求助中木马了!我的电脑中了木马,名字是Trojan-Spy.win32.Agent.iw_4,我杀不掉他,请问危害大吗?我要怎么杀?

我电脑中了特洛伊木马 Trojan-spy.win32.Agent,nw~

Trojan.Spy.Agent分析
Trojan.Spy.Agent是WINDOWS下的ACTIVEX木马程序。请先清空您的IE缓存。注意将系统打上补丁，尤其拒绝安装非法插件[在弹出ACTIVEX控件插件的脚本对话框的时候看清楚是否合法（如WINDOWS UPDATE、Macromedia的FLASH播放插件为合法；藏鲸阁等为非法）
是ACTIVEX型的木马，老兄上网的时候注意点别安装不明不白的插件就行了。
木马病毒Trojan.Spy.Agent.xx查杀方法瑞星杀毒软件检测到文件ServeHost.exe感染病毒Trojan.Spy.Agent.xx，处理状态为“重新启动计算机后删除文件”，但是重新启动后再查病毒仍然存在。

原因：
该木马病毒具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级，监视用户操作，很难彻底删除。由于该病毒在驱动级实行了隐藏和保护，目前，大部分杀毒软件还不能彻底查杀该木马。

解决方案：
方法一：有多操作系统的用户，可以通过引导到其它系统删除此木马的所有文件，彻底清除该木马。
需要删除的文件有：Program Files\SearchNet目录。

方法二：把感染病毒的硬盘挂接到其他正常的机器上作为为从盘，删除其中的病毒文件。
需要删除的文件有：Program Files\SearchNet目录。

方法三：用户如果只安装了一个操作系统，可以这样处理，
1、进入该软件（中搜）的安装目录（C：\Program Files\SearchNet），找到卸载程序（类似uninstall.exe），运行后将该软件卸载。
2、删除该软件安装文件夹（SearchNet）中的所有文件，可能个别被占用的文件无法删除，请重新启动系统后再删除即可。

Trojan.Spy.Agent分析
Trojan.Spy.Agent是WINDOWS下的ACTIVEX木马程序。请先清空您的IE缓存。注意将系统打上补丁，尤其拒绝安装非法插件[在弹出ACTIVEX控件插件的脚本对话框的时候看清楚是否合法（如WINDOWS UPDATE、Macromedia的FLASH播放插件为合法；藏鲸阁等为非法）
是ACTIVEX型的木马，老兄上网的时候注意点别安装不明不白的插件就行了。
木马病毒Trojan.Spy.Agent.xx查杀方法瑞星杀毒软件检测到文件ServeHost.exe感染病毒Trojan.Spy.Agent.xx，处理状态为“重新启动计算机后删除文件”，但是重新启动后再查病毒仍然存在。

原因：
该木马病毒具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级，监视用户操作，很难彻底删除。由于该病毒在驱动级实行了隐藏和保护，目前，大部分杀毒软件还不能彻底查杀该木马。

解决方案：
方法一：有多操作系统的用户，可以通过引导到其它系统删除此木马的所有文件，彻底清除该木马。
需要删除的文件有：Program Files\SearchNet目录。

方法二：把感染病毒的硬盘挂接到其他正常的机器上作为为从盘，删除其中的病毒文件。
需要删除的文件有：Program Files\SearchNet目录。

方法三：用户如果只安装了一个操作系统，可以这样处理，
1、进入该软件（中搜）的安装目录（C：\Program Files\SearchNet），找到卸载程序（类似uninstall.exe），运行后将该软件卸载。
2、删除该软件安装文件夹（SearchNet）中的所有文件，可能个别被占用的文件无法删除，请重新启动系统后再删除即可。
参考资料：http://zhidao.baidu.com/question/10309960.html

木马小常识
特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中，木马都起到了开路先锋的作用。

一、木马的危害

相信木马对于众多网民来说不算陌生。它是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马，它就变成了一台傀儡机，对方可以在你的电脑上上传下载文件，偷窥你的私人文件，偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前，隐私？不复存在！
木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日，一个黑客入侵了美国微软的门户网站，而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面！
广大网民比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件，冰河面世后，以它简单的操作方法和强大的控制能力令人胆寒，可以说是达到了谈“冰”色变的地步。

二、木马原理

特洛伊木马属于客户/服务模式。它分为两大部分，即客户端和服务端。其原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例，被控制端可视为一台服务器，控制端则是一台客户机，服务端程序G_Server.exe是守护进程，G_Client.exe是客户端应用程序。
为进一步了解木马，我们来看看它们的隐藏方式，木马隐藏方法主要有以下几种：
1.)在任务栏里隐藏
这是最基本的。如果在windows的任务来历出现一个莫名其妙的图标，傻子都会明白怎么回事。在VB中，只要把form的Viseble属性设置为False，ShowInTaskBar设为False程序就不会出现在任务栏里了。
2.)在任务管理器里隐藏
查看正在运行的进程最简单的方法就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行，那么这肯定不是什么好的木马。所以，木马千方百计的伪装自己，使自己不出现在任务管理器里。木马发现把自己设为“系统服务”就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。
3.)端口
一台机器由65536个端口，你会注意这么多端口么？而木马就很注意你的端口。如果你稍微留意一下，不难发现，大多数木马使用的端口在1024以上，而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口，占用这些端口可能会造成系统不正常。这样的话，木马就会很容易暴露。也许你知道一些木马占用的端口，你或许会经常扫描这些端口，但现在的木马都提供端口修改功能，你有时间扫描65536个端口么？
4.)木马的加载方式隐蔽
木马加载的方式可以说千奇百怪，无奇不有。但殊途同归，都为了达到一个共同的目的，那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马，你会运行它才怪呢。而随着网站互动化进程的不断进步，越来越多的东西可以成为木马的传播介质，JavaScript、VBScript、ActiveX、XLM……..几乎www每一个新功能都会导致木马的快速进化。
5.)木马的命名
木马服务端程序的命名也有很大的学问。如果你不做任何修改的话，就使用原来的名字。谁不知道这是个木马程序呢？所以木马的命名也是千奇百怪。不过大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。例如有的木马把名字改为window.exe，如果不告诉你这是木马的话，你敢删除么？还有的就是更改一些后缀名，比如把dll改为dl等，你不仔细看的话，你会发现么？
6.)最新隐身技术
目前，除了以上所常用的隐身技术，又出现了一种更新、更隐蔽的方法。那就是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。这种方法与一般方法不同，它基本上摆脱了原有的木马模式—监听端口，而采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况，DLL会执行一些相应的操作。实际上这样的木马多只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它，在正常运行时木马几乎没有任何症状，而一旦木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。

三、木马防范工具

防范木马可以使用防火墙软件和各种反黑软件，用它们筑起网上的马其诺防线，上网会安全许多。
网上防火墙软件很多，推荐使用“天网防火墙个人版”。它是一款完全的免费的软件，安装成功后，它就变成一面盾牌图表缩小到任务来的系统托盘里，并时刻监视黑客的一举一动，当有黑客入侵时，它就会自动报警，并显示入侵者的IP地址。
用鼠标双击盾牌图标，就会弹出天网的控制台，控制台上有“普通设置”、“高级设置”、“安全设置”、“检测”和“关于”五个标签。单击“普通设置”标签，会看到有局域网安全设置和互联网安全设置两个窗口。我们可以通过拖动滑块来分别设置他们的安全级别等级。在此建议普通用户选择“中”(关闭了所有的TCP端口服务，但UDP端口服务还开放着，别人无法通过端口的漏洞来入侵，它阻挡了几乎所有的蓝屏攻击和信息泄漏问题，并且不会影响普通网络软件的使用)
在控制台上点“高级设置”就可以手工选择是否取消“与网络连接”“ICMP”、“IGMP”、“TCP监听”、“UDP监听”和“NETBIOS”这几个选项。如果上网后有人想连接你的电脑，天网防火墙会将其自动拦截，并告警提示，同时在控制台的“安全纪录”里会将连接者的IP，协议，来源端口，防火墙采取的操作，时间记录等攻击信息显示出来。
在控制台的“检测”、“关于”标签里主要有安全漏洞的说明，防火墙软件的版本号、注册人的号码等信息。如果你受到攻击想立刻断开网络，点一下控制台上的“停”就可以了。

四、木马的查杀

木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动)，现在很多杀毒软件能删除网络最猖獗的木马，建议安装金山毒霸或安全之星XP，它们在查杀木马方面很有一套！
由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。方法是：
1.)检查注册表
看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼windows＼start menu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell
Folders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经常检查这两个地方哦！
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方
比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可能就是木马服务端程序！赶快检查吧。
4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里
C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下了。
6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动
所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的。

到金山官方网站下载一个 木马专杀的好了

这是间谍木马，杀毒软件不一定杀的干净，用这一款网络安全防护软件ewido，在电脑上已经安装的其它安全软件基础上，补充为一个完整的安全系统。plus版本能实时监测整个系统运行，监测内存，内核自保护，在线升级等。程序可识别并清除63,449种不同的黑客程序,木马程序,蠕虫程序,Dialers程序等! 全面保护你的网络安全，国内木马**比起它是小儿科。http://download.ewido.net/ewido-setup.exe
安装后（发现为英文版）点击〔左上角第二个按纽〕在线升级，重新启动，发现变为中文试用版
点击〔输入注册码〕，填入注册码！
注册码：6617-EBE8-D1FD-FEA2

到3721>>安全维护>>下载反间谍专家 重启 进入安全模式，安装反间谍专家！杀毒！完了开启反间谍专家的系统免疫功能

Trojan.Win32.Agent的简要分析

这个QQ病毒和以往的此类病毒最大的区别就是不是通过发送网址来让人点击进入，而是染毒计算机会自动向QQ好友发送病毒文件，而且病毒文件大小不定，发送的病毒文件名具有一定诱惑性，诸如：

今年过年不收礼，收礼只收白骨精（搞笑版广告）.exe
啊哈，网友发的超级搞笑FLASH，你看得懂吗.exe
接啊，快接啊，推荐给你看看.exe
一个对你目前工作很有帮助的东东.exe
网上电视（20个CCTV频道+36个省台+50个英文台，极力推荐）.exe
等等。

病毒文件图标是WINRAR的压缩包的图样。

病毒运行后首先建立HKLM\Software\Classes\MSipv项，然后病毒创建自身副本到系统目录下：
%System%\�.exe
%System%\notepad�.exe
%Windows%\System\RUNDLL32.EXE（如果是Windows 2000/XP）
%Windows%\System32\RUNDLL32.EXE（如果是Windows 9x）

并修改EXE和TXT的文件关联：
HKLM\Software\Classes\exefile\shell\open\command
EXE文件关联被修改为“� %1 %*”
HKLM\Software\Classes\txtfile\shell\open\command
TXT文件关联被修改为“notepad� %1”

注：其中“�”不是单纯的一个空格，而是一个字符,是双字节ASCII码为“41643”。病毒感染系统后会显示一个提示框：“安装时检测到系统中某程序与本软件发生冲突，请先纠正该冲突，或选择另一台电脑上安装！”
再注：病毒文件大小不固定，从文件内容来看好像是通过一些重复的信息来改变文件大小。

此外，病毒还会检查被感染系统是否安装QQ，如果安装有QQ，病毒则通过注册表找到QQ.EXE所在路径，把正常的TIMPlatform.exe改名为TIMP1atform.exe，将病毒自身复制为TIMPlatform.exe。

最后在注册表建立病毒标记：
HKLM\Software\Classes\MSipv\MainSetup
HKLM\Software\Classes\MSipv\MainUp
HKLM\Software\Classes\MSipv\MainVer
其中MainSetup和MainUp值相同，但不固定。

病毒的清除
由于病毒关联了EXE文件，我们建议这样处理：
首先打开注册表编辑器或用来恢复文件关联的工具（如RegFix），先不要关闭（否则再次启动应用程序的时候使病毒又重新加载，或者将“.exe”的后缀名改为“.com”也可以。），然后通过任务管理器或KillBox或者是TroyanFindInfo等进程管理工具结束病毒Rundll32.exe的进程，接下来恢复EXE和TXT文件关联，最后再找到病毒文件删除掉：
%System%\�.exe
%System%\notepad�.exe
%Windows%\System\RUNDLL32.EXE（如果是Windows 2000/XP）
%Windows%\System32\RUNDLL32.EXE（如果是Windows 9x）
还有一步，到QQ安装目录下，把病毒生成的TIMPlatform.exe删除，然后把TIMP1atform.exe改名为TIMPlatform.exe即可。
注：推荐使用工具来恢复TXT文件关联。

---

乌拉特中旗13236153869： 我的电脑中木马病毒了怎么办?? - ？
通选里亚： 中了病毒、木马不要着急,我来帮你: 这里的方法是总结的前辈们的经验,在此感谢他们!!!!! 其实中毒后的处理方法就是那么几种,但是借助杀毒软件用手工方法处理是最为有效的!!!! 木马的查杀,可以采用自动和手动两种方式....

乌拉特中旗13236153869： 电脑中木马了怎么办? - ？
通选里亚： 木马病毒的通用解法 “木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事.在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游...

乌拉特中旗13236153869： 我的电脑中病毒了病毒名为:trojan.win32.mnless ？
通选里亚： 一个后门程序,两个广告程序,其他的都是木马. 解决方法: 一、首先清空IE缓存 桌面Internet Explorer--右键属性--删除Cookies-- 删除文件(删除所有脱机文件)--清除历...

乌拉特中旗13236153869： 求助 !电脑中了木马! - ？
通选里亚： 在 “ 安全模式 ”下查杀木马病毒无效是很正常的 , 我也很奇怪为什么有很多人那么热衷于在安全模式下查杀病毒木马的 ,所为 “ 安全模式 ”其实就是一种内置在操作系统中 , 帮助用户管理操作系统并诊断和修复电脑故障的工具 , 它的主要...

乌拉特中旗13236153869： 我的电脑中木马病毒了,怎么办 - ？
通选里亚： 特洛伊木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在你并不知情的的状态下控制你或者监视你的电脑.下面就讲讲木马经常藏身的地方和清除方法.首先查看自己的电脑中是否有木马1、集成到程序中...

乌拉特中旗13236153869： 电脑中了名为windowsdown的木马下载器,怎么办?最近我的 ？
通选里亚： 首先,将系统还原,关闭. 我的电脑上点右键,选择属性.系统还原,选项. 选上,在所有硬盘上关闭系统还原. 然后 可以在爱问的共享资料中下载: 木马克星 免费杀...

乌拉特中旗13236153869： 我的电脑又中木马怎么办?？
通选里亚： 中了病毒木马,请使用免费的360杀毒配合360安全卫士对系统进行查杀修复,资源占用少,而且查杀速度快,清除病毒,流氓木马效果都不错..

乌拉特中旗13236153869： 如果电脑不小心中了木马该怎么办啊？
通选里亚：建议你要安装比较好的杀毒软件,下载或是购买瑞星吧,我认为那个软件还可以, 定期的杀毒扫描,全盘杀毒,有些病毒很顽固,隐藏性能极高,杀毒扫描不到并且清除也找不到, 那样就只有系统还原了,要不来个格式化还有具体的方法楼上的说的很清楚, 我也就不多说啦

乌拉特中旗13236153869： 电脑中了木马病毒怎么办? - ？
通选里亚： 中毒了. 我的电脑跟你的情况一模一样!一般的杀毒软件还杀不了,后来装了下面3个套装之后就OK了.如果不行你K我!推荐杀毒最强组合:卡巴斯基被誉为世界最好的杀毒软件. 杀毒能力排第一名! 但任...

乌拉特中旗13236153869： 急,电脑感染了木马病毒我的电脑感染了木马病毒:C:\WINDOW ？
通选里亚： 下载一个“冰刃”软件吧!这个软件应该能够帮你解决问题. 冰刃的使用说明: 打开冰刃主程序,鼠标点击左下角“文件”按钮,将切换成显示各个盘符状态,按照文件路径点开该文件所在盘符前的+号,直到该文件在右边窗口显示出来为止,鼠标右键单击该qbozyn19.dll文件,选择“删除”或“强制删除”即可. 删除完毕清理注册表即可,方法如下: 点击＂开始＂--运行--输入regedit后回车--按F3键,查找目标中输入qbozyn19.dll,回车查找,找到删除.重复按F3键查找并删除.直到找不到为止.ok了 祝你好运!!!