPU时间,增加系统开销,降低系统工作效率的一类计算机病毒。这种病毒多数是恶作剧者的产物,他们的目的不是为了破坏系统和数据,而是为了让使用染有病毒的计算机用户通过显示器或扬声器看到或听到病毒设计者的编程技术。这类病毒有小球病毒、1575/1591病毒、救护车病毒、扬基病毒、Dabi病毒等等。还有一些人利用病毒的这些特点宣传自己的政治观点和主张。也有一些病毒设计者在其编制的病毒发作时进行人身攻击。
恶性病毒是指那些一旦发作后,就会破坏系统或数据,造成计算机系统瘫痪的一类计算机病毒。这类病毒有黑色星期五病毒、火炬病毒、米开朗·基罗病毒等。这种病毒危害性极大,有些病毒发作后可以给用户造成不可挽回的损失。


由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。
　　
　　“木马”程序会想尽一切办法隐藏自己，主要途径有:在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
　　
　　在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。
　　
　　在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。
　　
　　在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记:有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的 Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如:“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索即可。
　　
　　知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为:“shell=explorer.exe”;在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了，因为有的“木马”如:BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS-DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

常见电脑病毒发作症状

1.  电脑动作比平常迟钝 2.  程式载入时间比平常久         有些病毒能控制程式或系统的启动程序,当系统刚开始启动或是一个应用程式被载入时,这些病毒将执行他们的动作,因此会花更多时间来载入程式。3.  对一个简单的工作,磁碟机似乎花了比预期长的时间.         例如:储存一页的文字若需一秒,但病毒可能会花更多时间来寻找未感染档案。 4.  不寻常的错误讯息出现         例如你可能得到以下的讯息:            write protect error on driver A     表示病毒已经试图去存取磁碟并感染之.特别是当这种讯息出现繁复时,表示你的系统已经中毒了! 5.  硬碟的指示灯无缘无故的亮了.         当你没有存取磁碟,但磁碟机指示灯却亮了,电脑这时已经受到病毒感染了! 6.  系统记忆体容量忽然大量减少         有些病毒会消耗可观的记忆体容量,曾经执行过的程式,再次执行时,突然告诉你没有足够的空间可以利用,表示病毒已经存在你的电脑中了! 7.  磁碟可利用的空间突然减少         这个讯息警告你病毒已经开始复制了! 8.  可执行档的大小改变了!         正常情况下,这些程式应该维持固定的大小,但有些较不聪明的病毒,会增加程式的大小 9.  坏轨增加         有些病毒会将某些磁区标注为坏轨,而将自己隐藏其中,于是往往扫毒软体也无法检查病毒的存在,例如 Disk Ki_ller 会寻找 3 或 5 个连续未用的磁区,并将其标示为坏轨。 10. 程式同时存取多部磁碟机 11. 记忆体内增加来路不明的常驻程式 12. 档案奇怪的消失 13. 档案的内容被加一些奇怪的资料 14. 档案名称,副档名,日期,属性被更改过  15。 出现奇怪进程（按CERL+ALT+DEL查看）

[ 本帖最后由 爱丽舍 于 2007-10-23 17:01 编辑 ]

常见病毒、木马进程速查表。（以按头一个字母顺序排列）
_.exe → Tryit

Avp32.exe → 将死者病毒

Absr.exe → Backdoor.Autoupder

Aboutagirl.exe → 初恋情人

Aplica32.exe → 将死者病毒

Avconsol.exe → 将死者病毒

Avp.exe → 将死者病毒

Avpcc.exe → 将死者病毒

Avserve.exe → 震荡波病毒

Avpm.exe → 将死者病毒

Absr.exe → Backdoor.Autoupder

Bbeagle.exe → 恶鹰蠕虫病毒

Brainspy.exe → BrainSpy vBeta

Cfiadmin.exe → 将死者病毒

Cfiaudit.exe → 将死者病毒

Cfinet32.exe → 将死者病毒

Checkdll.exe → 网络公牛

Cmctl32.exe → Back Construction

Command.exe → AOL Trojan

Diagcfg.exe → 广外女生

Dkbdll.exe → Der Spaeher

Dllclient.exe → Bobo

Dvldr32.exe → 口令病毒

Expiorer.exe → Acid Battery

Esafe.exe → 将死者病毒

exe → BF Evolution

Feweb.exe → 将死者病毒

Flcss.exe → Funlove病毒

Frw.exe → 将死者病毒

Icmon.exe → 将死者病毒

Icloadnt.exe → 将死者病毒

Icload95.exe → 将死者病毒

Icsupp95.exe → 将死者病毒

Iexplore.exe → 恶邮差病毒

Internet.exe → 传奇幽灵

Intel.exe → 传奇叛逆

Kiss.exe → 传奇天使

Kernel16.exe → Transmission Scount

Kernel32.exe → 坏透了或冰河

Krn132.exe → 求职信病毒

Libupdate.exe → BioNet

Load.exe → 尼姆达病毒

Lockdown2000.exe → 将死者病毒

Mbbmanager.exe → 聪明基因

Microsoft.exe → 传奇密码使者

Mprdll.exe → Bla

Msabel32.exe → Cain and Abel

Msblast.exe → 冲击波病毒

Mschv.exe → Control

Msgsrv36.exe → Coma

Msgsvc.exe → 火凤凰

Msgsvr16.exe → Acid Shiver

Msie5.exe → Canasson

Msstart.exe → Backdoor.livup

Mstesk.exe → Doly 1.1-1.5

Mdm.exe → Doly 1.6-1.7

Microsoft.exe → 传奇密码使者

Mmc.exe → 尼姆达病毒

Mprdll.exe → Bla

Netspy.exe → 网络精灵

Netip.exe → Spirit 2000 Beta

Notpa.exe → Backdoor

Odbc.exe → Telecommando

Pcfwallicon.exe → 将死者病毒

Pw32.exe → 将死者病毒

Pcx.exe → Xplorer

Rundll32.exe→ 狩猎者病毒

Rundll.exe → SCKISS爱情森林

Recycle - Bin.exe → s**tHeap

Regscan.exe → 波特后门变种

Rpcsrv.exe → 恶邮差病毒

Runouce.exe → 中国黑客病毒

Service.exe → Trinoo

Server.exe → Revenger, WinCrash, YAT

Setup.exe → 密码病毒或Xanadu

Sockets.exe → Vampire

Something.exe → BladeRunner

Spfw.exe → 瑞波变种PX

Svchost.exe (线程105) → 蓝色代码

Scanrew.exe → 传奇终结者

Sysedit32.exe → SCKISS爱情森林

Scvhost.exe → 安哥病毒

Sy***plor.exe → wCrat

Server 1. 2.exe → Spirit 2000 1.2fixed

Sy***plr.exe → 冰河

Syshelp.exe → 恶邮差病毒

Sysprot.exe → Satans Back Door

Sysrunt.exe → Ripper

System.exe → s**tHeap

System32.exe → DeepThroat 1.0

Systray.exe → DeepThroat 2.0-3.1

Server.exe → Revenger, WinCrash, YAT

Setup.exe → 密码病毒或Xanadu

Sockets.exe → Vampire

Something.exe → BladeRunner

Spfw.exe → 瑞波变种PX

Svchost.exe (线程105) → 蓝色代码

Scanrew.exe → 传奇终结者

Sy***plor.exe → wCrat

Sy***plr.exe → 冰河

Syshelp.exe → 恶邮差病毒

Sysprot.exe → Satans Back Door

Sysrunt.exe → Ripper

System.exe → s**tHeap

System32.exe → DeepThroat 1.0

Systray.exe → DeepThroat 2.0-3.1

Syswindow.exe → Trojan Cow

Thing.exe → Thing

Task_Bar.exe → WebEx

Tftp.exe → 尼姆达病毒

Taskbar → 密码病毒 Frethem

Taskmon.exe → 诺维格蠕虫病毒

Taskmon32 → 传奇黑眼睛

Tds2-98.exe → 将死者病毒

Tds2-Nt.exe → 将死者病毒

Temp $01.exe → Snid

Tempinetb00st.exe → The Unexplained

Tempserver.exe → Delta Source

Tftp.exe → 尼姆达病毒

Thing.exe → Thing

Task_Bar.exe → WebEx

Taskbar → 密码病毒 Frethem

Taskmon.exe → 诺维格蠕虫病毒

Taskmon32 → 传奇黑眼睛

Tds2-98.exe → 将死者病毒

Tds2-Nt.exe → 将死者病毒

Temp $01.exe → Snid

Tempinetb00st.exe → The Unexplained

Tempserver.exe → Delta Source

User.exe → Schwindler

Vpcc.exe → 将死者病毒

Vp32.exe → 将死者病毒

Vpm.exe → 将死者病毒

Vsecomr.exe → 将死者病毒

Vshwin32.exe → 将死者病毒

Vsstart.exe → 将死者病毒

Vw32.exe → 将死者病毒

Vp32.exe → 将死者病毒

Vpcc.exe → 将死者病毒

Vsstart.exe → 将死者病毒

Vw32.exe → 将死者病毒

Windown.exe → Spirit 2000 1.2

Windows.exe → 黑洞2000

Winfunctions.exe → Dark Shadow

Wingate.exe → 恶邮差病毒

Wink????.exe → 求职信病毒

Winl0g0n.exe → 笑哈哈病毒

Winmgm32.exe → 巨无霸病毒

Winmsg32.exe → Xtcp

Winprot.exe → Chupachbra

Winprotecte.exe → Stealth

Winrpc.exe → 恶邮差病毒

Winrpcsrv.exe → 恶邮差病毒

Winserv.exe → Softwarst

Wubsys.exe → 传奇猎手

Winupdate.exe → Sckiss爱情森林

Winver.exe → Sckiss爱情森林

Winvnc.exe → 恶邮差病毒

Winzip.exe → ShadowPhyre

Wqk.exe → 求职信病毒 常见病毒、木马进程速查表

Windown.exe → Spirit 2000 1.2

Windows.exe → 黑洞2000

Winfunctions.exe → Dark Shadow

Wingate.exe → 恶邮差病毒

Wink????.exe → 求职信病毒

Winl0g0n.exe → 笑哈哈病毒

Winmgm32.exe → 巨无霸病毒

Winmsg32.exe → Xtcp

Winprot.exe → Chupachbra

Winprotecte.exe → Stealth

Winrpc.exe → 恶邮差病毒

Winrpcsrv.exe → 恶邮差病毒

Winserv.exe → Softwarst

Wubsys.exe → 传奇猎手

Winupdate.exe → Sckiss爱情森林

Winver.exe → Sckiss爱情森林

Winvnc.exe → 恶邮差病毒

Winzip.exe → ShadowPhyre

Wqk.exe → 求职信病毒

Wscan.exe → AttackFTP

Xx.Tmp.exe → 尼姆达病毒

Zcn32.exe → Ambush

Zonealarm.exe → 将死者病毒

Zonealarm.exe → 将死者病毒

[ 本帖最后由 sunleling 于 2007-10-16 09:20 编辑 ]

一、中国黑客(worm.runouce)

病毒简介：

    该病毒的编写者技术十分高明，它通过种种方法绕过杀毒软件的层层关卡进入电脑内存，具有极强的"反杀毒软件"能力，普通杀毒软件即使发现这个病毒，也无法“干掉它”。该病毒通过邮件传染，具备自启动功能，在Ｏｕｔｌｏｏｋ中只要预览邮件就会自动启动，并进入操作系统的核心区域，然后开始发作，在"网上邻居"中搜索共享文件夹。只要搜索到可写共享文件夹，就会生成以被感染机器名开头的．ｅｍｌ文件，因此最后导致局域网的所有电脑都成为病毒邮件的"发送基地"。

处理方法：

    瑞星14.12版能够彻底查杀该病毒，由于病毒的特殊机理建议用户在杀毒时打开实时监控、内存监控和邮件监控系统。

专题连接为：
http://it.rising.com.cn/newSite/Channels/ anti_virus/Antivirus_Base/TopicExplorerPagePackage/Worm.htm


二、求职信（Klez）

病毒简介：

“求职信”病毒通过邮件进行传播,发作特征十分明显:
1、“求职信”系列变种病毒利用微软系统的漏洞，可以自动感染，无须打开附件，因此危害性很大。
2、这次的变种具有很强的隐蔽性，可以“随机应变”地自动改换不同的邮件主题和内容，瓦解邮件接收者的警惕性。
3、在邮件内部存放发送信息的一部分，这些变种病毒会伪造虚假信息，掩盖病毒的真实来源。
4、能够绕开一些流行杀毒软件的监控，甚至专门针对一些杀毒软件进行攻击。
5、除可以在网络上利用邮件进行传播外，这些变种病毒还可以利用局域网上的共享文件夹进行传染，其传播特点类似"尼姆达"病毒，因此对于某些不能查杀局域网共享文件病毒的单机版杀毒软件，这将意味着在网络环境下，根本无法彻底清除病毒。
6、传统杀毒软件清除该病毒需要在DOS系统下进行，瑞星提供的反病毒程序可以在Windows环境下自动清除病毒，不用在DOS重新启动系统，不删除用户文件，自动剥离病毒体。

处理方法：

建议用户到瑞星网站下载“瑞星杀毒软件求职信系列病毒专杀版”进行查杀。

专题连接：
http://it.rising.com.cn/newSite/ Channels/anti_virus/Antivirus_Base/TopicExplorerPagePackage/klezspecial.htm


三、尼姆达（Nimda)

病毒简介：

    尼姆达病毒具有感染速度快、扩散面广、传播形式复杂多样等特点。经分析，该病毒可通过电子邮件、共享网络资源、微软IIS服务器传播，也可感染本地文件。感染对象为使用操作系统（包括Windows9598Me2000NT）的计算机和服务器，发作时影响计算机运行速度，导致系统瘫痪。

处理方法：

    由于病毒的特殊机理建议用户在Windows下杀毒，杀毒时打开实时监控、内存监控和邮件监控系统。如果有局域网还要断开网线。杀完毒以后为了彻底解决漏洞问题，还应立即到微软网站下载相应补丁程序（详见查杀Nimda病毒后,彻底解决漏洞及手工修复的方案）

解决方案连接：
http://it.rising.com.cn/antivirus/net_virus/net222.htm


四、Funlove病毒( Win32.FunLove.Int, PE_FUNLOVE.4099 )

病毒简介：

    它可以感染Windows 9x和Windows NT 4.0操作系统。它感染所有WIN32类型的文件（PE文件），如Windows和Program Files目录及其子目录中的扩展名为.EXE、.SCR或.OCX 的文件。该病毒搜索所有具有写访问的网络共享文件夹并感染那里的所有的文件。该病毒同时能够修补NT环境的完整性检测，以便能够感染系统文件。

处理方法：

    建议用户将网线断掉，用瑞星A号盘引导进行全网杀毒。瑞星2002增强版及以上版本都可以在windows下进行查杀：关闭网络共享，打开实时监控，内存监控。

专题连接：
http://it.rising.com.cn/newSite/Channels/ anti_virus/Antivirus_Base/TopicExplorerPagePackage/Funlove.htm


五、欢乐时光( .happytime.很多变种的）

病毒简介：

happtime病毒的发作日期是月＋日＝13时发作。病毒发作时具有以下典型现象：
1、超级解霸总是不断的运行；
2、会弹出一个个的记事本，上面写着I am sorry...（或help），而且是不停的弹出，总是不断的运行；
3、按ctrl+alt+del可以看到有很多的wscript在运行，系统资源非常的低；硬盘上的所有exe和dll文件被删除。

处理方法：

用瑞星A盘引导查杀即可清除。


六、Sircam病毒（W32.Sircam.Worm）

病毒简介：

    "W32.Sircam.Worm"病毒是一种首发于英国的恶性网络蠕虫病毒，具有较高的危害程度，主要通过电子邮件附件进行传播。在电子邮件中该病毒表现为：正文是一段首尾两句不变的英文或西班牙文字，其中英文邮件的首尾两句为："Hi! How are you?"、"See you later. Thanks"，西班牙文则为："Hola como estas?"、"Last line: Nos vemos pronto, gracias."。邮件的附件和主题一样，并在后面加上了双扩展名，其扩展名称可能是："PIF", "LNK", "BAT", "EXE" 或"COM" 五种中的任意一种。发作日期是10月16日，蠕虫将删除C盘上的所有文件及文件夹，仅当系统日期格式为 D/M/Y（日/月/年）；每次启动时蠕虫通过向c: ecycledsircam.sys文件中添加文本使硬盘上的空余空间被充满。

处理方法：

1、清空回收站，因为Sircam.sys文件将隐藏在回收站中
2、在DOS模式下打开Autoexec.bat文件，如果有如下字段则删除"@win ecycledsirc32.exe"
3、更改注册表
将regedit.exe 改名为 regedit.com 因为此种病毒在每运行一次exe文件的同时都会发作一次
进入dos模式，键入"copy regedit.exe regedit.com"。
回到windows模式，进入注册表编辑器，查找主键：
HKEY_CLASSES_ROOTexefileshellopencommand
删除其原有键值，并将其键值改为 "%1" %*
查找主键 HKEY_LOCAL_MACHINESoftwareSirCam 并将其删除
查找主键 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
在其右侧的面板中，如果有 Driver32. 则坚决删除 。

专题连接：
http://it.rising.com.cn/newSite/Channels/ anti_virus/Antivirus_Base/TopicExplorerPagePackage/sircam.htm


七、Redlof病毒，也称“红色结束符（Script.RedLof.htm）”

病毒简介：

    此病毒属于脚本类病毒,此病毒感染脚本类型的文件。 运行时，全盘查找脚本类型的文件{vbs,htm, html等},如果找到，则将病毒自身加入这些文件的尾部，完成感染。 此病毒感染目录时，还会在每个目录下产生两个文件，一个名为：desktop.ini的目录配置文件，一个名为：folder.htt的病毒体文件。

处理方法：

1、关闭所有WINDOWS窗口，禁止使用WEB方式浏览“资源管理器”或“我的电脑”等。
2、在Windows下，打开文件监控，先查杀内存然后在查杀所有硬盘。
3、杀完毒之后立即重新启动计算机。


八、Wyx病毒（含有Wyx的名度名称）

病毒简介：

    病毒属于引导区病毒，感染一台机器的唯一方式是用一个染了毒的启动盘引导。软盘的引导扇区中包含判断该软盘是否为系统盘的代码，代码同时会显示"Non-system disk or disk error"的消息。正是这个代码中隐藏着病毒的传染模块，当出现了Non-system disk or disk error错误消息的时候，感染已经发生。

处理方法：

1、您先检测您的瑞星A号盘是否已被感染，先将A盘处理干净。拿干净的A盘在写保护的状态下原盘引导杀毒；
2、您可拿98系统引导盘引导后，运行 A：>FDISK/MBR后，再重新原盘引导进行检测（只限win98系统）。

九、“网页恶意代码”专题见下面连接：
http://it.rising.com.cn/newSite/Channels/ anti_virus/Antivirus_Base/TopicExplorerPagePackage/spiteful.htm

转自http://it.rising.com.cn/Channels ... 43029860d7065.shtml

【IT168 软件频道】金山毒霸客户服务中心最近收到大量用户求助，用户反馈的现象大致差不多：杀毒软件不能用，想用搜索引擎去查找一些解决办法，输入杀毒，浏览器窗口就被关掉。在金山毒霸论坛，也有大量用户反应相同或类似的情况。    而在珠海毒霸研发部，已经监测到此类病毒泛滥的情况。监测发现了一系列反击杀毒软件，破坏系统安全模式，植入木马下载器的病毒。并将这一类病毒命名为“AV终结者”，AV终结者指的是一批具备以下破坏性的病毒、木马和蠕虫。
    病毒现象
    1、生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。
    2、绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。

报错提示

    3、不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。
    4、禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。

病毒破坏自动更新和防火墙

    5、破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复
    6、当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。
    7、在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。
    8、病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。
    传播方式
    1、通过U盘、移动硬盘的自动播放功能传播
    2、AV终结者最初的来源是通过大量劫持网络会话，利用网站漏洞下载传播。和前一段时间ARP攻击的病毒泛滥有关。


解决办法在http://bbs.54master.com/viewthread.php?tid=170695&highlight=av%D6%D5%BD%E1%D5%DF

[ 本帖最后由 sunleling 于 2007-10-16 09:43 编辑 ]

手工删除Back Orifice 2000的方法：　　　　　　　　　　　　　　

　　首先用最新DOS版的杀毒软件开机杀毒，然后将邮箱中的带毒邮件一一删除，否则又会
重复感染，该病毒传播能力极强，必须加强防范，为了预防该病毒在浏览该带毒信笺可以
自动执行的特点，必须下载微软的补丁程序。
　　http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

　　恶性蠕虫病毒“I-Worm.Aliz”　　　　　　　　　　　　　　　　　　　　

　　用最新的杀毒软件清除病毒，然后下载补丁：
　　如果用户使用升级的因特网outlook版本6.0，就不需要修补outlook。
　　1. outlook 　　　　　http://www.microsoft.com/windows/ie/downloads/critical
/q290108/default.asp
　　2.outlook 2000 　
　　http://office.microsoft.com/korea/downloads/2000/outlctlx.aspx
　　3.outlook 2002 (office XP)
　　http://office.microsoft.com/korea/downloads/2002/OLK1003.aspx

　　又出现Nimda.e病毒，再次更新详细解毒方案


　　一、winX系统的清除方法：

　　1．使用干净DOS软盘启动机器。
　　2．执行vrvdos, 查杀所有硬盘。
　　3．在SYSTEM.INI文件中将LOAD.EXE的文件改掉，如没有变，就不用改。正常的[boot]
下的应该是shell=explorer.exe.必须修改该文件中的shell项目，否则清除病毒后，系统
启动会提示有关load.exe的错误信息。
　　4．开启vrv实时监测病毒防火墙。
　　5．为了预防该病毒在浏览该带毒信笺可以自动执行的特点，必须下载微软的补丁程序
。 地址是：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.这样
可以预防此类病毒的破坏。
　　6．WINDOWS 2000如果不需要可执行的CGI，可以删除可执行虚拟目录,例如/scripts等
等。
　　7．如果确实需要可执行的虚拟目录，建议可执行虚拟目录单独在一个分区。
　　8．对WINDOWS NT/2000系统，微软已经发布了一个安全补丁，可以从下列地址下载：h
ttp://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
　　9．病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除，请从WIN
DOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件，否则的话，写字板和OFFIC
E, WORD等程序将不能正常运行。在WINDOWS98系统下的该文件大小是：431376字节。或重
装office。

　　二、WINDOWS NT/2000系统的清除方：

　　WINDOWS NT/2000系统的NTFS硬盘分区感染此毒时，处理比较烦琐。因用DOS软盘引导
后不认硬盘分区，所以无法杀毒。在患毒的WINDOWS NT/2000系统下又杀不干净病毒。不管
是服务器还是单机的硬盘染此毒了，要想杀干净病毒，可按如下方法杀毒：

　　1．找一台没有感染病毒的、并装有WINDOWS NT/2000（NTFS)系统的计算机，将vrv200
1 server安装到硬盘中，对硬盘进行查杀。
　　2．如果有杀不掉的，用dos盘引导起动，再执行NTFSpro（在vrv网站可以下载）中的n
tfspro.exe 即可，看到NTFS格式下的所有文件，将其删除，再回到正常模式下查杀。
　　3．如果有多台机器，也可以将患毒的硬盘挂接在没有感染病毒的计算机上做为副盘。

　　Nimda病毒解决方案

　　请大家尽快到微软网站下载更新程序，修补这些漏洞，以免中毒。收到可疑的信件，
例如：Nimda病毒病毒附件为readme.exe，不要随意打开以免中毒，
IE 5.x 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-020.
asp下载修复程序，避免浏览中毒网页就被感染。

　　IIS 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-044
.asp、http://www.microsoft.com/technet/security/bulletin/MS00-078.asp下载修复程
序，以修正Unicode漏洞。 　

　　另外：Win9x用户记得去掉共享，修改System.ini中shell=explorer.exe load.exe
-dontrunold为shell=Explorer.exe ，Win2000则查看一下administrators组中是否加进了
“guest”用户，如果是，请将guest用户从administrators组中删除，然后用最新版的杀
毒软件扫描你的机器，查杀病毒。
自己动手对付CodeRed(红色代码)

　　CodeRed(红色代码)是利用Windows NT/2000本身的漏洞来执行骇客行为，微软网站提
供更新档下载，使用IIS 4.0以上版本用户，请尽快至微软网站http://www.microsoft.com
/technet/security/bulletin/MS01-033.asp更新修正。
　手动清除圣诞节病毒的方法：

　　1.开始——>程序——>MS-DOS模式
　　2.将DOS指令regedit.exe重新命名为 regedit.com
　　3.回到Windows运行Regedit。
　　4.开始——>运行
　　5.输入“regedit”。按一下“确定”。
　　6.在左边窗口，按一下　　含有 "+" 记号的方块以展开节点来寻找下列登录
　　 HKEY_CLASSES_ROOT exefile shell open command
　　7.在右边窗口，以展开节点来寻找含有下列登录的记录值并点选
　　 (Default) = "% windir%SYSTEMWINSVRC.EXE"%1""%*" where %windir%
　　8.当编辑窗口出现，将所有整个部分删除，只留下 "%1"%*"。
　　9.同步骤 3-5，输入“regedit”。按一下“确定”，进入以下注册机值。
　　 HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
　　10.点选Win32BaseServiceMOD = %windir%SYSTEMWINSVRC.EXE ，并按“删除”
　　11.开始——>程序——>MS-DOS模式
　　12.将 regedit.com重新命名为 regedit.exe。摘自瑞星网站

　　Win32/MTX.A.Worm 病毒的清除方法

　　清除步骤：

　　1、对于蠕虫病毒生成的文件如：MTX_.exe，Ie_pack.exe和Win32.dll，需要彻底删除
，它们的病毒报警为Win32/MTX.Attachment.Worm 或Win32/MTX.A.Downloader.Worm。
　　2、 开始---运行(regedit)修改注册表，将注册表中的关键字值删除，关键字值为：
Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentVersionRunSystembackup
=MTX_.EXE
　　3、开始---运行(regedit)---编辑---查找(Win32.dll)，将查找到的键值删除掉，用
同样的方法 查找Ie_pack.exe和mtx，将查找到的键值也删除；
　　4、重新启动计算机。

　手动清除特洛伊木马TROJ_QAZ.A病毒

　　1、单击“开始│运行” 键入：Regedit，按Enter键
　　2、找到注册键：
HKEY_LOCAL_MACHIN/Software/Microsoft/Windows/CurrentVersion/Run
　　3、在右边的窗口中，找出任何包含下列数据的注册键值：
startIE=XXXXNotepad.exe
　　4、在右边的窗口中，选中该键值，按删除键后再选是，删除该值。 退出注册表修改
。 单击 “开始│关闭系统”，选择“重启动”后单击“是”。
　　5、重命名Note.com为Notepad.exe。

　　病毒冰河的手工解决办法：

　　1、在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中找 到
冰河（默认是C:WINDOWSSYSTEMKernel32.exe），将其删除。
　　2、在注册表中找到HKEY_CLASSES_ROOT xtfile，可以在其次键中发觉
Shellopencommand中运行的程序，默认的是C:WINDOWSSYSTEMSysexplr.exe %1， 将
它删掉就行。其他形式的伪装也照删不误。
　　3、重新启动，在纯Dos模式中删除冰河以及它的关联程序（默认是
C:WINDOWSSYSTEMKernel32.exe和sysexplr.exe）。
VBS_STAGES.A蠕虫的解决方案

　　运行注册表 进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices注册目录，查找含有以下键值的键："C:WINDOWSWSCRIPT.EXE，C：WINDOW
SSYSTEMSCANREG.VBS" 将含有这些键值的键删除。 进入以下注册表目录：
HKEY_USERS/.DEFAULT/Software/Mirabilis/ICQ/Agent/Apps/ICQ 查找以下键值
Parameters=“C:RECYCLEDDBINDEX.VBS”, Path="C:WINDOWSWSCRIPT.EXE"
Startup="C:WINDOWS"。进入以下注册表目录：
HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/DefaultIcon 查找以下键值："C:RECYC
LEDRECYCLED.VXD,1" 将其修改为：C:WINDOWS
egedit.exe,1 to this input box，进
入以下注册表目录：
HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/shell/open/command 查找以下键值："C
:RECYCLEDRECYCLED.VXD,1" 将其修改为：C:WINDOWS
egedit.exe,1 to this input
box.，退出注册表 。重启后扫描整个系统，将感染了此病毒的文件删除。 从另一干净的
机器上拷贝一个REGEDIT.EXE 程序到本机。

　　如何自行将MSIE.HTA（网路害虫）清除

　　1.先将WIN.INI中的RUN= C:WINDOWSSYSTEMMSIE.HTA修改成RUN=
　　2.将Windowssystem目录下MSBOOT.BAT、MSIE.LST、MSIE.INI、MSIE.HTA四个文件删
除。
　　3.将Windowssystemsystem目录删除。
　　4.将windowsStart MenuPrograms启动 中的Microsoft Internet Explorer.hta文
档删掉。

　　手工删除Back Orifice 2000的方法：

　　1.在WINDOWS 9X 中运行REGEDIT。
　　2.将注册表中：HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/
RUNSERVICES下的UMGR32.EXE 串值删除。
　　3.重新启动。
　　4.将WINDOWS/SYSTEM目录下的UMGR32~1.EXE文件删除即可。

1.倒计时重启/lsass出错强制重启------------->RPC漏洞。
先打上RPC漏洞补丁,补丁号: KB835732 ，KB828741，KB837001，kb837009。xp的话可以考虑直接打上sp2.
----------------------------------------------------------------------
2.spollsv.exe/125K小文件/Command.com/.zmx文件/双击不能打开硬盘-->lovgate
lovgate（金山公司将Lovgate系列病毒命名为Supnot系列）R以上变种开始利用MS03-26漏洞传播，所以，2k/xp要打好RPC补丁，尤其是MS03-26。
杀毒方法：
先找专杀：
Symantec公司提供了一款专杀工具 —FixLGate.com
瑞星公司提供 —— Ravlovgate。
使用专杀时注意以下问题：
1）如果操作系统是 Windows Me 或者 Windows XP，关闭系统还原功能
2）启动计算机到安全模式（开机时按 F8 出现选单）(使用FixLGate.com时)
3）进入安全模式后不要进行双击操作，要以 右键--打开 代替?
4）最好是在断开网络的情况下进行操作。
-----------------------------------------------------------------------
3.Ftpupd.exe进程------------------------------->Korgo.v
Korgo也是利用使用微软的 Microsoft Windows LSASS 漏洞传播的蠕虫
预防：打好1，2提到的补丁
杀毒：
1）如果操作系统是 Windows Me 或者 Windows XP，关闭系统还原功能
2）下载McAfee AVERT Stinger杀毒
3）杀毒软件更新病毒定义后基本都能清除该病毒

请经常去 WindowsUpdate 网站获取更新
-----------------------------------------------------------------------
4.QQ自动发送网址------------------------------>QQ尾巴

国内瑞星公司提供RavQQMsender.exe专杀工具
下载连接：http://it.rising.com.cn/service/technology/RS_QQMsender.htm
金山公司提供Duba_qqmsg.EXE专杀
下载连接：http://db.kingsoft.com/download/3/34.shtml
杀毒方法;
1）为了避免再次感染，请打上IE6的漏洞补丁。
2）利用专杀或者杀毒软件进行杀毒。
3）不要随便点QQ传送过来的网页

IE漏洞补丁下载网址:
http://www.microsoft.com/windows ... q319182/default.asp
-----------------------------------------------------------------------
5.Trojan.类/Backdoor.类/PWSteal.Lemir.Gen类木马。

木马类病毒杀起来针对性比较差
其实许多木马都是非常好用的远程管理软件

处理方法：
1) 利用木马克星到安全模式下杀毒,注意按时更新病毒定义
2) 设置好防火墙,不要轻易让不熟悉的程序访问网络
3) 下载新软件后先查毒再打开.(这就需要一个强有力的病毒监控）杀毒软件问题（瑞星、诺顿、McAfee、kaspersky）

6.IE被恶意修改-------------------->IE漏洞，应及时打补丁
IE问题很多，这里只推荐几个工具
HijackThis （google it ：)）
cwshredder.exe, 超级兔子IE修复器, 优化大师IE修复器, 3721（不推荐）

-----------------------------------------------------------------------
7.BloodHound.Exploit.6------->IE ITS 协议处理程序漏洞

Microsoft Internet Explorer 中的一个跨站脚本漏洞 使攻击者在用户运行IE时执行任意代码。攻击者也可以在其他域的网站上读取并操作数据。
解决方法：
现在没有完整针对这个漏洞的解决方案。直到补丁的出现。关闭ITS协议处理漏洞。关闭ITS协议处理程序目的在于避免该漏洞被利用。删除或更改下面的注册键::
HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSHandler{ms-its,ms-itss,its,mk}
关闭这些协议处理程序将明显的减少Windows帮助系统的功能，并且可能导致意料之外的结果。计划在补丁测试并安装后取消这些改变。遵循好的互联网安全惯例。这些推荐的安全措施将帮助来发现攻击和减轻跨站漏洞。
关闭运行的脚本和ActiveX控制器
注意: 关闭运行的脚本和ActiveX控制器可能不会防止漏洞被利用。
关闭运行的脚本和ActiveX控制器和Local Machine Zones可能停止某些类型的攻击并且防止不同的跨站漏洞被利用。
在任何用来阅读HTML邮件的运行的脚本和ActiveX控制器关闭运行的脚本和ActiveX控制器在Local Machine Zone中将防止利用运行脚本和ActiveX控制器的恶意代码。改变这些设置可能会减少脚本，Applet，Windows组件或者其他应用程序的功能。看微软知识库833633号文章了解Local Machine Zone 安全设置的具体信息。注意Windows XP SP2包括了这个改变。
忠告：
* 不要使用未确定的链接。
* 维护升级防病毒软件。
------------------------------------------------------------------------
8.粘贴失效------------------------------------------->lovelykitty
在任务管理器的进程中有两个explorer，其中一个是病毒进程，位于c:windowssystem32下。注意是隐藏文件，结束掉进程后删之~再去启动项下面把病毒的启动项删掉重启电脑后应该就没事了。
据说norton没有查出来(有查出来的告诉我，不想冤枉norton)
-----
内容大多来自virus@zju 88

【学网防毒技巧】      一、对IE浏览器产生破坏的网页病毒：

    （一）.默认主页被修改

    1.破坏特性：默认主页被自动改为某网站的网址。

    2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。

    3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main　分支，找到Default_Page_URL键值名(用来设置默认主页)，在右窗口点击右键进行修改即可。按F5键刷新生效。

    危害程度：一般

    （二）.默认首页被修改

    1.破坏特性：默认首页被自动改为某网站的网址。

    2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。

    3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支，找到StartPage键值名(用来设置默认首页)，在右窗口点击右键进行修改即可。按F5键刷新生效。

    危害程度：一般

    （三）.默认的微软主页被修改

    1.破坏特性：默认微软主页被自动改为某网站的网址。

    2.表现形式：默认微软主页被篡改。

    3.清除方法：

    (1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main　分支，找到Default_Page_URL键值名(用来设置默认微软主页)，在右窗口点击右键，将键值修改为 http://www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5键刷新生效。

    (2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

    REGEDIT4

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "default_page_url"="http://www.microsoft.com/windows/ie_intl/cn/start/"

    危害程度：一般

    （四）.主页设置被屏蔽锁定，且设置选项无效不可更改

    1.破坏特性：主页设置被禁用。

    2.表现形式：主页地址栏变灰色被屏蔽。
3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”，按F5键刷新生效。

    (2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

    REGEDIT4

    [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]"HomePage"=dword:00000000

    危害程度：轻度

    （五）.默认的IE搜索引擎被修改

    1.破坏特性：将IE的默认微软搜索引擎更改。

    2.表现形式：搜索引擎被篡改。

    3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支，找到“SearchAssistant”键值名，在右面窗口点击“修改”，即可对其键值进行输入为： http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，然后再找到“CustomizeSearch”键值名，将其键值修改为： http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，按F5键刷新生效。

    (2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

    REGEDIT4

    [HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search] 　　"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm" 　　"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"

    危害程度：一般

    （六）.IE标题栏被添加非法信息

    1.破坏特性：通过修改注册表，使IE标题栏被强行添加宣传网站的广告信息。

    2.表现形式：在IE顶端蓝色标题栏上多出了什么“正点网，即使正点网！ http://www.zhengdian.com "尾巴。

    3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新。
第二，按如下顺序依次打开：HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新生效。

    (2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

    REGEDIT4

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Window Title"="Microsoft Internet Explorer"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Window Title"="Microsoft Internet Explorer"

    危害程度：一般

    （七）.OE标题栏被添加非法信息破坏特性：

    破坏特性：通过修改注册表，在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息。

    表现形式：在顶端的Outlook Express蓝色标题栏添加非法信息。

    清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Outlook Express分支，找到WindowTitle以及Store Root键值名，将其键值均设为空。按F5键刷新生效。

    (2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

    REGEDIT4

    [HKEY_CURRENT_USER\Software\Microsoft\Outlook Express] "WindowTitle"="" "Store Root"=""

    危害程度：一般

    （八）.鼠标右键菜单被添加非法网站链接：

    1.破坏特性：通过修改注册表，在鼠标右键弹出菜单里被添加非法站点的链接。

    2.表现形式：添加“网址之家”等诸如此类的链接信息。

    3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt分支，在左边窗口凡是属于非法链接的主键一律删除，按F5键刷新生效。

    4.危害程度：一般

    （九）.鼠标右键弹出菜单功能被禁用失常：

    1.破坏特性：通过修改注册表，鼠标右键弹出菜单功能在IE浏览器中被完全禁止。
2.表现形式：在IE中点击右键毫无反应。

    3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支，找到“NoBrowserContextMenu”键值名，将其键值设为“00000000”，按F5键刷新生效。

    (2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

    REGEDIT4

    [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions] 　　"NoBrowserContextMenu"=dword:00000000

    危害程度：轻度

    （十）.IE收藏夹被强行添加非法网站的地址链接

    破坏特性：通过修改注册表，强行在IE收藏夹内自动添加非法网站的链接信息。

    破坏特性：通过修改注册表，强行在IE收藏夹内自动添加非法网站的链接信息。

    表现形式：躲藏在收藏夹下。

    清除方法：请用手动直接清除，用鼠标右键移动至该非法网站信息上，点击右键弹出菜单，选择删除即可。

    危害程度：一般

    （十一）.在IE工具栏非法添加按钮

    破坏特性：工具栏处添加非法按钮。

    表现形式：有按钮图标。

    清除方法：直接点击鼠标右键弹出菜单，选择“删除”即可。

    危害程度：一般

    （十二）.锁定地址栏的下拉菜单及其添加文字信息

    破坏特性：通过修改注册表，将地址栏的下拉菜单锁定变为灰色。

    表现形式：不仅使下拉菜单消失，而且在其上覆盖非法文字信息。

    清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbar分支，在右边窗口找到“LinksFolderName”键值名，将其键值设为“链接”，多余的字符一律去掉，按F5键刷新生效。

    危害程度：轻度

    （十三）.IE菜单“查看”下的“源文件”项被禁用

    破坏特性：通过修改注册表，将IE菜单“查看”下的“源文件”项锁定变为灰色。

    表现形式：“源文件”项不可用。

    清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->
确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支，找到"NoViewSource"键值名，将其键值设为“00000000”，按F5键刷新生效。

    按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions分支，找到"NoViewSource"键值名，将其键值设为“00000000”，按F5键刷新生效。

    (2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

    REGEDIT4

    [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]　　"NoViewSource"=dword:00000000

    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions]　　"NoViewSource"=dword:00000000

    危害程度：轻度
转自http://www.xue5.com/itedu/18136_5.html

QQ盗号木马破坏QQ医生盗取密码
今日提醒用户特别注意以下病毒：“QQ之盗139373”(Win32.Troj.AmorBc.c.139373)这是一个QQ盗号木马，“梦幻之盗dp”(Win32.Troj.OnlineGames.dp.81920)这是一个盗号木马。
　病毒特征：病毒通过注入进程，监控用户使用的QQ聊天工具，并通过读取QQ目录下的LoginUinList.dat获取用户号码列表，和删除QQ目录下的ewh.db，诱使用户重新输入密码等方式盗取用户的QQ号码和密码等信息。另外，病毒还会从远程服务器下载病毒文件安装至用户计算机和删除QQ医生主执行文件。梦幻之盗dp”(Win32.Troj.OnlineGames.dp.81920)这是一个盗号木马。

   
传奇终结者变种YWG（Trojan.PSW.Win32.Lmir.ywg）”病毒：警惕程度★★★，盗号木马，通过网络传播，依赖系统：WIN9X/NT/2000/XP。

病毒会强行终止多种杀毒软件的进程，使其不能正常运行。病毒会频繁检查“传奇”客户端的窗口，如果窗口存在，就会取得当前鼠标的位置，并记录键盘信息，最后把记录下来的信息发送到指定邮箱，从而窃取用户的游戏账号和密码等。

反病毒专家建议电脑用户采取以下措施预防该病毒：1、建立良好的安全习惯，不打开可疑邮件和可疑网站；2、很多病毒利用漏洞传播，一定要及时给系统打补丁；3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；4、登陆www.rising.com.cn下载免费的瑞星杀毒软件2008版，启用“帐号保险柜”保护网银、网游、QQ等重要软件，有效保护帐号密码安全。5、为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播。6、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡4.0，打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。

转自http://lansn104.blog.hexun.com/13703164_d.html

该病毒的主要症状:
除系统盘外,其它盘鼠标左键双击打不开,右键单击打开菜单会出现一个OPEN的选项。每个盘都有两个这样的文件:autorun.inf 和 sxs.exe,当然可能有些人并不是sxs.exe,而是以其它命名的*.exe的文件。

该病毒是rose病毒的变种, rose病毒症状：双击盘符无法打开，只能通过右键打开；几天之后删除系统NTDETECT.COM文件，导致系统无法启动。

传播途径：U盘、MP3、移动硬盘可见，此毒不除，电脑玩完。一般的杀毒软件基本只能查出来,但是都杀不了。

网上也讲了许多方法,其中有两种方法比较普遍:注册表法和专杀工具法。注册表法由于过于复杂,所以建议对注册表知之甚少的朋友少用,搞不好毒杀不掉,反倒把自己的系统搞跨,实在不值得。

以下是对付AUTO病毒的两种通用方法：

1.专杀工具杀法：

auto病毒专杀工具和补丁下载

http://shadu.366down.net/chasha/auto.htm


2.注册表法：
你中了运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1
这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）
方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了.

祝你好运！如若不行请论坛搜索相关主题！

[ 本帖最后由 sunleling 于 2007-10-16 10:02 编辑 ]

病毒介绍：

　　“威金（worm.viking）”也叫：维金。该蠕虫病毒主要通过网络共享传播，病毒会感染电脑中所有的.EXE可执行文件，例如：Word、Execl等软件，运行出现Runtime error 216 **** 的错误，传播速度十分迅速。“威金”病毒运行后，修改注册表自启动项，以使自己随系统一起运行，向C盘Program Files和Program Files\micorsoft\文件目录下生成svhost32.exe文件，在C盘windows目录下（win2000系统是在winnt目录下）生成以下病毒文件：explorer.exe、logo1_.exe、rundll32.exe、rundl132.exe、dll.dll。在windows\intel\下生成rundl132.exe

　　简单的，就是在进程里面可以看到：logo1_.exe文件运行着。

　　病毒新变种还会自动从网站下载“天堂杀手”以及“QQ大盗（QQpass）”等10余种木马病毒，企图盗取包括天堂、征途、梦幻西游、传奇等多种流行网游以及QQ的帐号、密码。

　　 病毒还会产生很多_desktop.ini文件，导致图标错乱。可以用以下命令来删除：
例如：你的电脑有（C、D、E、F四个盘）可以在“记事本”中写入以下四行代码：

del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a

然后保存为.bat文件，如：del.bat 。接着运行它就可以了。

威金蠕虫病毒专杀工具下载：http://www.jiangmin.com/download/VikingKiller.exe

微软威金病毒免疫补丁下载