“Q号感染者5373”（Win32.InjPad.a.5373），这是一个感染型病毒。它会感染记事本程序，盗取用户QQ密码，并通过指定邮箱发送到盗号者处。在磁盘分区有J盘的电脑上，病毒可感染所有exe文件。

“木马下载器65536”（Win32.TrojDownloader.Small.eg.65536），这是一个下载者程序，会从指定的网址上下载其它恶意软件保存到用户计算机上并运行。它还会创建注册表启动项，实现开机自动运行。

一、“Q号感染者5373”（Win32.InjPad.a.5373） 威胁级别：★

此病毒通过被感染的exe可执行文件传播。进入用户的电脑系统后，它会立即运行，检测系统当前运行的程序中是否有QQ聊天工具。若有，则通过键盘记录的方式记录用户输入的帐号和密码，并在用户不知晓的情况下建立邮件服务，把帐号和密码发送到病毒作者指定的新浪邮箱。

干完偷QQ号的活后，病毒并不会停歇。它继续搜索系统盘，找到%windows%目录下的记事本文件notepad.exe，然后立即将其感染。用户如果查看该文件，可发现它占用的系统空间明显增大。此外，该病毒还针对磁盘分区较多的系统设计有全盘感染功能，如果用户系统中有盘符为“J”的磁盘，它就会从J盘开始感染所有的exe可执行文件。

由于被感染的文件在功能上并不受影响，因此感染完成后，它们仍可继续运行，用户不会发现明显异常。如果查看文件属性，会发现受感染文件的体积都有所增大。

二、“木马下载器65536”（Win32.TrojDownloader.Small.eg.65536） 威胁级别：★

病毒成功运行后，在%windows%目录下释放出病毒文件sverror.exe，然后修改注册表启动项，将该文件的相关信息加入其中，使自己可以在以后每次用户启动系统时随之启动。

随后，病毒创建iexplorer.exe系统进程，在用户不知晓的情况下，利用iexplorer.exe建立远程连接，从http://www.z***1.com这一木马作者指定的网址上下载大量的恶意程序，并且立刻运行。这时，用户如果查看系统盘的%program files%目录，就能发现多出了六个陌生的EXE可执行文件，文件名是以小写字母 m 加上1至6单位数字组成的，如 m1.exe。没错，它们就是病毒下载到电脑中的其它病毒文件。

虽然此下载者本身不具备直接危害，但由于木马作者可以随时更换服务器上的文件，因此被下载的恶意程序也可能多变，会给用户造成无法估计的损失。

引用:

2007年12月10日至12月16日计算机病毒预报
病毒名称：“仇恨脚本”（VBS.Rol.a.11804）
危害程度：中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害：
1. 搜索系统中htm、htm、asp文件
2. 修改注册表中的IE首页相关信息
3. 连接指定的网站，下载病毒
4. 删除文件，强行关闭系统
感染形式：
这是一个脚本病毒，它可通过邮件传播。该病毒运行后会感染htm、htm、asp文件、删除磁盘中几乎全部的文件，并强行关闭系统。在关闭系统前，它还会弹出一个含有种族敌视内容的对话框。
病毒进入电脑系统后，会立即对系统盘进行搜索，寻找Zone Labs、AntiViral Toolkit Pro、Command Software、PC-Cillin、Quick Heal(快速愈合)、麦咖啡、诺顿等国外主流安全软件，发现之后将它们迅速删除。这样一来，它便能在系统中肆意地进行破坏。接着，病毒搜索系统中所有的htm、html、asp格式文件，将自己的病毒信息插入其中欧，同时它还修改注册表中的IE首页相关信息，将IE浏览器的默认首页设定为http://www.o**t.edu/g***ps/**a/ev***nder.swf。这样一来，用户使用网络服务时，就会被引导到病毒作者指定的网站。此病毒对系统的最大的危害，在于它会删除%windows%\System32\目录下的全部文件，并对所有磁盘分区中的多种非系统文件进行“移形换影”。当它检测到扩展名为lnk、zip、jpg、peg、mpg、mpeg、doc、xls、mdb、txt、ppt、pp、ram、rm、mp3、mdb、swf等的文件后，就会用“原文件名+.vbs”的病毒文件替换掉原文件。当目标文件删除完毕，病毒就会弹出一个含有敌视犹太人内容的对话框，然后强行关闭系统。除在本机上进行破坏外，病毒还会搜索受害电脑上的邮件地址，向这些地址发送含有病毒链接的邮件，借以扩散自己的影响范围。
预防和清除：
安装专业的杀毒软件进行全面监控。建议用户立即针对自己计算机安装的操作系统，找到相应的安全漏洞补丁，下载并安装。以遏制利用这些漏洞进行传播的病毒，减少病毒给计算机用户带来的危害。

病毒名称： “ARP下载者102400”（Win32.Troj.Downloader.yl.102400）
危害程度：中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害：
1． 释放出病毒文件
2． 在根目录下生成病毒副本
3． 修改注册表，禁用显示隐藏文件选项
4． 对整个局域网内的所有 IP 进行攻击
感染形式：
病毒进入系统后，会释放出5个病毒文件，分别为%WINDOWS%\system32\Com\目录下的SMSS.EXE、netcfg.dll、netcfg.000，以及%\WINDOWS%\system32\drivers\目录下的alg.exe目录下，还有释放出%\WINDOWS%\system32\下的dnsq.dll。同时还在在所有的磁盘根目录下生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件，如果用户双击进入受感染磁盘，病毒就会被再次激活。此后，只要用户在此台电脑上使用U盘等移动存储器器，病毒就会立刻传染上去。病毒还将自己拷贝到%WINDOWS%\system32\Com\目录下，更名为 LSASS.EXE，并释放并运行病毒文件SMSS.EXE 和 ALG.EXE ，由于病毒的进程名和系统的 LSASS、SMSS 进程名相同，任务管理器将无法结束它。该病毒会修改注册表，禁用显示隐藏文件选项，使隐藏文件无法被显示，并破坏系统安全模式的相关数据，使用户无法启动安全模式。它还会不断修改注册表，这会使得部分安全工具无法成功修复安全模式。该病毒具有映象劫持功能，可以破坏许多常用安全工具和调试分析软件的正常运行，如果它发现无法解决安全软件，就会将电脑强制关机。最后该病毒悄悄建立远程连接，从http://w.c**o.com/*.htm 和http://j*.k***2.com/g*.asp下载恶意脚本执行。此外，之前生成的alg.exe 是个ARP 病毒，它会利用 WinPcap 来收发网络包，对整个局域网内的所有 IP 进行攻击，给网络中的所有用户造成影响。
预防和清除：
建立良好的安全习惯，并在适当时候进行全网查杀病毒，保证企业信息安全。建议您全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。

病毒名称：“破天一剑终结者变种CN” (Trojan.PSW.Win32.NSword.cn)
危害程度：中低
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, UNIX, Linux
病毒危害：
1. 在系统目录下建立病毒文件
2. 注入到系统正常进程
3. 禁用防火墙、禁用系统自动更新
4. 盗取游戏的账号和密码
5. 发送到黑客指定的网站上
感染形式：
这是一个木马病毒。病毒运行后会在系统目录下建立文件名为：kapjeaz.exe、kapjezy.dll的病毒文件。病毒将自身注入到系统正常进程Explorer.exe中，并禁用防火墙、禁用系统自动更新，给用户的网络安全带来隐患。病毒可以检测游戏《破天一剑》是否在运行，通过挂钩子的方式盗取游戏的账号和密码，并发送到黑客指定的网站上。
预防和清除：
建议电脑用户不要随便运行来历不明的文件，以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。

引用:

国家计算机病毒应急处理中心通过对互联网的监测发现，近期“ＡＶ终结者”的一个新木马变种正在互联网上传播。

反病毒专家介绍，该木马运行后，会在受感染的计算机操作系统中的系统目录下建立一个以当前

系统时间为名称的控件文件（后缀名：ＯＣＸ），然后修改系统注册表的启动项，实现木马程序随操作系统启动而自动运行。

另外，木马会将其自身注入到受感染系统的正常进程程序中，修改当前的系统时间，并且终止系统中防病毒软件的进程，导致无法正常使用。木马还会修改操作系统中共享目录的设置，导致计算机用户的相关账户、密码信息被窃取。

针对此类木马专家建议：

１、立即升级计算机系统中防病毒软件，打开防病毒软件的“实时监控”功能；

２、建议给计算机系统设置复杂一些的登录密码，预防木马通过密码猜测进行传播入侵操作系统；

３、养成良好的安全防范意识，不要打开可疑的邮件或是点击浏览可疑陌生的网站。

国家计算机病毒应急处理中心9日预报10日至16日一周内将要定期发作的计算机病毒如下：

病毒名称：“杀手十三”　(Worm_Killonce.A)

病毒类型：蠕虫病毒

发作日期：12月13日

危害程度：计算机用户的操作系统一旦感染这种蠕虫，就会将受感染系统中的C盘根目录下的所有文件删除掉，造成计算机用户的数据文件丢失破坏，无法正常使用。

专家建议，一定要立即升级计算机系统中防病毒软件，打开防病毒软件的“实时监控”功能，以防病毒给计算机系统造成危害。

反病毒专家提醒，近期计算机用户需高度警惕“ARP骗子318857”（Win32．Troj．Agent．vm．318857）病毒。该病毒会搜索局域网中每台电脑的连接，不断冒充网关向它们发送大量ARP欺骗数据，造成频繁断网。

金山反病毒专家戴光剑介绍，“ARP骗子318857”病毒成功进入电脑系统后，在系统盘的％windows％／system32／目录下释放出3．vbs、run．bat、Vml．exe、Packet．dll、WanPacket．dll、wpcap．dll等6个病毒文件，还会在％windows％／system32／drivers／目录下生成npf．sys病毒文件。然后，病毒修改注册表中的相关数据，将自己设置为可随系统自动启动，这样，以后用户只要启动电脑，病毒就能跟着自动运行起来。

戴光剑指出，病毒运行起来后，当然不会只在用户电脑里瞎逛，搞破坏才是它的目的。它会搜索局域网络中各台电脑的连接，不断冒充网关向它们发送大量ARP欺骗数据，造成频繁断网，并在受害电脑的浏览器后台中打开http：／／xx。b＊＊01．com／＊．htm这个病毒作者指定的网页，下载其他木马程序，给用户造成无法估计的损失。

专家建议，用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级，切断病毒传播的途径，不给病毒以可乘之机。

可是我周围的发现这样的病毒用了这样的杀毒软件基本是解决了 发出来给大家共享下

U盘老是被 这个感柒

好多病毒哦，要注意啦

有解决办法么

好好学习 天天向上!!

木马下载器成灾　破坏services.exe文件


五一小长假期间，部分电脑用户发现使用多个杀毒软件清除病毒之后，在重启电脑时出错，提示信息为：“services.exe”运行错误，“电脑无法连接到httpaddurl和 cdfview.dll或cards.dll”等类似信息，出错时提示的DLL文件各不相同，对应该病毒的多个不同变种。
5月2日开始发现个别网友报告这种现象，该病毒的出现引起社区众多反病毒爱好者的一致关注。但可惜的是，很多报告发现这个现象的网友，此时的故障电脑基本无法正常上网，有的说开机大约需要10分钟甚至更长时间。

随着时间的拖延，我们发现描述这个现象的网民也越来越多，金山反病毒中心目前捕获了部分变种。已经更新了清理专家的恶意软件特征库和毒霸的病毒库。在更新后的电脑上扫描时会有如下发现：

当遇到此问题时，需要从正常的系统中恢复services.exe，才能解决问题。

方法1：可以是从正常电脑的cwindows\system32\services.exe（这里假定系统安装在cwindows目录）下拷贝复制，然后用U盘拷贝到故障电脑（故障电脑可能出现无法登录，可尝试调用任务管理器，利用任务管理器的浏览功能，访问U盘上正常的services.exe，复制后再粘贴到故障电脑的cwindows\system32目下。)

方法2：利用故障恢复控制台引导，再使用expand命令还原services.exe，（以下文字摘自爱毒霸论坛会员EasunLuyang的发贴原文）

用 XP 安装盘启动，引导到修复状态，运行

expand x:\i386\services.ex_ c:\windows\system32\dllcache\
expand x:\i386\services.ex_ c:\windows\system32\

6月4日病毒预报－“下载器蠕虫变种HA”病毒



据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“下载器蠕虫变种HA（Worm.Win32.DownLoader. ha）”病毒。该病毒会访问黑客指定的网站下载数十个木马病毒，可能导致McAfee等安全软件无法正常运行，同时病毒会把自己复制到各个磁盘下，以感染u盘或其他移动存储设备，添加自动运行文件使得用户打开磁盘的同时运行病毒程序，阻止杀毒软件对其进行查杀，导致清除病毒困难。

本日热门病毒：

“下载器蠕虫变种HA（Worm.Win32.DownLoader. ha）”病毒：警惕程度★★★，蠕虫病毒，通过U盘等传播，依赖系统：Windows NT/2000/XP/2003。

病毒运行后会把自己拷贝到System32路径下命名为thundet.exe和dllhos.exe（与迅雷和系统文件名相似），然后添加注册表项实现自启动，病毒会访问黑客指定的网站下载数十个木马病毒，同时还会感染脚本文件，在脚本文件的最后添加网址使得用户打开网页的同时下载病毒脚本，为了阻止安全类软件查杀该病毒，病毒还会添加注册表项实现映像劫持，导致360安全卫士和McAfee等安全软件无法正常运行，最后病毒会把自己复制到各个磁盘下，添加autorun.inf使得用户打开磁盘的同时运行病毒程序，以感染u盘或其他移动存储设备，使用户容易反复感染，很难彻底清除。

6月4日病毒预报－“QQ大盗”变种tqj和“砸波”变种s病毒



江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQPass.tqj“QQ大盗”变种tqj和TrojanSpy.Zbot.s“砸波”变种s值得关注。

病毒名称：Trojan/PSW.QQPass.tqj
中 文 名：“QQ大盗”变种tqj
病毒长度：30842字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQPass.tqj“QQ大盗”变种tqj是“QQ大盗”木马家族的最新成员之一，采用Delphi编写，经过添加保护壳处理。“QQ大盗”变种tqj运行后，在被感染计算机系统盘的“Program Files\Internet Explorer\PLUGINS”目录下释放文件“DosSys16.Sys”。修改注册表，将“DosSys16.Sys”注册为浏览器辅助对象（BHO），实现“QQ大盗”变种tqj开机自动运行。将病毒代码注入到所有的用户进程中运行，隐藏自我，躲避安全软件的查杀。在后台秘密监视用户打开的窗口标题，一旦发现用户打开QQ登陆窗口便记录键击，窃取QQ用户名和密码并发送到骇客指定的远程服务器上，给用户带来一定程度的损失。

病毒名称：TrojanSpy.Zbot.s
中 文 名：“砸波”变种s
病毒长度：44032字节
病毒类型：间谍类木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Zbot.s“砸波”变种s是“砸波”木马家族的最新成员之一，采用高级语言编写，并经过加壳处理。“砸波”变种s运行后，在被感染计算机系统“%SystemRoot%\system32\”目录下创建病毒文件“ntos.exe”。修改注册表，实现“砸波”变种s开机自动运行。将病毒代码注入到除CSRSS.EXE外的所有进程中并调用运行，保护磁盘上的病毒文件不被复制、删除。破坏多款防火墙程序，大大降低了被感染计算机上的安全性。窃取被感染计算机上用户的私密信息并发送给骇客，严重威胁用户私密信息安全。另外，“砸波”变种s可能会破坏用户计算机系统内的某些应用程序、数据库、压缩文件、图片、文档等，给用户带来极大的损失。

6月3日病毒预报－“海量下载器1454080”和“AUTO键盘记录员77824”病毒

　　“海量下载器1454080”（Win32.Hack.Huigezi.1454080），这是一个下载器病毒。它会伪装为视频文件，当用户点击后就向所有磁盘分区下复制自己，并修改系统日期，造成部分杀毒软件失效。然后下载大量其它病毒到用户电脑中运行。

　　“AUTO键盘记录员77824”（Win32.Troj.Agent.lm.77824），这是一个键盘记录器病毒。它利用U盘等移动存储器来进行传播，进入用户电脑后会修改注册表实现自启动，然后记录用户的键盘操作。

　　一、“海量下载器1454080”（Win32.Hack.Huigezi.1454080） 威胁级别：★★

　　这个下载器的狡猾之处在于，它会伪装成多种视频文件的格式，骗取用户点击，以实现运行。

　　病毒在系统的临时目录的%Temp%\WER8748.dir00\文件夹中释放出病毒文件mstsc.exe.hdmp和mstsc.exe.mdmp，同时将另两个病毒文件Se101.exe 和_Se101.exe释放到%Program Files%\Common Files\Microsoft Shared\MSInfo\目录中。此外，它还会把自己复制到全部的磁盘分区目录下。然后，就利用cmd命令删除自身原始文件，防止用户发现它的痕迹。

　　同时，病毒修改注册表，实现开机自启动。在这个过程中，它会修改系统时间为过去的随机时间，使得一些依赖系统时间来进行激活和升级的杀毒软件失效。在成功运行起来后，病毒就悄悄连接病毒作者指定的远程地址，下载大量的病毒列表，再根据列表中的地址去下载数量惊人的其它病毒文件。

　　经毒霸反病毒工程师检查，这些病毒大部分为网游盗号木马。当它们进入用户系统后就会迅速运行起来，大量占用系统资源，导致电脑运行越来越慢，甚至造成死机。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-huigezi-1454080-50643.html

　　二、“AUTO键盘记录员77824”（Win32.Troj.Agent.lm.77824） 威胁级别：★

　　病毒在系统盘的%WINDOWS%\system32\目录和%WINDOWS%\system32\drivers\目录下释放出三个随机命名的病毒文件，三个文件同名，但分别为exe格式、dll格式、sys格式。这就可以作为识别该病毒的一个依据。

　　接着，病毒修改系统注册表启动项，实现开机自启动，如果它运行起来，就会对键盘进行监视，记录下用户的操作。

　　为扩散自己的传播范围，病毒会搜索包括U盘等移动存储器在内的全部磁盘分区，把自己的exe文件和一个Autorun.inf文件释放到其中。

　　最后，病毒使用cmd命令删除自己的原始文件，防止用户发现系统中出现多余的文件。