Trojan.PSW.Win32.Mapdimp.a

病毒運行後有以下行為：

1.病毒釋放midimap??.dll和midimap??.dat的檔案到系統目錄(??代表兩個隨機字母)。

我們可以首先利用Windows的搜尋功能在系統目錄下搜尋名為midimap??.dll的檔案(注意:midimap.dll不是病毒,後面必須有兩個隨機字母且midimap??.dll和midimap??.dat是成對出現的才是病毒) 圖1

（圖1）

2.病毒還會修改註冊表信息達到開機被自動載入的目的。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E0-4f0d-0018-708476C7815F} 指向midimap??.dll檔案

開始-運行-輸入regedit 打開註冊表編輯器展開：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

然後在下面查找有無{4F4F0064-71E0-4f0d-0018-708476C7815F}的子鍵

如果有展開該子鍵，此時我們會看到該子鍵指向了病毒檔案%systemroot%\system32\midimap??.dll 圖2

（圖2）

如果這時看到的midimap??.dll檔案名稱和剛才搜尋到的檔案相同，則證明中毒了。圖3

（圖3）

3.另外，熟知Process Explorer的朋友亦可用Process Explorer查找explorer.exe的執行緒裡面是否有midimap??.dll 圖4

（圖4）

4.病毒運行後會訪問黑客指定的網址下載其他木馬病毒，盜取網遊賬號，並將盜取的信息在後台傳送給黑客，使網遊玩家的利益受損。

第一步，刪除病毒檔案：

使用wsyscheck工具，檔案管理，進入系統目錄（默認為c:\windows\system32）找到midimap??.dll和midimap??.dat檔案，在檔案上麵點擊右鍵，選擇“傳送到重啟刪除列表中”。

第二步，刪除被病毒修改的註冊表鍵值：

1、使用wsyscheck工具或使用註冊表編輯器，刪除以下鍵值內容：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E0-4f0d-0018-708476C7815F}的值“c:\windows\system32\midimap??.dll”

2、重啟計算機。