卡巴扫描出Trojan.Win32.Agent.abf,清除需要重启,但是重启后还是无法清除
作者&投稿:蔚翔 (若有异议请与网页底部的电邮联系)
卡巴速度慢 是有名的,半分钟不奇怪,清除 包包括 删除 隔离,不准访问等等,删出就是备份后删除
这是一个木马
杀trojan.dl类型病毒木马最好的就是Ewido(http://webeee.eeetw.com/webeee%20feng/feng~3/sd/EWIDO3.5.rar )
和木马杀客这2个软件!(都是绿色版,网站里面也有安装版,随你选择)
(中木马时,用两个一起到安全模式杀)
这种病毒怎么清除? 特洛伊木马(Trojan horse)
完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
特洛伊木马是如何启动的
1. 在Win.ini中启动
在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马哦。
2.在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!
另外,在System.中的[386Enh]字段,要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
3.利用注册表加载运行
如下所示注册表位置都是木马喜好的藏身加载之所,赶快检查一下,有什么程序在其下。
4.在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。
5.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,在执行了Win.com并加截了多数驱动程序之后
开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
6.启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
7.*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
8.修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l",这样,一旦你双击一个TXT文件,原本应用Notepad打开该文件,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、ZIP.COM等都是木马的目标,要小心搂。
对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键值是否正常。
9.捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马义会安装上去。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
10.反弹端口型木马的主动连接方式
反弹端口型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连接,并且监听端口一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时,最新的天网防火墙(如我们在第三点中所讲的那样),因此只要留意也可在网络神偷服务端进行主动连接时发现它。
WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
的解决方案:
WORM_NUGACHE.G(威金)
病毒码发布日期: Dec 8, 2006
解决方案:
Note: To fully remove all associated malware, perform the clean solution for TROJ_DLOADER.IBZ.
Terminating the Malware Program
This procedure terminates the running malware process.
Open Windows Task Manager.
• On Windows 98 and ME, press
CTRL+ALT+DELETE
• On Windows NT, 2000, XP, and Server 2003, press
CTRL+SHIFT+ESC, then click the Processes tab.
In the list of running programs*, locate the process:
MSTC.EXE
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your computer.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
*NOTE: On computers running Windows 98 and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process.
On computers running all Windows platforms, if the process you are looking for is not in the list displayed by Task Manager or Process Explorer, continue with the next solution procedure, noting additional instructions. If the malware process is in the list displayed by either Task Manager or Process Explorer, but you are unable to terminate it, restart your computer in safe mode.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Autostart Entries from the Registry
Removing autostart entries from the registry prevents the malware from executing at startup.
If the registry entry below is not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
Microsoft Domain Controller = "%System%\mstc.exe"
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP and Server 2003.)
Removing Added Key from the Registry
Still in Registry Editor, in the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE
In the left panel, locate and delete the following key:
GNU
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as WORM_NUGACHE.G. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner.
Applying Patch
This malware exploits known vulnerability in Windows. Download and install the fix patch supplied by Microsoft. Refrain from using this product until the appropriate patch has been installed. Trend Micro advises users to download critical patches upon release by vendors.
TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
病毒码发布日期: Sep 18, 2006
解决方案:
Identifying the Malware Program
To remove this malware, first identify the malware program.
Scan your computer with your Trend Micro antivirus product.
NOTE the path and file name of all files detected as TROJ_CLAGGE.B.
Trend Micro customers need to download the latest virus pattern file before scanning their computer. Other users can use Housecall, the Trend Micro online virus scanner.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Malware Entry from the Registry
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>
SharedAccess>Parameters>FiREWaLLpolicy>StAnDaRDPrOFiLe>
AUtHorizedapplications>List
In the right panel, locate and delete the entry:
{Malware path and file name} ="{Malware path and file name}:*:ENABLED:0"
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as TROJ_CLAGGE.B and TROJ_KEYLOG.CO. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner
Trojan.Win32.Agent.abf (setvp.exe windhcp.dll) 手工清除方法
一、病毒行为分析
setvp.exe运行以后释放windhcp.dll到系统目录,并将windhcp.dll注入Explorer.exe进程,创建服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32DHCPsvc]
显示名:Win32 DHCP Service
描述:为远程计算机注册并更新 IP 地址。
可执行文件的路径:%System%\rundll32.exe windhcp.dll,start
二、手工清除步骤
1. 删除服务项:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32DHCPsvc]
2. 重新启动计算机
3. 删除文件:
setvp.exe
%System%\windhcp.dll
你电脑中了不是一般的毒 只靠杀毒软件是没有 办法彻底杀除的 如过乱删的话就会 摧毁掉你的系统 所以方法就一个 就是重新安装程序
我前段时间也中了这个
宗政空麦特: 您好,根据互联网上可以查找的到的信息显示,“Trojan.Win32.Tasker”这是一个(木马病毒),首次于2019年被查找到.这个病毒的主要用意是通过系统给黑客开后门,而开后门的方式是通过感染系统的 Microsoft Framework64(微软架构64...
灵山县13197517846: 用卡巴检测到了 Trojan.win32.Agent.dapw 该怎么办?
宗政空麦特: 安全模式被破坏了.修复好安全模式后进入安全模式查,如果卡巴清除不干净,也可以用用windows清理助手、360顽固木马专杀、贝壳木马专杀、金山急救箱工具扫描清理.如果遇到难以删除的顽固可以用 1:冰刃:2:Unlocker:3:超级巡警文件...
灵山县13197517846: 我用卡巴杀毒,查出来heur:trojan.win32.invader 是什么病毒啊?都是感染EXE文件的 - ?
宗政空麦特: 请到安全模式下查杀!!! 补充如下: 一般杀毒软件如卡巴斯基能提示发现病毒dll,但是不能删.最简单的方法是用一个叫unlocker的软件([/size][url=http://ccollomb.free.fr/unlocker/unlocker1.8.5.exe][size=3][color=#261cdc]http://ccollomb.free.fr/...
灵山县13197517846: 卡巴检测到Troian.Win32.Aqent.mue如何清除 - ?
宗政空麦特: 今天陆续接到反映更新病毒库后卡巴会报C:\WINDOWS\SYSTEM32\WININET.DLL 该文件为木马病毒Trojan.Win32.Aqent.m ue .请大家在卡巴报警时暂时不要将其删除!!如果遇到监控一直报警的可以暂时退出卡巴! 误删导致的现象就是进入...
灵山县13197517846: 卡巴查出一个trojan.win32.generic病毒,显示为“隔离”什么意思 - ?
宗政空麦特: ...隔离里面有杀死的东西啊... 卡巴查出来的不一定是毒.. 卡巴是有毒必杀..无毒乱杀
灵山县13197517846: Trojan - Downloader.Win32.Agent.xvu?
宗政空麦特: 一、以下是给我提示的方法:这是卡巴杀到的解决方法:Trojan-Downloader.Win32这种病毒会注入explorer.exe进程,并且写进注册表.病毒根据电脑随机生成6位字母+2位数字的dll文件,dll文件位于system32文件夹下,另有一个同名的sys文...
灵山县13197517846: 卡巴斯基杀毒软件检测到:木马程序 Trojan.Win32.Chifrax.a 文件: C:\Program Files\装机人员工具\一键还原精灵7.52\一键还原精灵7.52绿色版.exe?
宗政空麦特: 卡巴斯基杀毒软件检测到:木马程序 Trojan.Win32.Chifrax.a 推荐使用备份还原系统工具v2.0 (GhostShellv2.0)http://www.tmxy.net/xt/ghost.htm 无论备份还是还原 都只需要按一个键 在系统干净时做个备份 以后遇到系统出现问题 3-5分钟就可以恢复 本工具备份、还原都只需要3-5分钟 软件绝对干净 不像“一键还原精灵”有那么多木马
灵山县13197517846: 卡巴提示wow.exe感染trojan - gamethief.wi? ?
宗政空麦特: 著名杀毒软件卡巴斯基最新2008-8-13 11:40:26病毒库会造成一些用户的Wow.exe文件被删除,解决方法如下: 1、如果如果扫描时提示,可以选择跳过并加入信任区. ...
灵山县13197517846: 卡巴提示木马了 求助啊!!?
宗政空麦特: SVCHOST.EXE应该在c:\windows\system32文件夹下!所以这个应该是木马!
灵山县13197517846: 卡巴斯基检测出trojan - dropper.win32.Agent.bfks是病毒,可无法去除,专业人士请解答一下 - ?
宗政空麦特: 这个病毒可能是威金蠕虫,也可能是熊猫烧香之类的,如果是威金的话可以参考下面方法解决:消灭威金!终极战略! 不幸的中了威金病毒,被害了几天,本人苦苦研究了2天之后终于将威金病毒给彻底消灭!小兴奋一下. 各种杀毒软件和网络...
