决战江桥赵忠仁原型:zsyhide.dll.vir是什么病毒，如何杀毒

zsyhide.dll文件注册表详细导出：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]

"AppInit_DLLs"="C:WINNTsystem32zsyhide.dll"

zsydll.dll文件注册表详细导出：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifyzsydll]

"DllName"="C:WINNTsystem32zsydll.dll"

"Shutdown"="DoShutdown"

"Startup"="DoStartup"

"Asynchronous"=dword:00000001

"Impersonate"=dword:00000000

二、 Ginwui.exe的清除方法

系统重启后执行cmd.exe，把%windir%system32目录下的zsydll.dll和zsyhide.dll改名，删除在注册表中的zsydll项和AppInit_DLLs项下的C:WINNTsystem32zsyhide.dll键值。重启系统把%windir%system32目录下的zsyhide.dll和zsydll.dll删除（改名后的文件），临时目录下的20060426.bak可以直接删除。

三、 危害

远程攻击者完全控制被攻击的主机，拥有系统权限，可以对系统进行任意操作。比如盗取用户的帐户和口令、个人信息、信用卡帐户等。

四、 传播方式

Ginwui.exe是目前利用WORD漏洞进行传播的木马程序，从上面分析来看不仅可以利用WORD漏洞进行传播，还可以利用以前的IE漏洞、FLASH漏洞等方式来进行传播。

五、 防范措施

6月13日微软发布等级为严重的安全公告 MS06-027（Microsoft Word 中的漏洞可能允许远程执行代码），该漏洞利用格式错误的对象指针的 Word 中存在一个远程执行代码漏洞。攻击者可以通过构建特制的 Word 文件来利用此漏洞，此文件可能允许远程执行代码。微软针对此漏洞已发布安全补丁，请及时更新。

临时解决方法是以安全模式的方式运行该软件－－在Word的快捷方式中添加命令行“WINWORD.EXE /safe”。请及时更新杀毒软件的病毒库。使用防火墙规则禁止系统从内部对localhosts.3322.org和scfzf.xicp.net进行连接。

这是一种常见的普通病毒，不用担心，先下载安装http://www.grisoft.cz/softw/70/filedir/inst/ewido-setup_4.0.0.172b.exe
再安装汉化补丁http://www.newhua.com/soft/41516.htm
不安装汉化补丁，可能会看不懂，但图标也是能看懂的；
用他杀毒后再使用超级兔子进行修复。这样病毒就彻底没了。