木马程序Trojan.Win32.Agent.fv怎么解决?
问题描述:
我的机子 c盘windows里出现了木马程序!用卡巴查出来了但是不能处理!
帮忙解决一下
谢谢
路径是 C:\WINDOWS\system32\Com\cl.exe/PE_Patch/UPX
木马程序 Trojan.Win32.Agent.fv
解析:
Trojan.Win32.Agent病毒清除/删除方法及解决方案
这个QQ病毒和以往的此类病毒最大的区别就是不是通过发送网址来让人点击进入,而是染毒计算机会自动向QQ好友发送病毒文件,而且病毒文件大小不定,发送的病毒文件名具有一定诱惑性,诸如:
今年过年不收礼,收礼只收白骨精(搞笑版广告).exe
啊哈,网友发的超级搞笑FLASH,你看得懂吗.exe
接啊,快接啊,推荐给你看看.exe
一个对你目前工作很有帮助的东东.exe
网上电视(20个CCTV频道+36个省台+50个英文台,极力推荐).exe
等等。
病毒文件图标是WINRAR的压缩包的图样。
病毒运行后首先建立HKLM\Sofare\Classes\MSipv项,然后病毒创建自身副本到系统目录下:
%System%\ .exe
%System%\notepad .exe
%Windows%\System\RUNDLL32.EXE(如果是Windows 2000/XP)
%Windows%\System32\RUNDLL32.EXE(如果是Windows 9x)
并修改EXE和TXT的文件关联:
HKLM\Sofare\Classes\exefile\shell\open\mand
EXE文件关联被修改为“ %1 %*”
HKLM\Sofare\Classes\txtfile\shell\open\mand
TXT文件关联被修改为“notepad %1”
注:其中“ ”不是单纯的一个空格,而是一个字符,是双字节ASCII码为“41643”。病毒感染系统后会显示一个提示框:“安装时检测到系统中某程序与本软件发生冲突,请先纠正该冲突,或选择另一台电脑上安装!”
再注:病毒文件大小不固定,从文件内容来看好像是通过一些重复的信息来改变文件大小。
此外,病毒还会检查被感染系统是否安装QQ,如果安装有QQ,病毒则通过注册表找到QQ.EXE所在路径,把正常的TIMPlatform.exe改名为TIMP1atform.exe,将病毒自身复制为TIMPlatform.exe。
最后在注册表建立病毒标记:
HKLM\Sofare\Classes\MSipv\MainSetup
HKLM\Sofare\Classes\MSipv\MainUp
HKLM\Sofare\Classes\MSipv\MainVer
其中MainSetup和MainUp值相同,但不固定。
病毒的清除
由于病毒关联了EXE文件,我们建议这样处理:
首先打开注册表编辑器或用来恢复文件关联的工具(如RegFix),先不要关闭(否则再次启动应用程序的时候使病毒又重新加载,或者将“.exe”的后缀名改为“”也可以。),然后通过任务管理器或KillBox或者是TroyanFindInfo等进程管理工具结束病毒Rundll32.exe的进程,接下来恢复EXE和TXT文件关联,最后再找到病毒文件删除掉:
%System%\ .exe
%System%\notepad .exe
%Windows%\System\RUNDLL32.EXE(如果是Windows 2000/XP)
%Windows%\System32\RUNDLL32.EXE(如果是Windows 9x)
还有一步,到QQ安装目录下,把病毒生成的TIMPlatform.exe删除,然后把TIMP1atform.exe改名为TIMPlatform.exe即可。
注:推荐使用工具来恢复TXT文件关联。
木马可以把自己改为系统启动时必定会调用的某个文件名,并复制到比原文件要浅一级以上的目录里。Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,这就意味着,如果有两个同样名称的文件分别放在C:\和C:\Windows下,Windows会执行C:\下的程序,而不是C:\Windows下的,这就是木马运行起来的方式。但关键是如果你以为删除掉这些木马程序就万事大吉的话,你会发现在删除之后哭都来不及:系统也出了故障,所有应用程序都打不开了。因为在Windows系统里,文件的打开操作是通过注册表内相应键值指定的应用程序来执行的,这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内。而应用程序自身也被视为一个文件,它也属于一种文件类型,同样可以用其他方式开启,只不过Windows设置它的调用程序为“"%1" %*”,但是木马程序则修改了应用程序(EXE文件)的并联方式,它将EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”,也就是说,系统是通过调用木马程序将原来的.exe程序打开。所以当你把木马杀死后,没有东西给被改变并联方式的.exe文件传递参数,就没法启动这些程序,自然你的电脑的应用程序就打不开了。
一种最最最方便简捷有效的方法来恢复.exe文件的关联文件:新建一个记事本文件,把下面的复制进去
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell\open\mand]
@="\"%1\" %*"
直接保存,然后右键点此文件,选打开方式-〉选择程序-〉浏览到windows文件夹里双击regedit,把信息加到注册表就可以了 。
木马程序:Trojan-Downloader.win32.Samll.hnu
“HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\”中,右边窗口找到残留的程序名删除。或者打开注册表编辑器 ,在编辑→查找中,输入出错文件名,把搜到的删除,按F3键,搜索下一个,直到删完所有的为止。开始菜单-运行-输入msconfig回车 在里边的启动栏里把**.dll前面的勾去掉就行...
检测到:木马程序 Trojan.Win32.Small.bon URL: http:\/\/scdown.qq.com...
那是网页上嵌入的一个恶意程序,也就是网页上挂的马,拒绝执行,然后,清空IE缓存应该不会有问题了.打开IE的工具选项,里面有删除浏览记录,按提示删之,再用杀毒软件杀一遍应该不会有问题的,再不行的话,建议重装一遍吧,另外不要再打开这个网址了。
已检测到: 木马程序 Trojan-GameThief.Win32.OnLineGames.skcl_百度知 ...
1、 到“安全模式”下去杀毒过么、???2、 只要连上网、不久就会弹出检测到病毒、电脑里那个木马下载器没有被清除、先屏蔽它的下载网址、然后再找杀毒对策、用“记事本”打开 HOSTS 文件、127.0.0.1 a.llxslaile1.com\/cn 复制上面的127...a.llxslaile1...内容粘贴放入C:\\WINDOWS\\system...
木马程序trojan-downloader.win32.qqhelper.mo
DLL注入木马是目前网络上十分流行的木马形式,它就像是一个寄生虫,木马以DLL文件的形式,寄宿在某个重要的系统进程中,通过宿主来调用DLL文件,实现远程控制的功能。这样的木马嵌入到系统进程中可以穿越防火墙,更让人头疼的是,用杀毒软件进行查杀,杀软即使报警提示发现病毒,但是也无法杀掉木马病毒文件,...
trojan horse 这个病毒厉害吗 ?它主要是起什么破坏作用的啊 ?_百度...
这是木马程序,主要就是为了盗号的。你到安全模式下杀下。手工彻底清除 PWSteal.Trojan, Trojan horse 木马的方法 许多电脑用户会经常遇到自己的防毒软件报告发现 PWSteal.Trojan 或者 Trojan horse 这种病毒但却无法清除和隔离它的情况, 或者是在清除后不久它又出现了,让人非常苦恼。这时该怎么办呢?...
已删除: 木马程序 Trojan-Downloader.Win32.Agent.ajf 文件: C:\\WI...
狡猾的木马expl0rer.exe 清除方法: PWSteal.Lemir not-a-virus.AdWare.Lop.p 04-06 TrojanDownloader.Delf.blh 04-06 Rootkit.Agent.ap 04-06 Trojan\/PSW.GamePass.dnq 04-06 Win32.Troj.ExpAni.a 04-06 Trojan\/PSW.Agent.cqw 在看文章之前:我想说前几天由于我个人的疏忽,接了一个广告...
什么是木马程序???可以下载吗??怎么用?
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。 所谓非...
木马和网马有什么区别
木马和网马都是网络攻击中常见的恶意程序,但它们在实现方式、传播途径和攻击目的等方面存在显著区别。木马(Trojan Horse)是一种伪装成正常程序的恶意软件,通常隐藏在看似无害的文件或程序中,当用户执行这些文件时,木马就会被激活并开始在用户的计算机上执行恶意操作。木马通常用于窃取用户的个人信息、...
紧急提问!关于TROJAN病毒,专家进
“落雪”难以查杀的另一个原因是,它运行后会在电脑D盘下生成一个自动运行批处理文件,即使C盘中的病毒文件被清除,但只要用户打开D盘,病毒仍然可以被激活。据了解,江民反病毒中心目前已找到对付“落雪”的办法,并紧急升级了病毒库。Trojan.PSW.WOW.el 是专门盗窃WOW密码的病毒程序,这段时间在网络上...
Trojan-PSW.Win32.Agent.kv如何杀?
木马程序 Trojan-Downloader.Win32.Agent的删除方法:1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点...
苍梧荷佳可: 这个是木马程序,尽快查杀. 一、首先清空IE缓存 桌面Internet Explorer--右键属性--删除Cookies-- 删除文件(删除所有脱机文件)--清除历史记录 单击"确定". 网页挂...
汝州市18765524025: trojan/win32是什么木马 - ?
苍梧荷佳可: Trojan.DL是一种在windows系统下的特洛伊木马病毒,一般是PE病毒. Trojan.DL有百来种, 安全模式下杀毒 最好的专杀木马广告特效软件ewido 7.5(已破解!保证升级不反弹,看http://www.x5dj.
汝州市18765524025: Trojan/Win32如何彻底杀除??
苍梧荷佳可: Trojan启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释放出病毒程序和正常...
汝州市18765524025: 感染: 木马程序 Trojan.Win32.StartPage.amo - ?
苍梧荷佳可: 建议进入安全模式查杀病毒试试: 重新启动电脑,待系统自检完成后,迅速按下F8,直到出 现“WindowsXP高级选项菜单”,然后使用光标选择,选择 第一项(安全模式),按回车键进入. 进入后,点击“是”在安全模式下工作即可.
汝州市18765524025: Trojan.win32.ThinPrint.a是什么病毒啊??? - ?
苍梧荷佳可: Trojan.win32.ThinPrint.a这是一个特洛依木马程序,窃取实现自启动,病毒运行后允许恶意攻击者远程控制计算机,窃取密码和个人数据.并大量占用系统资源造成机器运行缓慢,查杀木马, 你可以这样,先下载360系统急救箱保存到D盘,重启按F8进入带网络连接的安全模式,使用360系统急救箱进行查杀 这样就查杀的比较彻底了,然后启动360杀毒 360安全卫士的木马云查杀功能查杀清除残留就可以了,祝你能圆满解决问题.
汝州市18765524025: Trojan.Win32.Agent.uxh是什么病毒??
苍梧荷佳可: 楼主您好!这个病毒是木马程序.win32病毒具有破坏所有32位格式的windows运行程序的功能,如果你实在有防火墙的情况下感染的,那么不要在巡行任何程序了,因为这种病毒即使杀死了,你的程序也被损坏了.解决办法是,重新格式化c:然后重新安装系统,这是不要点击电脑的其他任何盘符,直接安装最新版杀毒软件全面杀毒就可以了,我用的杀毒软件是金山毒霸2007,就成功杀死了这种病毒.(但是我的损失也是蛮大的)
汝州市18765524025: 木马程序 Trojan - Downloader.Win32.Hmir.nm - ?
苍梧荷佳可: 这个命名为trojan-downloader.win32.hmir.ho的病毒,通常情况下是用于盗取用户帐号信息的木马病毒.trojan-downloader.win32.hmir.hon32病毒的清除方法如下:1.首先下载安全模式杀毒软件,下载地址:http://www.999.com.my/IT/antivirus/...
汝州市18765524025: 木马名称:Trojan/Win32.Agent是什么?
苍梧荷佳可: 木马是木马 病毒是病毒!~ 木马能控制你得计算机 包括屏幕,键盘,你的文件和摄像头!~ 病毒只是破会你计算机程序或者系统的! 所以木马破坏能力比病毒大 不顾一切代价杀掉! 不行从装系统也行!~ 解决方法: 首先把网线断掉!~ 要不你时刻被人家监控着 然后开机按F8 进入图形化安全模式!~ 既然你能扫到就证明木马没做免杀 在安全模式下 杀毒!~ 99%都可以杀掉!~ 还不行就只能换个杀毒软件了
汝州市18765524025: 求木马程序 Trojan.Win32.Genetik.cmv解决方案? - ?
苍梧荷佳可: 病毒症状 该病毒是一个使用VC编写的木马程序,长度为31,232字节,图标为常规可执行图标,病毒扩展名为exe,传播途径主要为文件捆绑和网页挂马. 病毒分析 该木马程序激活后,拷贝自身重命名为MPPDS.EXE到%SystemRoot%目录下, ...
