资料来源于：http://bbs.micropoint.com.cn/forumdisplay.asp?fid=1008&page=1

病毒名称

Worm.Win32.Agent.dhw

捕获时间

2007年7月29日

病毒症状  

      病毒运行后会生成一个由两个随机数字组合命名的文件，如753.47（实为dll
文件）；在进程中查找avp.exe并将其杀掉；在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion中添加名为“d”值为病毒运行时间的注册表项；卸载Windows系统文件WSHOM.ocx，便于病毒传播；使用Windows的rundll32.exe来启动753.47， 753.47文件将注入到exporer.exe中，使得用户在使用资源管理器的同时也在运行病毒，接下来病毒将自己复制到WINDOWS的临时目录下并命名为_2.temp，同时删除自己；753.47运行时会枚举驱动器，然后创建多个线程用于感染除系统目录之外的其它PE文件。

感染对象

Windows NT/ Windows 2000/ Windows XP

传播途径

文件感染，网络传播

安全提示
      
      已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该蠕虫程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理；如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现Worm.Win32.Agent.dhw”，请直接选择删除。
     使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该病毒的特殊性，会自动终止某些杀毒软件运行，如果您的杀毒软件已经无法运行，您也可以尝试以下6楼的方法

蠕虫 Worm.Win32.Agent.dia   解决方法在2楼

蠕虫 Worm.Win32.Agent.dif    解决方法在3楼

后门程序 Backdoor.Win32.Agent.cxi     解决方法在4楼

盗号木马 Trojan.Psw.Win32.Delf.ely     解决方法在5楼

QUOTE:
注意：文中有些内容神化微点的内容被我处理掉了，我这么做只是为了不误导大家，大家还是用自己正在用的杀软吧~

蠕虫 Worm.Win32.Agent.dia

病毒名称

Worm.Win32.Agent.dia

捕获时间

2007年7月28日

病毒症状

      病毒运行后首先在系统目录下生成msvalue.dll，svch0st.exe文件，然后将msvalue.dll注入到explorer进程中，之后就删除自己。当运行资源管理器
（explorer.exe）时也就将病毒主体运行了，病毒主体运行后会下载另一文件将其放到系统目录下并命名为temp_%d.exe(%d 为一随机数)，同时在注册表SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的Userinit的值中添加“,C:\WINNT\SYSTEM32\temp_%d.exe”，这样使得电脑启动的时候就直接运行这个文件，待程序启动后会去感染电脑中的PE文件，使得整个计算机处在病毒之中。

感染对象

Windows NT/ Windows 2000/ Windows XP

传播途径

文件感染，网络传播

安全提示

      已安装微点主动防御软件的客户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该蠕虫程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理；如果您已经将微点主动防御软件升级到最新版本，将报警提示您发现“Worm.Win32.Agent.dia”，请直接选择删除。
      
      使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

蠕虫 Worm.Win32.Agent.dif

病毒名称

Worm.Win32.Agent.dif

捕获时间

2007年7月27日

病毒症状

病毒分析  

     病毒采用VB语言编写，发作后会写入注册表添加启动项，复制自身副本文件为SERVICES.EXE到%systemroot%\system32\drivers目录下，执行后释放WINLOGON.EXE病毒主程序遍历所有分区释放autorun.inf文件，并拷贝重命名SERVICES.EXE为setup.exe到每个分区下设置属性为隐藏，如果SERVICES.EXE不存在，则执行shutdown命令进行关机。如果拷贝成功，则每个盘符下的setup.exe被autorun.inf文件激活后都会遍历其根目录，获得所有目录名以及文件名作为病毒副本的名称（包括系统启动文件），替换非系统文件为病毒体本身（直接替换，造成数据恢复不可用）；病毒试图通过以修改注册表的方法禁用任务管理器、注册表编辑器、CMD，破坏隐藏文件显示；试图修改注册表打开自动播放功能；病毒运行成功后会在释放病毒副本的目录下留下SYSTEM.INI文件，里面记录着病毒释放的时间。

病毒启动

注册表启动：
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
键值为load中WINLOGON.EXE的启动路径

inf文件启动：
每个盘符下生成autorun.inf文件
发作现象：

当病毒发作后会造成许多与文件夹名字相同的病毒文件，图标为熊猫烧香的图标，所有非系统目录下的多种格式文件变为熊猫烧香图标，系统运行缓慢。


感染对象

Windows NT/Windows 2000/ Windows XP/ Windows 2003

传播途径

可移动存储

安全提示

      已安装微点主动防御软件的客户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该蠕虫程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理；如果您已经将微点主动防御软件升级到最新版本，将报警提示您发现Worm.Win32.Agent.dif”，请直接选择删除。

      使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

后门程序 Backdoor.Win32.Agent.cxi

病毒名称

Backdoor.Win32.Agent.cxi

捕获时间

2007年7月27日

病毒症状  

      该后门程序运行后在系统文件夹system32下生成HUSJDD8S.EXE和OSIESD3.DLL；枚举系统当前进程，强制结束多种安全软件进程；加载OSIESD3.DLL文件，查询当前系统所有的服务信息，并注册和开启名为HUSJDD8S的服务，使用批处理文件自我删除；HUSJDD8S.EXE获得控制权后，同时开启Windows终端服务，以逃避防火墙的阻拦，使得黑客可以自如控制被中了后门的电脑。

感染对象

Windows NT/ Windows 2000/ Windows XP

传播途径

网页挂马，文件捆绑，黑客攻击

安全提示

      已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该后门程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知后门”，请直接选择删除处理；如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现Backdoor.Win32.Agent.cxi”，请直接选择删除。

     使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该病毒的特殊性，会自动终止某些杀毒软件运行，如果您的杀毒软件已经无法运行，您也可以尝试安装微点解决。

盗号木马 Trojan.Psw.Win32.Delf.ely

病毒名称

Trojan.Psw.Win32.Delf.ely

捕获时间

2007年7月26日

病毒症状  

      该盗号木马程序运行后在C:\Program Files\Common Files\Microsoft Shared\MSInfo文件夹下生成多个木马程序：包括System16.ins、System16.jup、System16.tmp；之后加载System16.tmp文件，连接网络下载木马主体程序gg.exe到临时文件夹下，gg.exe运行后会对explorer.exe进程进行全局注入，伺机盗取用户多种账号密码，同时自动添加Windows防火墙规则，确保IE可以自由连接网络，自动将盗取的帐号密码发送到黑客指定的密码接收网页。

感染对象

Windows 98/Windows ME /Windows NT/ Windows 2000/ Windows XP

传播途径

网页挂马，文件捆绑

安全提示

      已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该盗号木马程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理；如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现Trojan.Psw.Win32.Delf.ely”，请直接选择删除。

      使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

这个问题是由一个叫做ghost.pif的U盘病毒导致的

关于分析我在http://hi.baidu.com/newcenturysu ... f160399a502775.html已经给出

不过最新变种的病毒会查询以下注册表项的某些键值来获取相关安全软件的安装目录，在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹，从而使

相关安全软件运行失败。
SOFTWARE\\rising\\Rav
SOFTWARE\\Kingsoft\\AntiVirus
SOFTWARE\\JiangMin
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\\KasperskyLab\\SetupFolders
SOFTWARE\Network Associates\TVD\Shared Components\Framework
SOFTWARE\Eset\Nod\CurrentVersion\Info
SOFTWARE\\Symantec\\SharedUsage
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe
因为这些安全软件运行时候会加载ws2_32.dll ws2_32.dll正确的位置是在system32下面 而软件通常寻找dll的方法是首先从自己的文件夹中寻找 那么病毒通过在这些软件的文件夹里创建一个伪造的ws2_32.dll从而导致软件启动时加载这个伪造的ws2_32.dll 导致启动失败！

解决方法如下：

1.安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
启动项目 注册表 删除如下项目
<{0CB68AD9-FF66-3E63-636B-B693E62F6236}> [Microsoft Corporation]
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
右键点击 右键菜单中的打开 打开C盘
删除
C:\Program Files\Internet Explorer\romdrivers.bak
C:\Program Files\Internet Explorer\romdrivers.bkk
C:\Program Files\Internet Explorer\romdrivers.dll
2.清空C:\DOCUME~1\用户名\LOCALS~1\Temp下面所有内容
3.右键点击 右键菜单中的打开 打开其他分区 删除autorun.inf和ghost.pif
打开sreng
启动项目 注册表 删除如下项目
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[] （有哪个删哪个）
4.删除 瑞星杀毒软件 金山毒霸 江民杀毒软件 卡巴斯基杀毒软件 360安全卫士 等文件夹下名为ws2_32.dll的文件夹

update:最近发现了新的变种 详细分析在
http://hi.baidu.com/newcenturysu ... 451a4e510ffe8b.html
如果您按上述解决方法不能解决问题则可参考下面的解决办法：
1.打开sreng
启动项目 注册表 删除如下项目
[N/A]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
<{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}>
[Microsoft Corporation]
<{0EA12C16-CDEF-6AC1-236E-CD3FE82F5213}> [Microsoft Corporation]
系统修复 浏览器加载项 选中
[]
{D7515C61-A66C-4319-A0E0-D416CB8059E3}
并单击右下角的删除所选内容 在弹出的对话框中选择 是
2.重启计算机
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
删除C:\Program Files\Common Files\Relive.dll
C:\Program Files\Internet Explorer\HiJack.bak
C:\Program Files\Internet Explorer\HiJack.dll
C:\Program Files\Internet Explorer\msvcrt.bak
C:\Program Files\Internet Explorer\msvcrt.dll
清空临时文件夹C:\DOCUME~1\用户名\LOCALS~1\Temp
3.删除瑞星 江民 卡巴 360文件夹下的ws2_32.dll
方法：
新建一个记事本文件
输入如下字符

DEL /F /A /Q \\?\%1
RD /S /Q \\?\%1

保存为1.bat文件

将要删除的ws2_32.dll文件或者文件夹，用鼠标左键拖放到1.bat的文件图标上（就像把文件拖到文件夹里的操作一样），一个CMD窗口闪烁之后伪"ws2_32.dll"文件夹就被删除了

sreng下载地址 http://www.kztechs.com/sreng/download.html

6.18增加专杀下载 专杀来自ALPHA'S STUDIO（http://hi.baidu.com/peaset/）
两个专杀 一个是删除病毒文件的
下载地址 http://zhenlove.com.cn/cndos/fil ... j.Romdrivers.ka.rar
一个是删除文件夹ws2_32.dll的工具
下载地址 http://zhenlove.com.cn/cndos/fileup/files/anti_ws_1.1.rar

我就是中了这样的病毒了啊!!!!愁死了~~~所有的杀毒软件 突然都打不开了~