紧急求助!电脑中Win32.Trojan.Agent.s.rgrk病毒了……~
Trojan(特洛伊木马)木马病毒:该木马对抗安全软件能力非常强大,不仅能结束安全软件并删除部分杀毒软件服务,还能够关闭系统的安全中心,病毒在把安全软件关闭后,这样安全中心也就不会对用户进行提示了。用户中招后,该病毒便会上演“黑吃黑”的戏码,联网下载病毒列表,而且数量较多,修改HOST文件,屏蔽其他病毒网页地址。该病毒为了阻止用户使用还原类软件重启清楚该病毒,对系统的USERINIT.EXE进行修改,而当用户发现中毒后,即使有还原类软件也不能重启清除该病毒。 经测试NOD32杀毒。贝壳木马专杀和微点主动防御可以清除掉此病毒!!!!!!!!! 下面是具体的办法和工具 解决办法:在安全模式下查杀!重启电脑时--按F8--安全模式--打开杀毒软件--全盘查杀。!! (一 )工具法: 1: 建议你先用360安全卫士的木马云查杀和杀毒软件在安全模式下查杀,因为安全模式下查杀效果最好!! 2: windows恶意软件清理助手 下载地址: http://www.duote.com/soft/7513.html 一款用户拥有完全控制权的软件清理工具:、独有的清理技术,可以彻底清理有驱动保护的恶意软件;引擎和脚本分离,立场中立,清理操作对用户完全透明;、自定义查杀规则,控制权完全由用户掌握;、开放的用户接口,可以满足您的个性化清理需求,用户自定义脚本文件,实现对一些特殊软件的清理,并可将其共享给所有用户使用!、即时更新脚本库,使您拥有更强劲的清理能力 !! 3:使用360顽固木马专杀查杀当电脑感染木马,如果不能运行请改名:“asd”呵呵 下载地址: http://www.360.cn/(360 顽固木马专杀一定得联网才能查杀) 4: 用贝壳木马专杀贝壳官方网站 下载地址: http://www.beike.cn/ 贝壳木马专杀是绿色软件,直接双击运行就可以了 360虽然不错,但是对于新木马完全没有免疫力 贝壳主要是针对新木马病毒设计的 5:AV终结者木马专杀工具 下载地址: http://mirc.ys168.com/ 清除AV终结者/8749病毒;修复“映像劫持”;修复Autorun.inf;修复安全模式. 6: 微点主动防御软件, http://dl.pconline.com.cn/html_2/1/66/id=10993&pn=0.html (收费) 黑客后门工具中的系统病毒。可以使某些反病毒软件的自我保护和监控失效。 如果断网进安全模式的话,很容易杀。现在主流杀毒软件都能办到。最简单的莫过于此。 打开“我的电脑”; 依次打开菜单“工具/文件夹选项”; 然后在弹出的“文件夹选项”对话框中切换到“查看”页; 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态; 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项; 去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态; 最后点击“确定”。 (二) :手动法 1: 打开“开始/运行”,输入“regedit”后“确定”以打开注册表编辑器,进入到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键下,在右边列中,找到一个名为“;Rundll”的值,如果找到请双击打开看,查看并记下“数值数据”中指示的文件及路径名,一般为“C:\WINNT\System32\XXXX.exe”的形式(但并不固定,这要根据具体的环境而变化),注意其中的“XXXX.exe”代表的是任意值,并不固定,而不是4个X,所以这时一定要记清这个“XXXX.exe”所代表的文件名,记下后然后从注册表中删除这个“;Rundll”值; 2: 按“Ctrl+Alt+Del”键弹出任务管理器,找到在上面第二步中记下的“XXXX.exe”的进程(注意这里的XXXX.exe是具体的名称而不是4个X)。找到有相同的进程后选中它并点击“结束进程”以结束掉木马进程; 3: 打开资源管理器进入到 “系统目录\Winnt\System32”下(如果您的win2000/nt/xp安装在C盘则就是 C:\Winnt\System32)。找到XXXX.exe和XXXX.dll文件然后直接删除它们(当然,这里的XXXX所代表的仍然不是4个X,而是具体的名称);如果在删除过程中发现XXXX.dll删除不掉,而是报告“文件正在使用中无法删除”,则可以注销或重启一下电脑,然后再按此方法找到并删除它就可以了。 4: 按“Ctrl+Alt+Del”键弹出任务管理器,找到在上面第二步中记下的“XXXX.exe”的进程(注意这里的XXXX.exe是具体的名称而不是4个X)。找到有相同的进程后选中它并点击“结束进程”以结束掉木马进程; 5: 打开资源管理器进入到 “系统目录\Winnt\System32”下(如果您的win2000/nt/xp安装在C盘则就是 C:\Winnt\System32)。找到XXXX.exe和XXXX.dll文件然后直接删除它们(当然,这里的XXXX所代表的仍然不是4个X,而是具体的名称);如果在删除过程中发现XXXX.dll删除不掉,而是报告“文件正在使用中无法删除”,则可以注销或重启一下电脑,然后再按此方法找到并删除它就可以了。 (三 )手动删除法: 按照杀软给出病毒对应的文件名和路径,开始--运行--regedit,打开注册表,用光标选取注册表中的“我的电脑”,菜单--编辑--查找,从头到尾查找这文件的项目,右键--删除,F3继续,直至查完删完. 最后再删除硬盘文件,不让删的用IceSword(冰刃)的文件和注册表功能删 冰刃下载地址: http://www.onlinedown.net/soft/53325.htm 如果手动清除有困难,可以下载一个unlocker,安装,它自动添加到右键菜单,接下来的操作可以无师自通了Unlocker下载地址: http://www.newhua.com/soft/24732.htm 最好也做些基本的防护,关闭系统还原及其服务; 安全模式下清空所有临时文件夹(网上有批处理,也可用超级兔子的文件清理) 关闭一些无用服务超级兔子: http://www.skycn.com/soft/2993.html
Trojan.win32.fcc.rgrk是冲击波木马变种,查杀木马,给你几种方法:
1.下载个“360急救箱”原名:“360顽固木马专杀”,急救系统!
2。用“360安全卫士”的“扫描插件”,然后再“清理插件”,把它删除!
3。再用“360杀毒双引擎版”,“全盘扫描”,病毒木马,再点删除!
4。重启电脑后,来到“隔离区”,点“彻底删除”!
Trojan-Dropper.Win32.Agent.bdo 病毒名称: Trojan-Dropper.Win32.Agent.bdo 中文名称: 下载者变种 病毒类型: 木马类 文件MD5: 85EC8DB377E6849DBDA9A1321C049AAA 公开范围: 完全公开 危害等级: 4 文件长度: 加壳后 83,456 字节,脱壳后120,832 字节 感染系统: Win9X以上系统 开发工具: Microsoft Visual C++ 6.0 加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 病毒描述: 该病毒运行后,衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。 从指定服务器下载大量病毒体,包含大量游戏盗号程序,以及 ARP欺骗程序。 行为分析: 1 、衍生下列副本与文件: %WinDir%\sclgntfys.dll %WinDir%\winamps.dll %WinDir%\SysSun1\Ghook.dll %WinDir%\SysSun1\svchost.exe %WinDir%\cmdbcs.exe %WinDir%\gv.dll %WinDir%\mppds.exe %WinDir%\javhavm.exe %WinDir%\msccrt.exe %WinDir%\shualai.exe %WinDir%\winform.exe %System32%\upnpsvc.exe %System32%\systemt.exe %System32%\systemm.exe %System32%\SMSSS.exe %System32%\servet.exe %System32%\MSTCS.exe %System32%\alg32.exe %System32%\8.exe %System32%\system\.setupq\*.* %System32%\system\sysbacks\*.* %Documents and settings%\ 当前用户名 \local settings\temp\*.* …………… 2 、新建注册表键值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdfmgr\Description Value: String: " 启用 windows 用户模式驱动程序。 " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdfmgr\DisplayName Value: String: "Windows User Mode Driver" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdfmgr\ImagePath Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes rundll32.exe C:\WINDOWS\winamps. dll _start@16. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\msupdate Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ Winlogon\Notify\sclgntfys\DllName Value: String: "%\WINDOWS%\sclgntfys.dll HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\0c4 Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cmdbcs Value: String: "%WINDOWS%\cmdbcs.exe " HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cmdbs Value: String: "%WINDOWS%\cmds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\javhavm Value: String: "%WINDOWS%\javhavm.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run\KernelFaultcheck Value: String: "%WINDOWS%\system32\dumprep.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\mppds Value: String: "%WINDOWS%\mppds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\pxdnd Value: String: "%Documents and settings%\ 当前用户名 \ local settings\temp\win4.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\shualai Value: String: "%WINDOWS%\shualai.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\testrun Value: String: "%WINDOWS%\testexe.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\upxdndq Value: String: "%Documents and settings%\ 当前用户名 \ local settings\temp\upxdnd.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run\sun Value: String: "%WINDOWS%\syssun1\svchost.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run\wm Value: String: "%WINDOWS%\syswm7\svchost.exe" 3 、连接下列服务器 , 下载病毒体: Host:(2*8.6.1*5.1*)b*ol*m.com/up/win1.exe Host: t.g*u*.com(2*2.7*.15.9*)/0.exe Host: t.g*u*.com(2*2.7*.15.9*)/0/AVG.exe Host: t.g*u*.com(2*2.7*.15.9*)//0/SMSSS.exe Host:www.1*d*m.com(2*2.7*.15.3*)/xia/kehu0703.exe 4 、下载的病毒体 novel.exe 会发起 ARP 欺骗。 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。 -------------------------------------------------------------------------------- 清除方案: 1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线断开网络,结束病毒进程: IEXPLORE.EXE novel.exe upnpsvc.exe (2) 删除并恢复病毒添加与修改的注册表键值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\UMWdfmgr\Description Value: String: " 启用 windows 用户模式驱动程序。 " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\UMWdfmgr\DisplayName Value: String: "Windows User Mode Driver" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\UMWdfmgr\ImagePath Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes rundll32.exe C:\WINDOWS\winamps. dll _start@16. HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\msupdate Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\Winlogon\Notify\sclgntfys\DllName Value: String: "%\WINDOWS%\sclgntfys.dll HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\0c4 Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\cmdbcs Value: String: "%WINDOWS%\cmdbcs.exe " HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\cmdbs Value: String: "%WINDOWS%\cmds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\javhavm Value: String: "%WINDOWS%\javhavm.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\KernelFaultcheck Value: String: "%WINDOWS%\system32\dumprep.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\mppds Value: String: "%WINDOWS%\mppds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\pxdnd Value: String: "%Documents and settings%\ 当前用户 \ localsettings\temp\win4.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\shualai Value: String: "%WINDOWS%\shualai.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\testrun Value: String: "%WINDOWS%\testexe.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\upxdndq Value: String: "%Documents and settings%\ 当前用户名 \local settings\temp\upxdnd.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\Run\sun Value: String: "%WINDOWS%\syssun1\svchost.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\Run\wm Value: String: "%WINDOWS%\syswm7\svchost.exe" (3) 删除病毒释放文件: %WinDir%\sclgntfys.dll %WinDir%\winamps.dll %WinDir%\SysSun1\Ghook.dll %WinDir%\SysSun1\svchost.exe %WinDir%\cmdbcs.exe %WinDir%\gv.dll %WinDir%\mppds.exe %WinDir%\javhavm.exe %WinDir%\msccrt.exe %WinDir%\rising390.exe %WinDir%\shualai.exe %WinDir%\winform.exe %System32%\upnpsvc.exe %System32%\systemt.exe %System32%\systemm.exe %System32%\SMSSS.exe %System32%\servet.exe %System32%\MSTCS.exe %System32%\alg32.exe %System32%\8.exe %WINDOWS%\syssun1\*.* %System32%\syswm7\*.* %System32%\system\.setupq\*.* %System32%\system\sysbacks\*.* %Documents and settings%\ 当前用户名 \ local settings\temp\*.* ……………
病毒的命名解释 1.木马病毒 木马病毒的前缀是:Trojan。木马病毒的特点就是通过网络或者系统漏洞进入用户的系统并隐藏,然后再向外界泄露用户的信息。一般的木马如QQ消息尾巴Trojan.QQPSW.r,网络游戏木马病毒Trojan.StartPage.FH等。病毒名中有PSW或者什么PWD之类的是表示这个病毒有盗取密码的功能,所有这类病毒特别需要注意。 木马病毒专杀工具 远程控制的木马有:冰河(国人的骄傲,中国第一款木马),灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多, 反木马病毒:http://www.duote.com/soft/10999.html 木马专杀工具:http://www.duote.com/soft/11492.html 木马防线 :http://www.duote.com/soft/13783.html 木马分析专家个人防火墙 Build 2009 06.29 :http://www.duote.com/search.php?searchType=&so=%C4%BE%C2%ED%B7%D6%CE%F6%D7%A8%BC%D2+2005+V6.57&x=19&y=8 木马克星(iparmor) 2009 Build 0632 :http://www.duote.com/soft/2921.html U盘病毒专杀工具(USBCleaner) V6.0 Build 20090616 :http://www.duote.com/soft/10050.html 木马清除专家 2009 V0707 :http://www.duote.com/soft/7207.html 木马专家 2009 V0701 免费版 :http://www.duote.com/soft/13555.html Windows木马清道夫 2009 V11.5 build 0703 上网必备版:http://www.duote.com/soft/2955.html 木马分析专家个人防火墙 Build 2009 06.29 :http://www.duote.com/search.php?searchType=&so=%C4%BE%C2%ED%B7%D6%CE%F6%D7%A8%BC%D2%B8%F6%C8%CB%B7%C0%BB%F0%C7%BD&x=19&y=15 查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,其中有些工具,如果想使用全部功能,需要付一定的费用,木马分析专家是免费授权使用。 病毒 安装适合的防病毒软件 代码炸 注意数据备份,不运行来历不明的软件 特洛伊木马 不访问不良网站,小心下载软件 最後,給點木馬信息資料:1、什么是木马 2、驻留在目标计算机里 3、随计算机自动启动并在某一端口进行侦听 4、对目标计算机执行特定操作 _黎[先笙]!?原創
Trojan-Dropper.Win32.Agent.ayta.rgrk这是一个特洛依木马变种程序。会伪装成一个常用软件,窃取用户信息。
查杀:腾讯电脑管家,卡巴斯基等主流杀毒软件都可以进行查杀。
防护:开启杀毒软件的主动防护,在病毒扩散之前会提前对此类病毒进行隔离。
查杀病毒之前应将安全软件更新到最新版本,并且更新杀毒软件的病毒库
霸州市13227634547:
Trojan.Dropper是什么病毒?如何清除? ?
娄服美得: 怎么这么多人中了这种病毒? 变种AEO(Trojan.Dropper)病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:WIN9X/NT/2000/XP. 该病毒会在后台运行,修改染毒计算机IE的首页,指向病毒指定的页面.它会给用户日常上网带来麻烦.同时该病毒还会消耗系统资源,使系统运行速度减慢,甚至造成一些计算机出现死机的现象.
霸州市13227634547:
升级了瑞星,却在瑞星目录下查到木马trojan - dropper.win32.agent.bsv,是怎么回事??????? - ?
娄服美得: 这个木马是随着瑞星启动的,必需删除瑞星,然后用TrojanHunter5.0在安全模式下查杀就可以彻底杀掉了.我的就是这样杀掉的
霸州市13227634547:
我的系统中了这个木马Trojan - Dropper/Win32.Agent.biuk,杀不掉,删不掉,也粉碎不了额!该怎么办??
娄服美得: 进入电脑安全模式启动杀毒软件试一试 进入安全模式 开始/运行/msconfig/确定/boot.ini/safeboot/确定 退出安全模式 开始/运行/msconfig/确定/一般/正常启动
霸州市13227634547:
Trojan - Dropper.Win32.Agent.wk 是什么木马 - ?
娄服美得: 这些都是木马程序 类似的还有 Trojan.Dropper.Arar Trojan.Dropper.Arar.a Trojan.Dropper.Agent.b Trojan.Dropper.Arar.c Trojan.Dropper.Arar.d Trojan.Dropper.Arar.e WINDOWS下的木马程序 启动后会从体内资源部分释放出病毒文件,并且显示...
霸州市13227634547:
木马程序 Trojan - Dropper.Win32.Agent.ays - ?
娄服美得: 1 安装 更新杀毒软件,进入安全模式进行查杀病毒,一般能搞定;2 检查系统启动程序,发现可疑的文件后到硬盘中删除你先用以下工具检查启动项目并将结果贴上来吧http://iask.sina.com.cn/ishare/browse_file.php?fileid=15786
霸州市13227634547:
Trojan - Dropper.Win32.BigJack.b病毒怎么清除 - ?
娄服美得: 建议进入安全模式查杀病毒试试:重新启动电脑,待系统自检完成后,迅速按下F8,直到出现“WindowsXP高级选项菜单”,然后使用光标选择,选择第一项(安全模式),按回车键进入.进入后,点击“是”在安全模式下工作即可.
霸州市13227634547:
病毒名称:Trojan - Dropper.Win32.Agent.coca是什么类型的病毒??
娄服美得: Trojan-Dropper.Win32.Agent.coca 这是一个 特洛伊木马下载器 Trojan-Dropper.:代表该程序属于 木马下载器 Win32.:代表 该木马已感染 系统文件为主 Agent.coca:代表这个木马的原版本名称为 Agent,其变种为coca. 这是一个比较危险的木马,这个木马一旦运行就会在 后台下载 大量的木马 来感染楼主的电脑. 同时,会 窃取 楼主的 帐号和密码 等个人信息
霸州市13227634547:
木马病毒“trojan - dropper/win32.Agent.bior”怎么解决??
娄服美得: Trojan(特洛伊木马)木马病毒:该木马对抗安全软件能力非常强大,不仅能结束安全软件并删除部分杀毒软件服务,还能够关闭系统的安全中心,病毒在把安全软件关闭后,这样安全中心也就不会对用户进行提示了.用户中招后,该病毒便会...
霸州市13227634547:
木马程序:Trojan - dropper.win32Agent.ays 顺便问一下什么杀毒软件最好,又可升级 - ?
娄服美得: Trojan.Dropper为特洛伊病毒 危害性:中等危害 病毒特性:它会显示伪装的“被感染”信息,并尝试下载一个假的“间谍软件”扫描器...
霸州市13227634547:
卡巴斯基检测出trojan - dropper.win32.Agent.bfks是病毒,可无法去除,专业人士请解答一下 - ?
娄服美得: 这个病毒可能是威金蠕虫,也可能是熊猫烧香之类的,如果是威金的话可以参考下面方法解决:消灭威金!终极战略! 不幸的中了威金病毒,被害了几天,本人苦苦研究了2天之后终于将威金病毒给彻底消灭!小兴奋一下. 各种杀毒软件和网络...
