掀開2007年至今為止破壞力強勁十大「毒王」進程的神秘面紗

帕蟲（Worm.Pabug;AV終結者;U盤寄生蟲）詳細介紹.

　金山反病毒中心將該病毒統稱為「AV終結者」，瑞星反病毒中心將該病毒稱為「帕蟲」，江民反病毒中心將該病毒稱為「U盤寄生蟲」（本文將其稱為「AV終結者」）。
　　普通用戶一旦感染該病毒，從病毒進入電腦，到實施破壞，四步就可導致用戶電腦徹底崩潰：
　　1.禁用所有殺毒軟體及相關安全工具，讓電腦失去安全保障；
　　2.破壞安全模式，致使用戶根本無法進入安全模式清除病毒；
　　3.強行關閉帶有病毒字樣的網頁，只要在網頁中輸入「病毒」相關字樣，網頁遂被強行關閉，即使是一些安全論壇也無法登錄，用戶無法通過網路尋求解決辦法；
　　4.格式化系統盤重裝后很容易被再次感染。

　　用戶格式化后，只要雙擊其他盤符，病毒將再次運行。
　　此外，用戶電腦的安全防禦體系被徹底摧毀，安全性幾乎為零，而「AV終結者」自動連接到擁有病毒的網站，並下載數百種木馬病毒，各類盜號木馬、廣告木馬、風險程序用戶電腦毫無抵抗力的情況下，魚貫而來，用戶的網銀、網游、QQ賬號密碼以及機密文件都處於極度危險之中。因此提醒電腦用戶目前使用電腦需慎之又慎。
　　瑞星反病毒中心目前暫將該病毒稱為「帕蟲」病毒。據瑞星反病毒中心表示：「該病毒採用了多種技術手段來保護自身不被清除，例如，它會終結幾十種常用的殺毒軟體，如果用戶使用google、百度等搜索引擎搜索『病毒』，瀏覽器也會被病毒強制關閉，使得用戶無法取得相關信息。尤為惡劣的是，該病毒還採用了IFEO劫持（windows文件映像劫持）技術，修改註冊表，使QQ醫生、360安全衛士等幾十種常用軟體無法正常運行，從而使得用戶很難手工清除該病毒。」
　　此外，據反病毒專家介紹：「該病毒通過映像劫持技術，將大量殺毒軟體『綁架』，使其無法正常應用，而用戶在點擊相關安全軟體后，實際上已經運行了病毒文件，實現病毒的「先劫持后掉包」的計劃。該病毒不但可以劫持大量殺毒軟體以及安全工具，而且還可禁止Windows的自更新和系統自帶的防火牆，大大降低了用戶系統的安全性，這也是近幾年來對用戶的系統安全破壞程度最大的一個病毒之一。而且該病毒還會在每個磁碟分區上建立自動運行文件（包括U盤），從而使得通過U盤傳播的概率大大增加。同時，由於每個分區上都有病毒留下的文件，普通用戶即使格式化C盤重裝系統，也無法徹底清除該病毒。」
　　其實這些病毒就是我們所稱的隨機7位字母，8位數字和字母組合的病毒，主要通過U盤等移動存儲傳播。
　　用戶感染該病毒后，打開任務管理器可以看到兩個類似不規則的7位字母的進程，如果沒有發現兩個不規則的7位字母的進程你就可能中了那個8位隨機字母數字組合的病毒。
　　專殺工具：「AV終結者」木馬專殺工具 V3.7
　　在使用專殺殺毒后我們還需要作一些後續的恢復系統的工作
　　一般恢復系統工作步驟如下：
　　1.恢復IFEO 映像劫持

　　可以使用autoruns這個軟體：Autoruns V8.61 漢化版

　　由於這個軟體也被映像劫持了 所以我們要把他改個名字
　　打開這個軟體后 找到Image hijack (映像劫持）
　　刪除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft Corporation c:windowssystem32 tsd.exe 以外的所有項目
　　2.恢復顯示隱藏文件
　　把下面的 代碼拷入記事本中然後另存為1.reg文件
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
　　"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
　　"Text"="@shell32.dll,-30500"
　　"Type"="radio"
　　"CheckedValue"=dword:00000001
　　"ValueName"="Hidden"
　　"DefaultValue"=dword:00000002
　　"HKeyRoot"=dword:80000001
　　"HelpID"="shell.hlp#51105"
　　雙擊1.reg把這個註冊表項導入
　　3.恢復安全模式
　　下載sreng ：System Repair EngineerV2.5.16.900 版
　　打開sreng
　　「系統修復」---「高級修復」---點擊修復安全模式在彈出的對話框中點擊---「是」
　　4.最後也是最重要的就是刪除各個分區下面的autorun.inf和7位或者8位隨機數字母的exe

　　注意：一定不要雙擊 也不能右鍵打開一定用winrar刪除

專殺下載：瑞星「威金Worm.Viking」病毒專殺工具V1.0

　　用戶感染威金蠕蟲（Worm.Viking），會在進程管理器看到logo_1.exe進程
　　主要癥狀：
　　1、佔用大量網速，使機器使用變得極慢。
　　2、會捆綁所有的EXE文件，只要一運用應用程序，在winnt下的logo1.exe圖標就會相應變成應用程序圖標。
　　3、有時還會時而不時地彈出一些程序框，有時候應用程序一起動就出錯，有時候起動了就被強行退出。
　　詳細技術信息：
　　病毒運行后，在%Windir%生成 Logo1_.exe 同時會在windws根目錄生成一個名為"virDll.dll"的文件。
　　%WinDir%virDll.dll
　　該蠕蟲會在系統註冊表中生成如下鍵值：
　　[HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW]
　　"auto" = "1"
　　盜取密碼
　　病毒試圖登陸並盜取被感染計算機中網路遊戲傳奇2的密碼，將遊戲密碼發送到該木馬病毒的植入者手中。
　　阻止以下殺毒軟體的運行
　　病毒試圖終止包含下列進程的運行，這些多為殺毒軟體的進程。 包括卡八斯基，金山公司的毒霸。瑞星等。98%的殺毒軟體運行。
　　通過寫入文本信息改變"%System%driversetchosts" 文件。這就意味著，當受感染的計算機瀏覽許多站點時（包括眾多反病毒站點），瀏覽器就會重定向到66.197.186.149。
　　病毒感染運行windows操作系統的計算機，並且通過開放的網路資源傳播。一旦安裝，蠕蟲將會感染受感染計算機中的.exe文件。
　　網吧遭此病毒破壞造成大面積的卡機，癱瘓。危害程度可以和世界排名前十的愛情後門變種相比。該病毒可以通過網路傳播，傳播周期為3分鐘。如果是新做的系統處於中了毒的網路環境內，只要那個機器一上網，3分鐘內必定中招。中招后你安裝　rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe 　kill NAV 等殺毒軟體 都無法補救你的系統，病毒文件 Logo1_.exe 為主體病毒，他自動生成病毒發作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。這些文件一但衍生。他將迅速感染系統內EXPLORE 等系統核心進程 及所以.exe 的可執行文件，外觀典型表現癥狀為 傳奇 ，泡泡堂，等遊戲圖標變色。 此時系統資源可用率極低，你每重新啟動一次，病毒就會發作一次。
　　該病毒對於防範意識較弱，還原軟體未能及時裝到位的網吧十分致命，其網路傳播速度十分快捷有效。舊版的殺毒軟體無法檢測，新版的無法徹底根殺。一但網吧內某台機器中了此病毒，那麼該網吧所有未中毒的機器都處於危險狀態。由於病毒發作貯留於內存。且通過EXPLORE.exe 進行傳播。因此即使是裝了還原精靈，還原卡的機器也同樣會被感染。你重新啟動后系統可以還原。但是你一但開機還是會被感染。
　　病毒發作會生成另外病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厲害的後門程序。和外掛病毒相似，但是其威力是外掛病毒的50倍以上。在WIN98平台下，改病毒威害比較小。在WIN2000 /XP/2003 平台對於網吧系統是致命的，運行系統極度卡機。你重新啟動后你會發現你所有遊戲的.EXE 程序全部都感染了，最新殺毒軟體殺完后。除了系統可以勉強運行。其他的你也別想運行了。
　　病毒清理辦法
　　如果在病毒沒有發作情況下殺毒是可以完全搞定的。如果發作了也不要殺毒了。直接克盤恢復吧。
　　一、找到註冊表中[HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW]
　　"auto" = "1"
　　刪除DownloadWWW主鍵
　　二、找到
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingsystem.iniboot]
　　winlogo 項
　　把WINLOGO 項 後面的C:WINNTSWS32.DLL 刪掉
　　接下來把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 鍵中 /RunOnce/RunOnceEx 兩個中其中有個是也是
　　C:WINNTSWS32.dll
　　把類似以上的全部刪掉 注意不要刪除默認的鍵值（刪了的話後果自負）
　　如果沒有以上鍵值，則直接跳過此步驟
　　
　　三、結束進程
　　按「Ctrl+Alt+Del」鍵彈出任務管理器，找到logo1_.exe 等進程，結束進程，可以藉助綠鷹的進程管理軟體處理更方便。找到EXPL0RER.EXE進程（注意第5個字母是數字0不是字母O），找到它后選中它並點擊「結束進程」以結束掉（如果EXPL0RER.EXE進程再次運行起來需要重做這一步）。
　　四、裝殺毒軟體
　　裝完后不要重新啟動（切記）直接升級病毒庫，升級完后，把C:winnt 目錄下所有帶毒文件刪除。然後運行殺毒軟體開始殺毒。殺完后。還有幾個殺毒軟體無法刪掉的東西要把名字記下來。因為不同的系統有不同的名字。所以這裡說不清楚了。自己記下來。,重新啟動后再次殺毒。記的把可疑的進程的結束。否則殺毒軟體無法乾淨殺毒。還有最重要的一點記的把殺毒軟體無法清除的病毒設置為刪除文件。一般要重複殺毒3-5次才能殺乾淨。
　　五、看看殺毒后的系統。
　　缺少的了很多系統文件。系統處於危險狀態。如果你有GHOST 備份。這個時候恢復一下。系統可以乾淨無損。如果沒有請運行 SFC 命令檢查文件系統。具體操作為 運行-輸入CMD 命令進入DOS 提示符。-輸入SFC /scannow -- 提示放入系統光碟。--放進去吧。然後慢慢等。看看成果。殺毒效果顯著。毒殺乾淨了。但是殺完毒后很多遊戲都玩不了。
　　以上操作只是阻斷傳播，如果怕在使用中感染此病毒，您還需要按照如下操作，這樣即使病毒感染，也不能運行主體病毒程序。當然這裡說的操作實針對win2000系統的，其他的系統可以參考操作。
　　運行 gpedit.msc 打開組策略
　　依次單擊用戶配置---管理模塊---系統---指定不給windows運行的程序點啟用 然後 點顯示 添加 logo1_exe 也就是病毒的源文件 。

　「熊貓燒香」，又稱「武漢男生」，這是一個感染型的蠕蟲病毒，它能感染系統中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟體進程並且會刪除擴展名為gho的文件，該文件是一系統備份工具GHOST的備份文件，使用戶的系統備份文件丟失。
　　專殺下載：「熊貓燒香」病毒專殺工具
　　被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等文件, 它還能中止大量的反病毒軟體進程。
　　癥狀：
　　1：拷貝文件
　　病毒運行后,會把自己拷貝到
　　C:\WINDOWS\System32\Drivers\spoclsv.exe
　　2：添加註冊表自啟動
　　病毒會添加自啟動項
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
　　svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
　　3：病毒行為
　　a：每隔1秒尋找桌面窗口,並關閉窗口標題中含有以下字元的程序
　　QQKav
　　QQAV
　　防火牆
　　進程
　　VirusScan
　　網鏢
　　殺毒
　　毒霸
　　瑞星
　　江民
　　黃山IE
　　超級兔子
　　優化大師
　　木馬剋星
　　木馬清道夫
　　QQ病毒
　　註冊表編輯器
　　系統配置實用程序
　　卡巴斯基反病毒
　　Symantec AntiVirus
　　Duba
　　esteem proces
　　綠鷹PC
　　密碼防盜
　　噬菌體
　　木馬輔助查找器
　　System Safety Monitor
　　Wrapped gift Killer
　　Winsock Expert
　　遊戲木馬檢測大師
　　msctls_statusbar32
　　pjf(ustc)
　　IceSword
　　並使用的鍵盤映射的方法關閉安全軟體IceSword
　　添加註冊表使自己自啟動
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
　　svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
　　並中止系統中以下的進程：
　　Mcshield.exe
　　VsTskMgr.exe
　　naPrdMgr.exe
　　UpdaterUI.exe
　　TBMon.exe
　　scan32.exe
　　Ravmond.exe
　　CCenter.exe
　　RavTask.exe
　　Rav.exe
　　Ravmon.exe
　　RavmonD.exe
　　RavStub.exe
　　KVXP.kxp
　　kvMonXP.kxp
　　KVCenter.kxp
　　KVSrvXP.exe
　　KRegEx.exe
　　UIHost.exe
　　TrojDie.kxp
　　FrogAgent.exe
　　Logo1_.exe
　　Logo_1.exe
　　Rundl132.exe
　　b：每隔18秒
　　點擊病毒作者指定的網頁,並用命令行檢查系統中是否存在共享
　　共存在的話就運行net share命令關閉admin$共享
　　c：每隔10秒
　　下載病毒作者指定的文件，並用命令行檢查系統中是否存在共享
　　共存在的話就運行net share命令關閉admin$共享
　　d：每隔6秒
　　刪除安全軟體在註冊表中的鍵值
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　RavTask
　　KvMonXP
　　kav
　　KAVPersonal50
　　McAfeeUpdaterUI
　　Network Associates Error Reporting Service
　　ShStartEXE
　　YLive.exe
　　yassistse
　　並修改以下值不顯示隱藏文件
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
　　刪除以下服務：
　　navapsvc
　　wscsvc
　　KPfwSvc
　　SNDSrvc
　　ccProxy
　　ccEvtMgr
　　ccSetMgr
　　SPBBCSvc
　　Symantec Core LC
　　NPFMntor
　　MskService
　　FireSvc
　　e：感染文件
　　病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的頭部
　　並在擴展名為htm,html, asp,php,jsp,aspx的文件中添加一網址,
　　用戶一但打開了該文件,IE就會不斷的在後台點擊寫入的網址,達到
　　增加點擊量的目的,但病毒不會感染以下文件夾名中的文件:
　　WINDOW
　　Winnt
　　System Volume Information
　　Recycled
　　Windows NT
　　WindowsUpdate
　　Windows Media Player
　　Outlook Express
　　Internet Explorer
　　NetMeeting
　　Common Files
　　ComPlus Applications
　　Messenger
　　InstallShield Installation Information
　　MSN
　　Microsoft Frontpage
　　Movie Maker
　　MSN Gamin Zone
　　g：刪除文件
　　病毒會刪除擴展名為gho的文件,該文件是一系統備份工具GHOST的備份文件
　　使用戶的系統備份文件丟失。

網游木馬（Trojan.PSW.OnlineGames）及其多個變種運行后將自身複製到Windows目錄中，修改註冊表實現自啟動。會中止多種殺毒軟體的運行,造成它們無法使用。病毒會記錄用戶的鍵盤和滑鼠操作，竊取網路遊戲玩家的遊戲賬號和密碼。
　　手工清除辦法：
　　
　　開始--運行--regedit，打開註冊表，點註冊表中的"我的電腦"—>點"編輯"—>查找，輸入mppds.exe ，找到的項目就點右鍵--刪除，按F3繼續，直到查找完畢.（用同樣的方法查找並刪除c0nime.exe ，winform.exe ，upxdnd.exe ，msccrt.exe ，wsttrs.exe ，cmdbcs.exe ，mppds.exe ，Updaterun.exe）
　　清除方案： （建議先下載個UNLOCKER）
　　
　　1、關閉系統還原（一定要關閉，建議刪掉所有的系統還原文件），結束兩個進程rundll32.exe；
　　2、打開選項「顯示受保護的操作系統文件」「顯示隱藏文件」（我的電腦--工具--文件夾選項--查看--）
　　刪除以下文件：（文件刪不掉的 安裝UNLOCKER 右鍵--UNLOCKER后--再刪除）
　　！！（打不開隱藏文件的：
　　把下面的內容保存成 ****.reg 文件后，雙擊導入註冊表即可！
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
　　"Text"="@shell32.dll,-30500"
　　"Type"="radio"
　　"CheckedValue"=dword:00000001
　　"ValueName"="Hidden"
　　"DefaultValue"=dword:00000002
　　"HKeyRoot"=dword:80000001
　　"HelpID"="shell.hlp#51105"）
　　刪掉以下文件
　　C:\WINDOWS\Microsoft\rundll32.exe
　　C:\program files\internet explorer\use6.dll
　　C:\WINDOWS\system32\dt.dll
　　WINDOWS文件夾內的cmdbcs.exe，mppds.exe，msccrt.exe，upxdnd.exe，winform.exe之類文件手動刪除,
　　TEMP文件夾下的upxdnd.exe和upxdnd.dll文件手動刪除。
　　C:下的SYS...之類包含ghook.dll和svchost.exe的2個文的文件夾刪除;
　　（也可以進安全模式下直接刪除）
　　3、修改註冊表，刪除以下兩項：
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
　　
　　4、使用unlocker刪除C:\\WINDOWS\system32\drivers\etc\hosts
　　5、使用資源管理器（開始-所有程序-附件-windows資源管理器）打開各個分區，刪除所有分區下面的Autorun.inf及mplay.com （也可右鍵打開進去，但不要雙擊進入）
　　6、檢查並清理啟動項，（開始--運行--輸入「MSCONFIG」--啟動）
　　7、重啟

　該病毒及其變種在運行之後，病毒會竊取用戶的QQ號碼及密碼併發送給黑客，可能造成用戶的個人信息泄漏。病毒還會從網路下載文件到染毒的計算機，終止多種殺毒軟體運行，造成這些殺毒軟體無法正常使用。
　　Trojan.PSW.QQPass（QQ通行證）病毒會啟動一個偽系統進程SVOHOST.EXE。是不是和SVCHOST很象呢。所以我們要先把這個進程結束掉。OK。這時候殺毒軟體就已經能開啟了。本來是不能開啟的。它會把瑞星在內的一般殺毒軟體都阻止掉。XP的防火牆也不放過。然後打開開始-運行-MSCONFIG-看啟動項那裡。有個SVOHOST.EXE的我們把勾去掉。然後在後面的路徑里找到那個文件的所在。要看到那個病毒需要把文件夾選項裡面的保護系統文件去掉勾。再點顯示所有文件才能看到。
　　注意：
　　1.這個病毒會通過U盤等手段傳播。
　　.
　　2.那個病毒會在每個盤根目錄建一個文件AUTORUN.INF屬性SH 還有一個執行文件 SXS.EXE，屬性也是SH
　　AUTORUN.INF的內容就是每次雙擊打開磁碟就運行SXS.EXE.因為它把磁碟右鍵菜單 裡面第一個內容給為AUTO.我們雙擊的時候就又恢復病毒了。要注意殺的時候用右 鍵---然後選擇打開進入盤內刪除掉AUTORUN.INF和SXS.EXE.
　　對了，假如連文件夾選項也給篡改了的話。只能用ATTRIB來實行解除那些文件的隱藏屬性了.在運行裡面輸入CMD.打開MS-DOS.
　　輸入：
　　ATTRIB C:\WINDOWS\SYSTEM32\SVOHOST -S -H
　　-S就是驅除系統屬性-H就是去掉隱藏屬性了，那樣我們就能看到他們，關於AUTORUN.INF和SXS.EXE也可以使用同樣辦法來處理。命令格式如下：
　　ATTRIB 路徑 -S -H
　　弄好了之後就把他們[SVOHOST.EXE/AUTORUN.INF/SXS.EXE]都刪除了。
　　然後重啟。
　　專殺工具：QQ病毒專殺工具XP 2007 Build 0201

ARP病毒也叫ARP地址欺騙類病毒，這是一類特殊的病毒。該病毒一般屬於木馬病毒，不具備主動傳播的特性，不會自我複製，但是由於其發作的時候會向全網發送偽造的ARP數據包，嚴重干擾全網的正常運行，其危害甚至比一些蠕蟲病毒還要嚴重得多。

　　ARP病毒發作時，通常會造成網路掉線，但網路連接正常，內網的部分電腦不能上網，或者所有電腦均不能上網，無法打開網頁或打開網頁慢以及區域網連接時斷時續並且網速較慢等現象，嚴重影響到企業網路、網吧、校園網路等區域網的正常運行。

　　以下六個步驟，即可有效防範ARP病毒：

　　1、做好IP－MAC地址的綁定工作（即將IP地址與硬體識別地址綁定），在交換機和客戶端都要綁定，這是可以使區域網免疫ARP病毒侵擾的好辦法。

　　2、全網所有的電腦都打上MS06-014和MS07-017這兩個補丁，這樣可以免疫絕大多數網頁木馬，防止在瀏覽網頁的時候感染病毒。

　　MS06-014 中文版系統補丁下載地址：
　　http://www.microsoft.com/china/t ... letin/MS06-014.mspx

　　MS07-017 中文版系統補丁下載地址：
　　http://www.microsoft.com/china/t ... letin/MS07-017.mspx

　　3、禁用系統的自動播放功能，防止病毒從U盤、移動硬碟、MP3等移動存儲設備進入到計算機。禁用Windows 系統的自動播放功能的方法：在運行中輸入 gpedit.msc 后回車，打開組策略編輯器，依次點擊：計算機配置－＞管理模板－＞系統－＞關閉自動播放－＞已啟用－＞所有驅動器－＞確定。

　　4、在網路正常時候保存好全網的IP－MAC地址對照表，這樣在查找ARP中毒電腦時很方便。

　　5、部署網路流量檢測設備，時刻監視全網的ARP廣播包，查看其MAC地址是否正確。

　　6、安裝殺毒軟體，及時升級病毒庫，定期全網殺毒。

該病毒採用PECompact加殼處理，運行後會釋放一個名為「1.dLl」的文件到系統目錄中。同時在註冊表中添加啟動項目，實現隨系統啟動自動運行。該病毒自動在後台運行，會試圖竊取網路遊戲「征途」的賬號和密碼等信息併發送給黑客。

　　病毒特徵：這是個將自己與一個征途多個輔助工具捆綁在一起的征途盜號木馬。

　　發作癥狀：開機就彈出很多病毒警告，病毒文件是ztdll.dll，隔離和清除都失敗，重新啟動進入安全模式殺毒，把ztdll.dll清除掉，重啟後進入系統又彈出同樣的病毒警告，證明病毒源未找到。

　　後來在系統進程里發現一個不正常的進程svhost32.exe，經過查找，發現果然是它在做怪，其運行原理是開機自動載入運行，然後釋放ztdll.dll。

　　病毒原理：該病毒在被執行時首先執行捆綁的病毒體，然後彈出一個征途多開輔助工具的界面。病毒體執行的過程中會釋放病毒文件到 %UserDir%\Local Settings\Temp\zt.exe下並執行。由病毒文件zt.exe釋放文件%system%\dll.dll，並將其設置為只讀、系統和隱藏屬性，並且修改註冊表項。該木馬病毒不斷的查找征途客戶端窗口，獲得用戶帳號信息后發送到指定網站。

　　清除病毒辦法：

　　1. 任務管理器里結束進程 svhost32.exe

　　2. 刪除文件 C:\ProgramFiles\svhost32.exe

　　3. 運行regedit.exe進入註冊表，刪除啟動項:

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

　　"load"="%ProgramFiles%\svhost32.exe"

　該病毒會自動發送通過MSN發送「its only my photos!（這是我的照片）」、「Nice new photos of me!! :p（我的新好看照片）」、「hey regarde mes tof!! :p 」等多種語言版本的誘惑性信息，隨後會試圖發送一個名為「photos.Zip」的壓縮文件，用戶接受運行后就會中毒。該病毒除了濫發MSN消息和病毒郵件外，還會試圖鏈接網站「www.Free8.Bi*z」，這可能是為了提高該網站的點擊率，或者有其它企圖。
　　病毒分析：
　　這是一個通過MSN進行傳播的蠕蟲病毒，病毒行為如下：
　　1、病毒運行后創建自己的壓縮包命名為PHOTOS.ZIP釋放到%WINDIR%目錄下，放出一名為syshosts.dll的動態庫到%SYSTEM%目錄下，將動態庫蛀入系統多個線程中實現其傳播的功能。
　　2、病毒會自動創建如下註冊表項，實現自啟動。
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
　　"syshosts" = {1E3EF678-AFB7-4420-9CCF-3725505ACA10}
　　3、病毒會將生成的PHOTOS.ZIP通過MSN模擬鍵盤和滑鼠操作發送給其他聯繫人,發送消息如下：
　　 Here are my private pictures for you
　　 Here are my pictures from my vacation
　　 My friend took nice photos of me.you Should see em loL!
　　 its only my photos!
　　 Nice new photos of me and my friends and stuff and when i was young lol...
　　 Nice new photos of me!! :p
　　 Check out my sexy boobs
　　 hey regarde mes tof!! :p
　　 ma soeur a voulu que tu regarde ca!
　　 hey regarde les tof, c'est moi et mes copains entrain de....
　　 j'ai fais pour toi ce photo album tu dois le voire
　　 tu dois voire ces tof
　　 mes photos chaudes
　　 c'est seulement mes tof :p
　　 zijn enige mijn foto's
　　 wanna Hey ziet mijn nieuw fotoalbum?
　　 indigde enkel nieuw fotoalbum!
　　 hey keurt mijn nieuw fotoalbum goed.. :p
　　 het voor yah, doend beeldverhaal van mijn leven lol..
　　 en Fotos ! :p
　　 le mie foto calde :p
　　 mis fotos calientes
　　 as :p
　　 lbum de foto
　　4、病毒運行后將訪問www.free8.bi的地址，以特定的昵稱,登錄到特定的IRC頻道上，並在IRC聊天頻道中散播消息。
　　
　　手工清除方法：
　　一、刪除病毒在註冊表中的啟動項目
　　1、點擊「開始」菜單，選擇運行。輸入「regedit.exe」啟動註冊表編輯器。
　　2、打開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad項，找到名為「syshosts」一項，將其值記錄下來。
　　3、將syshosts項刪除。
　　4、打開註冊表中的HKEY_CLASSES_ROOTCLSID項，找到剛剛記錄下的項目，將該項刪除。
　　5、重新啟動計算機。
　　二、刪除病毒文件
　　1、打開「我的電腦」，選擇菜單「工具」-》「文件夾選項」，點擊「查看」，取消「隱藏受保護的操作系統文件」前的對勾，並在「隱藏文件和文件夾」項中選擇「顯示所有文件和文件夾」，然後點擊「確定」。同時取消掉「隱藏已知類型文件的擴展名」前的對勾，然後點擊「確定」。
　　2、進入Windows文件夾（默認為C:Windows），找到名為「photos.zip」的文件，將其刪除。
　　3、進入系統文件夾（默認為C:Windowssystem32），找到名為「syshosts.dll」的文件，將其刪除。
　　4、再次重新啟動計算機，查看這兩個文件是否存在，若不存在，則說明病毒已經被清除乾淨。
　　對於一般用戶可直接使用專殺工具：江民MSN「性感相冊」蠕蟲專殺工具

　Trojan.DL.MnLess是一個木馬下載器，從黑客指定站點下載其它木馬，並在被感染的計算機上自動運行。開機后隨系統啟動而運行，所以開機後點擊右鍵刪除被病毒感染的文件是不可能的殺毒軟體也不能將病毒清除。想不重裝系統，可以下載Unlocker手動刪除頑固的病毒文件。
　　1.用unlocker軟體，他的作用是可以將單一文件有關聯的關係全部解除。
　　2.找到該文件（中毒的文件)在他上面點右鍵選者unlocker，然後會跳出一個窗口，再點選「全部解鎖」。
　　3.刪除被感染的文件
　　4.刪除后最好用殺毒軟體做一次全面掃描。
　　5.重啟系統，就會發現trojan.dl.mnless木馬病毒已經被清除了。
　　進入下載頁面：Unlocker1.8.5

灰鴿子(backdoor.gpigeon)是國內一款著名後門。比起前輩冰河、黑洞來，backdoor.gpigeon可以說是國內後門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時，backdoor.gpigeon是一款優秀的遠程控制軟體。但如果拿它做一些非法的事，backdoor.gpigeon就成了很強大的黑客工具。對backdoor.gpigeon完整的介紹也許只有backdoor.gpigeon作者本人能夠說清楚，在此我們只能進行簡要介紹。
　　backdoor.gpigeon客戶端和服務端都是採用Delphi編寫。黑客利用客戶端程序配置出服務端程序。可配置的信息主要包括上線類型（如等待連接還是主動連接）、主動連接時使用的公網IP（域名）、連接密碼、使用的埠、啟動項名稱、服務名稱，進程隱藏方式，使用的殼，代理，圖標等等。
　　特點：
　　1、運行后，病毒進程插入所有當前正在運行的進程中；
　　2、隱藏病毒自身進程；
　　3、隱藏病毒文件；
　　4、將自身註冊為系統服務，實現啟動載入。
　　灰鴿子的運行原理
　　灰鴿子木馬分兩部分：客戶端和服務端。黑客操縱著客戶端，利用客戶端配置生成出一個服務端程序。服務端文件的名字默認為G_Server.exe，然後黑客通過各種渠道傳播這個木馬（俗稱種木馬或者開後門）。種木馬的手段有很多，比如，黑客可以將它與一張圖片綁定，然後假冒成一個羞澀的MM通過QQ把木馬傳給你，誘騙你運行；也可以建立一個個人網頁，誘騙你點擊，利用IE漏洞把木馬下載到你的機器上並運行；還可以將文件上傳到某個軟體下載站點，冒充成一個有趣的軟體誘騙用戶下載
　　G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄，2k/NT下為系統盤的Winnt目錄)，然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端，有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個名稱並不固定，它是可以定製的，比如當定製服務端文件名為A.exe時，生成的文件就是A.exe、A.dll和A_Hook.dll。
　　Windows目錄下的G_Server.exe文件將自己註冊成服務（9X系統寫註冊表啟動項），每次開機都能自動運行，運行后啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能，與控制端客戶端進行通信；G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒註冊的服務項。隨著灰鴿子服務端文件的設置不同，G_Server_Hook.dll有時候附在Explorer.exe的進程空間中，有時候則是附在所有進程中。
　　灰鴿子的手工檢測
　　由於灰鴿子攔截了API調用，在正常模式下木馬程序文件和它註冊的服務項均被隱藏，也就是說你即使設置了「顯示所有隱藏文件」也看不到它們。此外，灰鴿子服務端的文件名也是可以自定義的，這都給手工檢測帶來了一定的困難。
　　但是，通過仔細觀察我們發現，對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出，無論自定義的伺服器端文件名是什麼，一般都會在操作系統的安裝目錄下生成一個以「_hook.dll」結尾的文件。通過這一點，我們可以較為準確手工檢測出灰鴿子木馬。
　　由於正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算機，在系統進入Windows啟動畫面前，按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放)，在出現的啟動選項菜單中，選擇「Safe Mode」或「安全模式」。
　　1、由於灰鴿子的文件本身具有隱藏屬性，因此要設置Windows顯示所有文件。打開「我的電腦」，選擇菜單「工具」—》「文件夾選項」，點擊「查看」，取消「隱藏受保護的操作系統文件」前的對勾，並在「隱藏文件和文件夾」項中選擇「顯示所有文件和文件夾」，然後點擊「確定」。
　　2、打開Windows的「搜索文件」，文件名稱輸入「_hook.dll」，搜索位置選擇Windows的安裝目錄（默認98/xp為C:\windows，2k/NT為C:\Winnt）。
　　3、經過搜索，我們在Windows目錄（不包含子目錄）下發現了一個名為Game_Hook.dll的文件。
　　4、根據灰鴿子原理分析我們知道，如果Game_Hook.DLL是灰鴿子的文件，則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄，果然有這兩個文件，同時還有一個用於記錄鍵盤操作的GameKey.dll文件。
　　經過這幾步操作我們基本就可以確定這些文件是灰鴿子木馬了，下面就可以進行手動清除。
　　灰鴿子的手工清除
　　經過上面的分析，清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作，主要有兩步：1、清除灰鴿子的服務；2刪除灰鴿子程序文件。
　　注意：為防止誤操作，清除前一定要做好備份。
　　一、清除灰鴿子的服務

　　2000／XP系統：
　　1、打開註冊表編輯器（點擊「開始」－》「運行」，輸入「Regedit.exe」，確定。），打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services註冊表項。
　　2、點擊菜單「編輯」－》「查找」，「查找目標」輸入「game.exe」，點擊確定，我們就可以找到灰鴿子的服務項（此例為Game_Server）。
　　3、刪除整個Game_Server項。
　　98／me系統：
　　在9X下，灰鴿子啟動項只有一個，因此清除更為簡單。運行註冊表編輯器，打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項，我們立即看到名為Game.exe的一項，將Game.exe項刪除即可。
　　二、刪除灰鴿子程序文件

　　刪除灰鴿子程序文件非常簡單，只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然後重新啟動計算機。至此，灰鴿子已經被清除乾淨。
　　小結
　　本文給出了一個手工檢測和清除灰鴿子的通用方法，適用於我們看到的大部分灰鴿子木馬及其變種，然而仍有極少數變種採用此種方法無法檢測和清除。同時，隨著灰鴿子新版本的不斷推出，作者可能會加入一些新的隱藏方法、防刪除手段，手工檢測和清除它的難度也會越來越大。當你確定機器中了灰鴿子木馬而用本文所述的方法又檢測不到時，最好找有經驗的朋友幫忙解決。
　　同時隨著瑞星殺毒軟體2005版產品發布，殺毒軟體查殺未知病毒的能力得到了進一步提高。經過瑞星公司研發部門的不斷努力，灰鴿子病毒可以被安全有效地自動清除，需要用戶手動刪除它的機會也將越來越少。
　　病毒註冊的服務項。隨著灰鴿子服務端文件的設置不同，G_Server_Hook.dll有時候附在Explorer.exe的進程空間中，有時候則是附在所有進程中。