[资讯] 江民科技发布7月29日病毒播报

caobin

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Magania.jgx“玛格尼亚”变种jgx和Trojan/Vundo.dlj“雾毒”变种dlj值得关注。

病毒名称：Trojan/PSW.Magania.jgx
中 文 名：“玛格尼亚”变种jgx
病毒长度：124876字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Magania.jgx“玛格尼亚”变种jgx是“玛格尼亚”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“玛格尼亚”变种jgx运行后，在被感染计算机系统“%SystemRoot%\help\”目录下释放“F3C74E3FA248.dll”DLL木马组件文件。修改注册表，实现木马开机自动运行。将木马组件插入到所有用户进程中加载运行，隐藏自身，防止被查杀。采用HOOK技术和内存截取技术，在被感染计算机的后台监视用户的键盘和鼠标操作，盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在被感染计算机的后台将窃取到的玩家游戏账号信息发送到骇客指定的远程服务器站点上，造成玩家的游戏账号、装备物品、金钱等丢失。另外，“玛格尼亚”变种jgx还会在被感染计算机上下载更多的恶意软件、网游木马等，给网络游戏玩家带来非常大的损失。“玛格尼亚”变种jgx不会感染简体中文版的Windows操作系统。

病毒名称：Trojan/Vundo.dlj
中 文 名：“雾毒”变种dlj
病毒长度：92032字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Vundo.dlj“雾毒”变种dlj是“雾毒”木马家族的最新成员之一，采用高级语言编写，并经过加壳处理，是由某个病毒释放出来的DLL木马组件，一般被注册为浏览器辅助插件（BHO），以便实现木马随系统浏览器的启动而加载运行。“雾毒”变种dlj运行于浏览器进程内，这样可以隐藏病毒程序，躲避安全软件的查杀。强行修改hosts文件，屏蔽大量安全站点，导致被感染计算机上某些安全软件无法连接升级服务器进行升级。不定时弹出广告窗口，严重影响用户正常使用计算机。强行篡改注册表，极大地降低了被感染计算机的安全性。连接骇客指定的服务器站点，下载恶意程序，并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/PSW.XYQJ.b“西游Q记贼”变种b和Trojan/Pakes.dfs“小偷派克斯”变种dfs值得关注。

英文名称：Trojan/PSW.XYQJ.b
中文名称：“西游Q记贼”变种b
病毒长度：11828字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.XYQJ.b“西游Q记贼”变种b是“西游Q记贼”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“西游Q记贼”变种b运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并替换系统文件“verclsid.exe”。同时，还会在该目录下释放一个文件名随机的恶意DLL功能组件，并将上述文件属性设置为“隐藏”。“西游Q记贼”变种b是一个专门盗取“西游Q记”网络游戏会员账号的木马程序，会将之前释放的DLL功能组件插入到被感染计算机的“explorer.exe”进程之中，并在后台秘密监视用户系统中所运行的进程。如果发现指定网络游戏的进程存在，便会通过安装消息钩子和内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了极大的损失。同时，“西游Q记贼”变种b还会在临时文件夹下创建批处理文件“del*.bat”以将自身删除，从而达到了消除痕迹的目的。另外，“西游Q记贼”变种b通过在系统注册表“ShellExecuteHooks”项目中添加键值的方式来实现木马开机自启动。

英文名称：Trojan/Pakes.dfs
中文名称：“小偷派克斯”变种dfs
病毒长度：33792字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Pakes.dfs“小偷派克斯”变种dfs是“小偷派克斯”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“小偷派克斯”变种dfs运行后，会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp”目录下释放一个恶意DLL功能组件，文件名随机生成。一般会被注入到“spoolsv.exe”（Print Spooler服务）中加载运行，隐藏了自我，防止被轻易地发现和查杀。该恶意DLL功能组件运行后，会将自身复制到所有磁盘驱动器下的“resycled”目录中，重新命名为“boot.com”，并在磁盘根目录下创建自动运行配置文件“autorun.inf”，以此实现了通过系统自动播放功能进行自我传播，给被感染计算机用户造成了更多的安全隐患。同时，该组件还会在后台秘密连接骇客指定的站点，下载大量的恶意程序至本地并自动调用运行，使得被感染计算机的用户面临更多不同程度的潜在风险。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、禁用系统的自动播放功能，防止病毒通过U盘、移动硬盘、MP3等移动存储设备感染计算机。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/SmallGame.h“迷你贼”变种h和Trojan/AntiAV.eu“系统杀手”变种eu值得关注。

英文名称：Trojan/SmallGame.h
中文名称：“迷你贼”变种h
病毒长度：24576字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/SmallGame.h“迷你贼”变种h是“迷你贼”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被插入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“迷你贼”变种h是一个专门盗取“赤壁Online”网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点“http://221.*.*.139/tuleichibi/tulei001/post.asp”上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。同时，“迷你贼”变种h还具有窃取玩家游戏账号密码保护的功能。因此，当游戏玩家发现自己的游戏账号被盗时，请千万不要在当前被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码，否则会连同玩家的密码保护资料一同被骇客盗取，给玩家造成更大程度上的损失。另外，“迷你贼”变种h会通过在系统注册表启动项中添加键值的方式来实现开机后木马的自动运行。

英文名称：Trojan/AntiAV.eu
中文名称：“系统杀手”变种eu
病毒长度：120864字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/AntiAV.eu“系统杀手”变种eu是“系统杀手”木马家族中的最新成员之一，采用高级语言编写，通过篡改系统服务的注册表项来实现开机自启。“系统杀手”变种eu运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个恶意DLL功能组件“bits.dll”（该病毒为后门），并修改文件的创建时间为系统安装日期，蒙蔽用户、隐藏自我，防止被查杀。“系统杀手”变种eu运行后，会判断某安全软件的窗口模块是否存在，并试图躲避该软件的主动防御功能。同时，还会通过恶意结束进程和篡改系统注册表的方式来干扰某些安全软件的正常运行，从而实现了木马的自我保护，提高了自身的生存几率。木马组件“bits.dll”在运行时，会打开并监听本地“8000”端口，并尝试连接骇客指定的IP，通过网络监听来窃取用户的信息，从而给被感染计算机用户的个人隐私信息甚至是企业的商业机密造成了不同程度的损失，严重地威胁到了计算机的信息安全。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

    有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/Delux.e“隐形贼”变种e和Trojan/CDur.as“扯淡鬼”变种as值得关注。

英文名称：Trojan/Delux.e
中文名称：“隐形贼”变种e
病毒长度：51760字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Delux.e“隐形贼”变种e是“隐形贼”木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“隐形贼”变种e运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“myhko.exe”和“win32.hlp”，还会在该目录和“%SystemRoot%\system32\drivers\”下分别释放恶意DLL功能组件和恶意驱动程序，并设置以上文件属性为“系统、隐藏”。在被感染计算机系统中注册系统服务，以此实现木马副本的开机自动运行。木马副本被启动后，会将之前释放的DLL功能组件注入到“lsass.exe”进程中加载运行，隐藏自我，防止被查杀。运行后，在指定的目录下生成配置文件，并调用之前释放的恶意驱动程序来进行病毒文件及其进程、注册表项目的隐藏，防止了被用户和杀毒软件轻易地发现，提高了木马自身的生存几率。在后台监视系统中的移动存储设备，如果发现有新的移动存储设备接入时，便会向其中复制“隐形贼”变种e的副本和自动运行配置文件。同时，还会向除了系统分区之外的所有分区复制这些恶意文件，企图利用系统的自动运行特性来达到病毒传播的目的。另外，“隐形贼”变种e会自我删除，从而达到了消除痕迹的目的。

英文名称：Trojan/CDur.as
中文名称：“扯淡鬼”变种as
病毒长度：172794字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/CDur.as“扯淡鬼”变种as是“扯淡鬼”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“扯淡鬼”变种as运行后，会在被感染计算机系统的“%SystemRoot%\system32\drivers\etc”目录下释放一个文件名随机的DLL功能组件，文件描述伪装成某安全软件的组件信息，并修改文件创建时间为系统安装日期，试图迷惑用户。在“%SystemRoot%\system32\”下生成一个文件名随机的文件，以此防止系统被重复感染。强行篡改注册表，尝试结束某安全软件的进程，从而达到了自我保护的目的。将自身注册为系统服务，以此实现木马开机后的自动运行。“扯淡鬼”变种as所释放的组件是一个多功能的远程控制木马服务端，运行后会尝试与客户端进行连接，致使被感染计算机彻底的沦为受到骇客控制的傀儡主机。骇客通过该木马，可以向被感染计算机发送任意的指令和进行任意的操作，其中包括文件管理、进程控制、注册表操作、命令执行、屏幕监控、键盘监听、鼠标控制、音视频设备控制（例如摄像头）等，给被感染计算机用户的信息安全和个人隐私造成了严重的侵害，甚至还有可能对商业机密造成严重的威胁。另外，骇客还可以通过其向傀儡主机传送大量的恶意软件等，从而给用户造成了更大程度的威胁。同时，“扯淡鬼”变种as在安装完毕后可将自身删除。

caobin

一款U盘病毒修改替换包括dllcache目录下的系统Shell文件（explorer.exe）以及注册表编辑器（regedit.exe），劫持输入法、任务管理器、系统配置实用程序等文件的U盘病毒在网上传播。
由于该病毒修改了注册表编辑器且将自身值键值名称设置为“默认”从而具备一定迷惑性。如图所示：

该病毒写入如下启动项：

修改REG文件关联到： %systemroot%\pchealth\Global.exe
利用劫持阻止以下程序运行：


释放主要文件如下：


各个盘符下的autorun.inf以及MS-DOS.com
使用系统自动的签名验证程序检测Windows目录下的exe文件是否通过微软签名会有以下结果：
[img]http://tech.ccidnet.com/col/attachment/2008/6/1520749.jpg
由于该病毒修改了注册表编辑器且将自身值键值名称设置为“默认”从而具备一定迷惑性。为防止该病毒修改了注册表编辑器打开“江民设置程序”=》“主动防御”=》“系统监控”中单击高级选项进入高级选项后勾选“严模式”如图所示：


为更好的防御该病毒的入侵最好设置“移动设备存储控制”功能，江民对毒病毒真的很有一套，“移动设备存储控制”功能主要是为对付U盘病毒设计的，当用户插入U盘时会首先进行拦截，只有当用户输入正确的口令才可以继续对U盘进行操作，这样就可以防止病毒侵入了，不仅如此，此功能还可以为你的电脑保密，为什么这么说呢？我们知道电脑上的文件很容易被小小的U盘带走，如果当你不在时，别人可以很轻易将你电脑上的资料（商业机秘，个人隐私）拿走，后果不堪设想，OK，现在有了KV2008，只要开启“移动存储控制功能”，并且设置一个口令，我们就可以为我们的移动存储设备加个锁，这样既可以防病毒又可以保护资料，何乐而不为呢？


如何开启移动存储控制功能？不要着急，慢慢跟我来，我们打开江民杀毒软件主界面，单击“工具”－“设置”，在“江民设置程序”中选择“保护密码”，我们勾选“移动设备存储”选项，并且一定要注意勾选“修改密码/设置密码”选项否则不会生效，然后设置好访问U盘的密码，单击“确定”，重新启动计算机，大功告成～

caobin

反RootKit测试

下面就测试下KV2008的"系统诊断"里的反RootKit工具吧,使用特殊的技术隐藏了已经创建好的隐藏文件,在正常模式下无论如何是找不到该文件的,于是利用"系统诊断"工具的"隐藏文件"查找查找了下隐藏文件,被查找了出来,如图:

哈哈,看到江民和冰刃都找出来了隐藏的文件了,冰刃还发现了受隐藏的文件夹,而另外一个位于隐藏文件夹下的江民虽然虽指出了路径,却指的还是文件而不是隐藏目录,不信的话我再住下做个测试,看图:

经特殊处理过后,江民找不到了位于隐藏目录下的文件了

当试图用系统诊断工具的隐藏文件功能去查找被RootKit的目录时却无论如何都找不到,而此目录却是自己亲手创建并加以隐藏的,使用冰刃仍然可以找到此目录并加以删除,希望江民能注重对受驱动保护的目录的操作,在已经中了RootKit病毒的情况下再安装江民,如果是创建了受保护的文件夹,江民岂不是发现不了?希望江民加强此方面的功能.

caobin

江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQSG.b“QQ三国贼”变种b和TrojanSpy.Agent.hgv“代理木马”变种hgv值得关注。

英文名称：Trojan/PSW.QQSG.b
中文名称：“QQ三国贼”变种b
病毒长度：23552字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQSG.b“QQ三国贼”变种b是“QQ三国贼”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件。“QQ三国贼”变种b运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意程序。在被感染计算机的后台遍历当前所有进程，查找是否存在“QQ三国”网络游戏。当发现“QQ三国”网络游戏正在运行时，会通过内存截取等技术盗取“QQ三国”网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上，致使“QQ三国”网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。“QQ三国贼”变种b还会强行篡改系统hosts文件，以屏蔽用户对大量游戏官方网站的访问，并将其非法地指向了骇客所设立的服务器“212.**.**.59”上。另外，“QQ三国贼”变种b会通过修改注册表启动项的方式实现开机自动运行。

英文名称：TrojanSpy.Agent.hgv
中文名称：“代理木马”变种hgv
病毒长度：129672字节
病毒类型：间谍类木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Agent.hgv“代理木马”变种hgv是“代理木马”间谍类木马家族中的最新成员之一，采用“Microsoft Visual C++ 7.0”编写，并且经过加壳保护处理。“代理木马”变种hgv运行后，会在被感染计算机系统中创建一个隐藏的文件夹，将自我复制到其中，并在该目录下释放一个恶意DLL功能组件。同时，该文件夹还被用来存储“代理木马”变种hgv的配置信息、运行记录以及所搜集到的用户数据等。“代理木马”变种hgv运行时，会监视键盘输入，并通过安装消息钩子等方式截取“MSN”、“ICQ”、“Yahoo Messenger”等即时聊天工具的聊天记录等内容。每间隔5分钟便会进行屏幕截图，并将截图按照一定的规则命名保存。在后台秘密连接骇客指定的远程服务器站点，并将窃取到的用户私密信息发送到其中。“代理木马”变种hgv严重地威胁到了计算机用户的信息安全和个人隐私，同时，还可能对商业机密造成不同程度的侵害。

caobin

江民今日提醒您注意：在今天的病毒中Trojan/Slefdel.ik“斯莱德”变种ik和Trojan/PSW.Lmir.dgb“传奇窃贼”变种dgb值得关注。

英文名称：Trojan/Slefdel.ik
中文名称：“斯莱德”变种ik
病毒长度：136192字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/Slefdel.ik“斯莱德”变种ik是“斯莱德”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写。“斯莱德”变种ik运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名。同时，还会在该目录下释放一个恶意DLL功能组件，并修改上述两个文件的创建时间为系统安装日期，迷惑了计算机用户，提高了自我的生存能力。“斯莱德”变种ik所释放的DLL组件会在被感染计算机系统的后台连接骇客指定的远程服务器站点，下载恶意程序并调用运行。其中，所下载的恶意程序可能为网游盗号木马、远程控制后门或恶意广告程序（流氓软件）等，会使用户面临不同程度的威胁。“斯莱德”变种ik在完成以上功能之后，创建一个批处理文件用以将自身删除，从而达到消除痕迹、防止被用户和安全软件轻易查杀的目的。另外，“斯莱德”变种ik会修改注册表，达到开机自动运行的目的。

英文名称：Trojan/PSW.Lmir.dgb
中文名称：“传奇窃贼”变种dgb
病毒长度：34156字节
病毒类型：木马
危险级别：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Lmir.dgb“传奇窃贼”变种dgb是“传奇窃贼”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，一般会被插入到“explorer.exe”及其所有用户级权限的进程中加载运行。“传奇窃贼”变种dgb是一个专门盗取“传奇”网络游戏会员账号的木马程序，通过监视系统进程、安装消息钩子的方式来截获网游玩家信息，盗取游戏玩家的账号、密码、区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的内容发送到骇客指定的远程服务器站点“http://www.sk***xw.cn/cqcqcq/flash.asp”上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的财产损失。

caobin

近期有一些论坛的朋友一直在因为使用kv未知病毒检测检测到sp**.sys可疑、可疑为37%、但是状态却是“文件不存在”。

通过查看发现问题的用户的sreng的扫描报告，发现没有任何病毒的问题，于是，最初把这认定为这是注册表残留造成加以解决。后来在某用户的一真“施压”下。同研发的未知病毒检测程序的编写工程师进行了询问，工程师分析了源程序后发现是apihook问题，并建议用ssdt检测工具能查到原因，并可以在system32/drivers下面找到那个文件。根据这一提示，用户在ssdt中找到了相关项，但是恢复了ssdt后，虽然未知病毒检测暂时找不到sp**.sys的可疑，但是重启电脑又有了。根据用户提供的分析。亲自下载了一个DT进行测试。


重启后：

删除system32/drivers下的spdt后，再次重启电脑：


再次未知病毒检测：


这时候一切正常了，不过，虚拟光驱软件不能用了。

可以知道，这不是病毒的问题，大家安全可以放心。这只是安装了虚拟光驱后，修改了系统接口造成的一个现象而已。

通过对网上的搜索综合论坛中网友提供的信息认为：sptd.sys是提供给虚拟光驱的一个接口驱动，是个系统里本身就有的，安装虚拟光驱后，会使用这个驱动。但是，卸载后这个驱动还会起作用。

caobin

若病毒位于Temporary Internet Files目录或者Cookies目录中，请清空IE缓存或者清除Cookies。方法如下（适用于所有Windows操作系统）：

控制面板——Internet选项——（如图）


显示隐藏文件，方法如下：

（Win9X/ME系统）我的电脑——查看——文件夹选项——（如图雷同）

（Win2000/XP/2003系统）我的电脑——工具——文件夹选项——（如图）


若病毒位于System Volume Information目录或者_Restore目录中，请关闭系统还原，方法如下：

（WinME系统）我的电脑——属性——性能——文件系统——疑难解答——禁用系统还原

（WinXP系统）我的电脑——属性——系统还原——（如图）



更改账户密码，方法如下：

图一，适用于（Win2000/XP/2003系统）：控制面板——管理工具——计算机管理

图二，适用于（WinXP/2003系统）：开始菜单——运行





如何进入“安全模式”方法：
重新启动电脑，然后在系统自检时按F8即可选择进入安全模式。
若不知何时自检，建议重新启动电脑然后不停地按F8，直到进入安全模式的选择菜单出来为止。

图一，适用于Win9X/ME系统

图二，适用于Win2000/XP/2003系统




如何关闭“信使服务Messenger”的方法（适用于Win2000/XP/2003系统）：

控制面板——管理工具——服务——（如图）



如何打开“注册表编辑器并查找内容”的方法（适用于所有Windows系统）：

开始菜单——运行——输入“regedit”，然后“确定”——（如图）