病毒分析：

　　病毒采用Delphi编写，upack0.39加壳。

　　病毒运行后有以下行为：

　　1.病毒释放midimap??.dll和midimap??.dat的文件到系统目录(??代表两个随机字母)。

　　我们可以首先利用Windows的搜索功能在系统目录下搜索名为midimap??.dll的文件(注意:midimap.dll不是病毒,后面必须有两个随机字母且midimap??.dll和midimap??.dat是成对出现的才是病毒) 图1

　　（图1）

　　2.病毒还会修改注册表信息达到开机被自动加载的目的。

　　HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{4F4F0064-71E0-4f0d-0018-708476C7815F} 指向midimap??.dll文件

　　开始-运行-输入regedit 打开注册表编辑器展开：

　　HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

　　然后在下面查找有无{4F4F0064-71E0-4f0d-0018-708476C7815F}的子键

　　如果有展开该子键，此时我们会看到该子键指向了病毒文件%systemroot%system32midimap??.dll　图2

　　（图2）

　　如果这时看到的midimap??.dll文件名和刚才搜索到的文件相同，则证明中毒了。图3

　　（图3）

　　3.另外，熟知Process Explorer的朋友亦可用Process Explorer查找explorer.exe的线程里面是否有midimap??.dll 图4

　　（图4）

　　4.病毒运行后会访问黑客指定的网址下载其他木马病毒，盗取网游账号，并将盗取的信息在后台发送给黑客，使网游玩家的利益受损。

　　手动处理方法：

　　第一步，删除病毒文件：

　　使用wsyscheck工具，文件管理，进入系统目录（默认为c:windowssystem32）找到midimap??.dll和midimap??.dat文件，在文件上面点击右键，选择“发送到重启删除列表中”。

　　第二步，删除被病毒修改的注册表键值：

　　1、使用wsyscheck工具或使用注册表编辑器，删除以下键值内容：

　　HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{4F4F0064-71E0-4f0d-0018-708476C7815F}的值“c:windowssystem32midimap??.dll”

　　2、重启计算机。