本文介绍Trojan.PSW.OnlineGames病毒资料及清除方法。


　　
【病毒分析】：
病毒使用Delphi编写，并且使用UPX加壳，病毒运行后有以下行为：
1、将自己复制到%WINDIR%目录下，文件名为"exxplorer.exe"。
2、修改以下注册表键值以达到其自启动的目的：
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
增加数据项："exxplorer"??? 数据值为："%WINDIR%\EXXPLORER.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
增加数据项："exxplorer"??? 数据值为："%WINDIR%\EXXPLORER.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改数据项："Shell"??????? 修改后的数据值为："Explorer.exe %WINDIR%\EXXPLORER.EXE"
3、修改系统文件"SYSTEM.INI"以下数据项，以达到其自启动的目的。
4、搜索当前系统是否有名为"exxplorer"的窗体，如果有，病毒则退出。病毒通过这种方式来确保系统中只有一个病毒文件在运行。
5、结束某些反病毒软件的进程。
6、记录本地计算机的系统信息以及游戏"传奇世界"的帐号、密码、服务器地址、所属区域等信息，并写入注册表"HKEY_CLASSES_ROOT\woool"键下。
7、将窃取的信息发送到指定的邮箱内。

【清除方法】：
使用瑞星橙色八月专杀工具查杀，在内存扫描完成后，打开瑞星杀毒软件升级到最新版本全盘查杀。




[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; InfoPath.2)

本文介绍Trojan.Mnless病毒资料及清除方法。


　　
【病毒分析】：
该病毒用delphi语言编写，并且使用UPX加壳，具有以下行为
1、病毒首先会把自己复制到C:\Program Files\Internet Explorer\IEXPLORE.New同时生成一个Dll1文件IEXPLORE.win
2、病毒把IEXPLORE.win文件插入到Explore进程中保护自己，
3、病毒在注册表中中加入
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks，在激活一个Shell事件时启动病毒。
4、病毒会从http://www.qqkx.com/cp/CPOpen.txt和http://www.qqkx.com/cp/CPDown.txt网站上下载并运行病毒。

【清除方法】：
1、进入注册表删除掉
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks注册表项。重启电脑。进入C:\Program Files\Internet Explorer文件夹，删除下面这两个文件:
IEXPLORE.New与IEXPLORE.win文件.

2、打开瑞星杀毒软件升级到最新版本，然后断开网络全盘查杀。

本文介绍Trojan.DL.IeFrame病毒资料及清除方法。


　　
【病毒分析】：
该病毒为下载型病毒，具有以下行为：
1、病毒运行后会自动连接其指定的恶意网站
2、被病毒打开的恶意网站会利用IE漏洞下载其他类型的病毒并将它们运行。

【清除方法】：
1、将操作系统的补丁安装完全。
2、打开瑞星杀毒软件升级到最新版本，然后断开网络全盘查杀。

本文介绍Worm.Win32.Agent病毒资料及清除方法。


　　
【病毒分析】：
该病毒使用DELPHI编写，具有以下行为：
1、病毒启动后，会将自己复制到系统目录下，并修改文件属性为系统和隐藏。
2、病毒运行后的两个进程分别互相守护，防止被结束进程。
3、随后病毒会启动几个线程，进行修改注册表项，修改系统时间，暴利复制病毒文件到系统目录下，远程下载病毒等操作。

【清除方法】：
1、使用瑞星橙色八月专杀工具查杀，在内存扫描完成后，打开瑞星杀毒软件升级到最新版本全盘查杀。
2、将系统时间修改为正常的时间。

本文介绍Worm.Viking.is病毒资料及清除方法。


　　
【病毒分析】：
1、病毒运行后首先会结束杀毒软件的服务项，导致杀毒软件的无法使用。
2、病毒会在Windows路径下建立一个名为uninstall的文件夹，把自己复制到该文件夹下；
3、病毒在Windows路径下释放动态库RichDll.dll，该动态库遍历进程，查找进程中是否存在iexplorer.exe进程，有则把动态库注入到该进程中，如果没有则找到进程中的explorer.exe进程把动态库注入到该进程中，实现下载功能。
4、病毒添加以下注册表项实现开机自启动：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "load"=C:\WINNT\uninstall\rundl132.exe
5、病毒实现感染功能：感染盘符从Z到C的所有“本地磁盘”，使用FindFirstFileA与FindNextFileA遍历文件；当发现后缀名为.exe的文件时，使用CreateFile打开要感染的文件，读入内存，建立名为“原文件全名.Exe”的文件；使用ReadFileA与WriteFileA把病毒本身写在“原文件全名.Exe”文件中；通过SetFilePointer把文件指针设在文件最后，把原正常文件加入到“原文件全名.Exe”文件的尾部；通过DelFile删除原正常文件；使用MoveFile修改文件名“原文件全名.Exe”为“原全名”。

【清除方法】：
1、断开网络，使用威金病毒专杀工具全盘查杀。
2、重启计算机，升级杀毒软件到最新版本全盘查杀。

本文介绍Trojan.PSW.QQpass病毒资料及清除方法。


　　
【病毒分析】：
该病毒为盗取QQ密码的木马病毒，病毒运行后有以下行为：

1、病毒建立一个名为“我是菜鸟我怕谁”的互斥量，以保证内存中只有一个复本在运行。
2、病毒将自己复制到%WIND0OWS%下，并取名为LoveQQ.exe。
3、在注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立数据项"SysDeskqqfx = %WINDOWS%\LoveQQ.exe" ，实现开机自动运行。
4、病毒设置了定时器，每隔一段时间，就会寻找窗口标题为"任务管理器"、"软键盘"、"QQ号码"、"服务器"的窗口。如果发现有"任务管理器"存在，则结束它；如果发现和QQ的这些窗口存在，这取得文本框中的密码。
5、将获得的QQ号和其密码发送到木马散播者设置电子邮箱或通过HTTP方式提交到特定的URL。

【清除方法】：
将瑞星杀毒软件升级到最新版本，在断开网络的情况下全盘查杀。

本文介绍Dropper.Win32.Agent.bd病毒资料及清除方法。


　　
【病毒分析】：
该病毒具有以下行为：
1、病毒运行后会在System32路径下释放一个动态库文件，在Windows路径下释放一个EXE文件。
2、病毒会添加注册表启动项
?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADIDown Power Adapter = (ImagePath)C:\WINNT\svchost.exe
3、EXE文件用来盗取网络游戏仙境的密码，动态库为另外一个盗取密码的病毒。

【清除方法】：
使用瑞星橙色八月专杀工具查杀，在内存扫描完成后，打开瑞星杀毒软件升级到最新版本全盘查杀。

本文介绍Backdoor.Win32.Agent.luc病毒资料及清除方法。


　　
【病毒分析】：
该病毒具有以下行为：
1、病毒运行后将自己复制到下列路径：
%WINDOWS%\SYSTEM\CMPKU.EXE
%WINDOWS%\MAPSERVER.EXE
%WINDOWS%\SYSTEM\MAINSV.EXE
2、病毒在注册表中添加下列启动项实现自启动：
??? HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
?"Cmpnt" = %WINDOWS%\SYSTEM\CMPKU.EXE
??? HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
?"Ntcheck" = %WINDOWS%\MAPSERVER.EXE
??? HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
?"Shell" = %WINDOWS%\SYSTEM\MAINSV.EXE
??? HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\RunOnce
?"Cmpnt" = %WINDOWS%\SYSTEM\MAINSV.EXE
3、病毒还修改注册表下列键值的实现"不显示隐藏文件"、"隐藏已知扩展名"
??? HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced?
??????? "HideFileExt" = 0x1
??? HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
??????? "Hidden" = 0x0
4、病毒在后台隐藏运行,接收网络中发送的请求并且执行下列请求对应的动作
1.获取中毒计算机中的目录信息,
2.获取中毒计算机中的文件信息,
3.删除中毒计算机中的文件
4.执行中毒计算机中的文件
5.关闭中毒计算机
6.注销中毒计算机
7.修改中毒计算机中的文件属性
8.获取中毒计算机的IP地址 等等.

【清除方法】：
使用瑞星橙色八月专杀工具查杀，在内存扫描完成后，打开瑞星杀毒软件升级到最新版本全盘查杀。

本文介绍Trojan.Mnless病毒资料及清除方法。


　　
【病毒分析】：
该病毒用delphi语言编写，并且使用UPX加壳，具有以下行为
1、病毒首先会把自己复制到C:\Program Files\Internet Explorer\IEXPLORE.New同时生成一个Dll1文件IEXPLORE.win
2、病毒把IEXPLORE.win文件插入到Explore进程中保护自己，
3、病毒在注册表中中加入
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks，在激活一个Shell事件时启动病毒。
4、病毒会从http://www.qqkx.com/cp/CPOpen.txt和http://www.qqkx.com/cp/CPDown.txt网站上下载并运行病毒。

【清除方法】：
1、进入注册表删除掉
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks注册表项。重启电脑。进入C:\Program Files\Internet Explorer文件夹，删除下面这两个文件:
IEXPLORE.New与IEXPLORE.win文件.

2、打开瑞星杀毒软件升级到最新版本，然后断开网络全盘查杀。

本文提供Adware.Winsdup.d病毒资料以及清除方法。


　　
【病毒分析】：
该病毒使用VC6编写，属于广告类病毒，该病毒具有以下行为：
1、生成文件:
  病毒运行后建立路径"%ProgramFiles%\winp",并在此路径释放如下文件：
code.dll；lexi.lex；play.dll；snet.dll；stdi.ini；stdl.ini；stub.dll；upiilex.ini；upme.ini；vote.dll
2、新建注册表信息：
  HKLM\System\CurrentControlSet\Services\svcs = 新建子键
  HKLM\System\CurrentControlSet\Services\svcs\Type = 0x110
  HKLM\System\CurrentControlSet\Services\svcs\Start = 0x2
  HKLM\System\CurrentControlSet\Services\svcs\ErrorControl = 0x1
  HKLM\System\CurrentControlSet\Services\svcs\ImagePath = "%SystemRoot%\System32\svchost.exe -k netsvcs"
  HKLM\System\CurrentControlSet\Services\svcs\DisplayName = "Windows svcs RunThem"
  HKLM\System\CurrentControlSet\Services\svcs\Security = 新建子键
  HKLM\System\CurrentControlSet\Services\svcs\Security\Security = 01 00 14 80 A0 00 00 00 ...
  HKLM\System\CurrentControlSet\Services\svcs\ObjectName = "LocalSystem"
  HKLM\SYSTEM\CurrentControlSet\Services\svcs\Parameters = 新建子键
  HKLM\SYSTEM\CurrentControlSet\Services\svcs\Parameters\ServiceDll = "C:\PROGRA~1\winp\snet.dll"
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C5C8E9A-48BA-4d26-AA01-2E1D4DC14718} = 新建子键
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C5C8E9A-48BA-4d26-AA01-2E1D4DC14718}\DisplayName = "Windows svcs UnInstall"
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C5C8E9A-48BA-4d26-AA01-2E1D4DC14718}\UninstallString = "C:\WINNT\System32\rundll32.exe C:\PROGRA~1\winp\snet.dll,Service -u"
3、病毒尝试连接如下网址，并下载文件
update.borlander.cn
http://update.borlander.cn/upstdad5/updstdii.ini
http://update.borlander.cn/upstdad5/updstdix.ini
http://update.borlander.cn/upstdad5/updadini.ini
http://update.borlander.cn/upstdad5/updadlex.ini
www.borlander.com.cn
http://www.borlander.com.cn/jsp/gi.jsp?t=%d
4、病毒根据下载的文件中的信息，弹出IE显示指定的广告网页或进行点击

【清除方法】：
1、将瑞星卡卡上网安全助手升级到最新版本，进行恶意及流氓软件清理。
2、将瑞星杀毒软件升级到最新版本，全盘查杀。