trojan.generic病毒能影响到64位win7系统吗？

trojan.generic百科名片

trojan.generic，计算机木马名称，启动后会从体内资源部分释放出病毒文件，有些在WINDOWS下的木马程序会绑定一个文件，将病毒程序和正常的应用程序捆绑成一个程序，释放出病毒程序和正常的程序，用正常的程序来掩盖病毒。病毒在电脑的后台运行，并发送给病毒制造者。这些病毒除有正常的危害外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。

[编辑本段]病毒描述

名称：trojan.generic

病毒中文名：病毒木马

病毒类型：木马

影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003,Win7

杀毒软件查出的trojan.generic有时并非真正木马，只是行为可疑。现知红警破解版中RA310.exe查出病毒trojan.generic 2614210为误杀。

[编辑本段]杀毒方法

[2]

首先建议使用最新的专业杀毒软件和木马专杀工具AVG和卡巴斯基等进行处理，如遇杀毒软件被禁用或杀毒失败或一开机就重新出现的情况,再试试以下方法:

1.打开windows任务管理器，察看是否有可疑的进程（可以根据杀毒软件的报告或者在网上搜索相关信息来判定）在运行，如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒，有可能一个dll文件在运行，他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径，因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件（主要是你所中止的病毒进程文件，另外先在资源管理器的文件夹选项中，设置显示所有文件和文件夹、显示受保护的文件，再察看如system32文件夹中是否有不明dll或exe文件，C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件），然后删去，搞清楚是否是系统文件再动手。

2.如果病毒进程终止不了,提示“拒绝访问”，或者出现“屡禁不止”的情况。根据我的经验，有三种办法供尝试：

A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是：察看控制面板〉管理工具〉服务，看有没有与之相关的服务(特别是“描述”为空的)在运行，把它停止。再试着中止病毒进程并删除。

B.你可以尝试安全模式下（开机后按F8选安全模式）用其他杀毒软件处理,,,,

C.(慎用)使用冰刃等工具,察看病毒进程的线程信息和模块信息，尝试结束线程和解除模块，再试着删除病毒进程文件和相应的模块.

3.如果稍微懂得注册表使用的，可以再把相关的注册表键值删除。一般方法：开始〉运行，输入regedit，确定，打开注册表编辑器。编辑〉查找，查找目标为病毒进程名，在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒，还应尝试使用步骤2中方法.

4.某些病毒会劫持IE浏览器，导致乱d网页的状况.建议用金山毒霸的金山反间谍 2006 360安全卫士等修复工具.看浏览器辅助对象BHO是否有可疑项目.有就修复它.

5.其他提示：为了更好的 *** 作，请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件,一般病毒往往在临时文件夹Temp中，这样做可以帮你更快找到病毒文件。

开始〉运行，输入msconfig，确定，可以打开“系统配置实用程序”。选择“启动”,察看开机时加载的程序，如果在其中发现病毒程序，可以禁止它在开机时加载。不过此法治标不治本，甚至对某些程序来说无效.

手动删除方法

按照以下步骤即可删除Trojan.Generic病毒。请先先备份您的注册表和系统，并设置一个还原点，防止发生错误。

Trojan.Generic病毒清除第一步：停止运行进程（利用任务管理器停止以下运行进程）

bcmsn.exe

bbsdf.exe

bdsmss.exe

belly.exe

beird.exe

bbabc835.exe

batura03.exe avupdate.exe

aug.exe

bar.exe

avgcc32.exe

au1g.exe

等等

Trojan.Generic病毒清除第二步：撤消 DLL 的注册

使用 Regsvr32 撤销以下 DLLs 的注册，然后重启：

aig.dll

abc2.dll

a0002875.dll

7_1,0,0,3_mslagent.dll

8_1,0,0,1_mslagent.dll

7_1,0,0,2_mslagent.dll

7_1,0,0,1_mslagent.dll

53n4nojted.dll

65.dll

4b_1,0,1,0_mslagent.dll

4a_1,0,2,6_mslagent.dll

3_1,0,1,4_mslagent.dll

3_1,0,1,3_mslagent.dll

3_1,0,1,1_mslagent.dll

3_1,0,1,0_mslagent.dll

2_mslagent.dll

~dpb1f1.dll

bcnhhaa.dll

bbnnha32.dll

bhcimhjn.dll

_kwuiex.dll

_kwui.dll

Trojan.Generic病毒清除第三步：删除文件

使用资源管理器删除以下文件（如果存在）：

#.exe

$temp$.exe

+g-?+_-d.exe

___synmgr.exe

_kwui.dll

123_2.exe

附：目前的杀毒软件更新病毒库后基本都可自行查杀Trojan.Generic病毒。

参考资料：

trojan.generic病毒分析及手动查杀

trojan.generic病毒查杀补充

如果黑客在监视你电脑，那你的什么隐私他都知道

也可以这么说，如果施毒者在看的话。你的电脑里就完全没有秘密可言。

流氓软件的技术五花八门，任何一项功能都有可能成为流氓技术，就象武器，用好了可以伸张正义，用歪了却成为罪恶的帮凶。

首先我从win32下的一些流氓着数分析开始:

1。我想做为一个流氓软件，首先要做到的是实时运行，譬如在注册表的run下，在boot下增加它的启动。这应该是比较老的方法，以前 3721好象就是在run下，但是现在一般的人都知道了。

2。作为流氓软件，已经改变了以前一些木马的特性了，他没必要使自己一定要实时启动了，而是需要自己的时候再启动，譬如说打开一个浏览器窗口，这是一般流氓软件的方法，因为他需要连上网才能有利益可图，所以浏览器肯定是流氓软件必定监控的进程。

3。使用BHO插件,这种技术早先特别流行，这是微软提供的接口，本意是让IE浏览器可以扩充功能。每当一个ie浏览器启动的时候，都会调用BHO下必要的插件，流氓软件就是利用这一点。监控了浏览器所有事件与信息。

4。还有最笨的办法就是利用进程快照监控进程，判断有它自己所监控的进程启动，就使用atl得到浏览器指针，从而监控浏览器所有事件与信息。

5，还有一种方法就是使用spi，这是我在网上看到的。spi是分层协议，当winsock2启动的时候都会调用它的dll,可以监控所有应用层数据包。从而监控用户信息，而且能实时启动。

6。hook方法，hook技术可以所应用太广泛了，特别是监控方面。所以流氓软件也不会错过。首先应用的是api函数hook，譬如windows核心编程里的apihook类，或者微软的detous都可以完成，两者方法其实相同就是修改IDT函数入口地址。api hook钩住createprocess 就可以监控进程，比进程快照性能更强，可以钩住spi下的函数可以完成spi下的所有功能。还有消息hook，鼠标消息，键盘消息，日子消息等等钩子，方法实在太多，都可以利用。

上面列举了一些流氓软件的使用方法，但是流氓软件的一个特性是他无法卸载。所以它又要使用下面的方法了

因为上面的很多方法都可以删除注册表卸载他们，那怎么办呢，那就会时时监控，它会在它的进程，或者线程里监控注册表项，设置一个循环监控，发现没了就继续安装，增加。我想这应该是很多流氓软件的技术。

那现在又出现了一个新问题，那就是流氓软件的进程线程要是结束掉怎么办呢???看西面

7。一种方法就是上面的api hook技术，钩住openprocess ,用自己的函数判断只要打开的是自己进程就返回正确，使用这种方法，用户或者一般的软件就无法结束它的进程了。

8。还有一种是上面象bho,spi根本没有进程。一般的用户也无法删除他

9。还有一种方法是远程线程，这个技术用的也很普遍，首先是象api hook一样向目标进程里申请一段内存空间，然后使用自己映射过去，然后使用CreateRemoteThread创建远程线程。一般很多流氓软件或者以前的一些木马程序，都是把线程注入到系统进程譬如explorer,service等等，使用用户或者一般的杀毒软件很难处理或者结束。。

10。注册成服务后，也可以简单的隐藏进程。还有更可笑的是把自己的进程名跟一些系统进程名譬如lsass相同后,也就无法结束了。

从我上面列举的方法已经差不多可以形成好几款流氓软件了。但是你别高兴太早，因为这些技术只是应用层的，现在出现了一堆驱动层的反流氓软件工具，譬如超级兔子，完美卸载，木马克星，雅虎助手，还有现在火热的360安全卫士。

这些反流氓软件的方法删除以上流氓软件软件就比较简单。优先于流氓软件启动，截获所有访问流氓软件文件的irp，然后删除注册表项，删除文件。轻松的完成了反流氓任务。

为了针对这些反流氓软件，流氓软件出现了内核层的了。

1。首先是使用文件过滤驱动，保护自己的文件，流氓软件过滤了create里对于自己文件的所有fileopen外的所有irp和SetInformation下所有的irp，从而有效的保护了自己的文件。

2。内核级hook技术，可hook住所有公开的或者未公开的内核函数，譬如zwcreatefile,zwSetInformation,也可以有效的保护文件。

3。驱动层下的流氓软件还使用内核级hook技术，替换Regdeletekey,RegDeleteValueKey,RegSetValueKey从而有效的保护了注册表

4。利用内核级hook技术还有隐藏进程，或者监控进程，重起进程。

对于上面的流氓软件的方法一些驱动层下的反流氓软件工具又有点束手无策了。因为同是驱动程序相互拦截irp等于大家都无法 *** 作，反流氓软件工具的删除irp会被拦截，或者删除函数会被替换。删除注册表函数会被替换。虽然驱动的加载有先后，但是无法保证能完全的删除流氓软件，从而出现了一些更顶级的反流氓软件，他直接发删除文件irp到文件系统.,删除注册表也直接发送到文件系统。这类流氓软件又能有效的完成了反流氓任务，但是根据我了解，这样的软件不多。现在火热的360安全卫士都还只是使用了笨办法，优先于驱动流氓软件启动，创建一个驱动流氓软件同设备名的设备，，使流氓驱动创建不成功。具我了解他优先于流氓驱动启动是把自己创建于PNP_TDI这个组下面，就是简单的ndis就能优先于360启动。如果前面的组，那360就束手无策了。所以对付这类流氓驱动只能用直接发irp到文件系统。

流氓软件又怎么来防止直接发irp到文件系统的反流氓软件呢?rootkit,我看很多对于rootkit有误解，很多都认为hook也是rootkit.呵呵，rootkit说白了就是嵌入 *** 作系统文件。你不是发irp到文件系统吗?，可是我把文件系统给改了，不过rootkit根据我的观察unix或者linex下比较多，在windows下还是比较少的，因为需要使用汇编了，哎太晚了，不写了，我想如果流氓软件做到这个技术程度，它也没必要做流氓了，直接做 *** 作系统得了。

---