文章大纲：

• 1、Trojan/win32是什么病毒
• 2、祥细说说电脑病毒是怎么回事。
• 3、木马清除

Trojan/win32是什么病毒

Trojan/Win32是特洛伊微软系统32位木马病毒，是一种带有rootkit功能的特洛伊病毒，能够修改系统的winlogon.exe文件。

黑客用Trojan/Win32来盗取其他用户的个人信息，甚至是远程控制对方的计算机而加壳 *** ，然后通过各种手段传播或者骗取目标用户执行该程序，以达到盗取密码等各种数据资料等目的。

与病毒相似，木马程序有很强的隐秘性，随操作系统启动而启动。2009年1月7日，64-bit的Windows 7 Beta（组建7000）被泄漏到 *** 上，并在不少的torrent文件中附带了特洛伊木马病毒。

扩展资料

Trojan/Win32是特洛伊木马病毒的特征

特洛伊木马不经计算机用户准许就可获得计算机的使用权。程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以发觉的；运行时很难阻止它的行动，运行后，立刻自动登录在系统引导区。

之后每次在Windows加载时自动运行；或立刻自动变更文件名，甚至隐形；或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作；或浏览器自动连往奇怪或特定的网页。

参考资料来源：百度百科—Trojan.Win32

参考资料来源：百度百科—特洛伊病毒Win32.Cutwail.GI

祥细说说电脑病毒是怎么回事。

病毒实际上就是人为编写的恶性程序。尽管病毒的数量非常多，表现形式也多种多样，但是通过一定的标准可以把它们分为几种类型，从而更好地来了解和 掌握它们。

1、文件型病毒:

文件型病毒通常寄生在可执行文件(如 *.COM, *.EXE等)中。当这些文件被执行时, 病毒的程序就跟着被执行。文件型的病毒依传染方式的不同, 又分成非常驻型以及常驻型两种 :

2、变型病毒：

这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。

3、开机型病毒:

开机型病毒是藏匿在磁盘片或硬盘的之一个扇区。因为DOS的架构设计, 使得病毒可以在每次开机时, 在操作系统还没被加载之前就被加载到内存中, 这个特性使得病毒可以针对DOS的各类中断 (Interrupt) 得到完全的控制, 并且拥有更大的能力进行传染与破坏。

4、复合型病毒:

复合型病毒兼具开机型病毒以及文件型病毒的特性。它们可以传染 *.COM, *.EXE 文件，也可以传染磁盘的开机系统区(Boot Sector)。由于这个特性, 使得这种病毒具有相当程度的传染力。一旦发病，其破坏的程度将会非常可怕！

5、隐蔽型病毒:

隐蔽型病毒通过控制DOS的中断向量，把所有受其感染的文件"假还原"，再把"看似跟原来一模一样"的文件丢回给 DOS。

6、复制型病毒:

复制型病毒可怕的地方, 在于每当它们繁殖一次, 就会以不同的病毒码传染到别的地方去。每一个中毒的文件中, 所含的病毒码都不一样, 对于扫描固定病毒码的防毒软件来说，无疑是一个严重的考验！有些厉害的复制型病毒，几乎无法找到相同的病毒码。

7、宏病毒:

宏病毒主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word、 Excel 、AmiPro 等等。

8、练习型病毒：

病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。

9、"蠕虫"型病毒：

通过计算机 *** 传播，不改变文件和资料信息，利用 *** 从一台机器的内存传播到其它机器的内存，计算 *** 地址，将自身的病毒通过 *** 发送。有时它们在系统存在，一般除了内存不占用其它资源。

要真正地识别病毒，及时的查杀病毒，我们还有必要对病毒有一番较详细的了解，而且越详细越好！病毒因为由众多分散的个人或组织单独编写，也没有一个标准去衡量、去划分，所以病毒的分类可按多个角度大体去分。

如按其入侵的方式来分为以下几种：

a、源代码嵌入攻击型

从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。当然这类文件是极少数，因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序，况且这种入侵的方式难度较大，需要非常专业的编程水平。

b、代码取代攻击型

这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块，这类病毒也少见，它主要是攻击特定的程序，针对性较强，但是不易被发现，清除起来也较困难。

c、系统修改型

这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。

d、外壳附加型

这类病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。

如果按病毒的破坏程度来分，我们又可以将病毒划分为以下几种：

a、良性病毒：

这些病毒之所以把它们称之为良性病毒，是因为它们入侵的目的不是破坏你的系统，只是想玩一玩而已，多数是一些初级病毒发烧友想测试一下自己的开发病毒程序的水平。它们并不想破坏你的系统，只是发出某种声音，或出现一些提示，除了占用一定的硬盘空间和CPU处理时间外别无其它坏处。如一些木马病毒程序也是这样，只是想窃取你电脑中的一些通讯信息，如密码、IP地址等，以备有需要时用。

b、恶性病毒

我们把只对软件系统造成干扰、窃取信息、修改系统信息，不会造成硬件损坏、数据丢失等严重后果的病毒归之为“恶性病毒”，这类病毒入侵后系统除了不能正常使用之外，别无其它损失，系统损坏后一般只需要重装系统的某个部分文件后即可恢复，当然还是要杀掉这些病毒之后重装系统。

c、极恶性病毒

这类病毒比上述b类病毒损坏的程度又要大些，一般如果是感染上这类病毒你的系统就要彻底崩溃，根本无法正常启动，你保分留在硬盘中的有用数据也可能随之不能获取，轻一点的还只是删除系统文件和应用程序等。

d、灾难性病毒

这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度，这类病毒一般是破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表，造成系统根本无法启动，有时甚至会格式化或锁死你的硬盘，使你无法使用硬盘。如果一旦染上这类病毒，你的系统就很难恢复了，保留在硬盘中的数据也就很难获取了，所造成的损失是非常巨大的，所以我们进化论什么时候应作好最坏的打算，特别是针对企业用户，应充分作好灾难性备份，还好现在大多数大型企业都已认识到备份的意义所在，花巨资在每天的系统和数据备份上，虽然大家都知道或许几年也不可能遇到过这样灾难性的后果，但是还是放松这“万一”。我所在的雀巢就是这样，而且还非常重视这个问题。如98年4.26发作的CIH病毒就可划归此类，因为它不仅对软件造成破坏，更直接对硬盘、主板的BIOS等硬件造成破坏。

很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，怎么知道是什么病毒啊？

其实只要掌握一些病毒的命名规则，就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名 *** 来命名的。

一般格式为：病毒前缀.病毒名.病毒后缀 。

病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。

病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。

病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指 振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强 ^_^），可以采用数字与字母混合表示变种标识。

综上所述，一个病毒的前缀对于快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能知道现在在你机子里呆着的病毒是哪个变种。

下面附带一些常见的病毒前缀的解释（针对用得最多的Windows操作系统）：

1、系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。

2、蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过 *** 或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞 *** 的特性。比如冲击波（阻塞 *** ），小邮差（发带毒邮件） 等。

3、木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过 *** 或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如 *** 消息尾巴木马 Trojan. *** 3344 ，还有大家可能遇见比较多的针对 *** 游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如： *** 枭雄（Hack.Nether.Client）等

4、脚本病毒

脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、 *** （表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

5、宏病毒

其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。

6、后门病毒

后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过 *** 传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。

7、病毒种植程序病毒

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。

8．破坏性程序病毒

破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。

9．玩笑病毒

玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。

10．捆绑机病毒

捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如 *** 、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑 *** （Binder. *** Pass. *** Bin）、系统杀手（Binder.killsys）等。以上为比较常见的病毒前缀，有时候还会看到一些其他的，但比较少见，这里简单提一下：

DoS：会针对某台主机或者服务器进行DoS攻击；

Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；

HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。

你可以在查出某个病毒以后通过以上所说的 *** 来初步判断所中病毒的基本情况，达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些信息会给你很大的帮助。

木马清除

这个病毒的主要文件是：wmsetup.dll，位置在：

c:document and setting\user\local settings\temp\wmsetup.dll

和windows\temp\wmsetup.dll。

在注册表里也有一堆内容，但无法修改。

病毒下载 *** _Update.cab.压缩文件，还有12.gif、13.gif及down.gif到相应的目录下，这里不废话。

特点：wmsetup.dll无法删除（连网状态下），但可以改名字；

消除 *** ，个人独创，取个名字叫“抢座位法”：

（1）把病毒文件wmsetup.dll改名（可以改名），如改成wmsetup000.dll；

（2）找一个dll文件，放到和wmsetup000.dll相同的位置，把它改名和病毒相同，即wmsetup.dll，并更改其属性为“只读”；

（3）删除wmsetup000.dll，必须拔掉网线再删除（我就是这样删除的），实在不行就去安全模式下删除wmsetup000.dll；

（4）这样，一个假的wmsetup.dll占据了位置，真正病毒释放的文件“wmsetup.dll”由于座位被挤占，只能着急瞪眼。

这病毒再也不烦我了。

也许有人说，用文件粉碎机粉碎wmsetup.dll，但是它还能被创建。因此不如挤占它座位，让它一边站着去。