Trojan-Dropper.Win32.Agent.ahfv是什么木马啊?
病毒名称:Trojan-Dropper.Win32.Agent.bav
中文名称:“半条命”变种
病毒类型:木马类
文件 MD5:4D13557FE4836AAEF05309AED0401B50
公开范围:完全公开
危害等级:中等
文件长度:197,124 字节
感染系统:Win98以上系统
开发工具:Borland Delphi 6.0 - 7.0 [Overlay]
命名对照:驱逐舰[Trojan.MulDrop.5046]、瑞星[Worm.Cnt.z] 该病毒运行后,病毒衍生文件到系统目录下,更改Explore.exe的BHO对象,间接挂载病毒体。从而在指定服务器地址下载病毒体到本机运行,并利用间软件掩藏自身。该病毒会造成用户电脑极度缓慢。
黑客用Trojan/Win32来盗取其他用户的个人信息,甚至是远程控制对方的计算机而加壳制作,然后通过各种手段传播或者骗取目标用户执行该程序,以达到盗取密码等各种数据资料等目的。
与病毒相似,木马程序有很强的隐秘性,随操作系统启动而启动。2009年1月7日,64-bit的Windows 7 Beta(组建7000)被泄漏到网络上,并在不少的torrent文件中附带了特洛伊木马病毒。
扩展资料:
木马病毒是感染计算机最严重的病毒,也是黑客进行网络攻击的重要工具。木马的危害性极大,窃取用户私密信息,威胁人民财产安全。通过分析木马的攻击原理,详细阐述木马的多种隐藏方式及发现技术,采用软件进行木马发现仿真实验。
实验表明该软件可以成功检测出自启动运行的木马,修改系统服务描述符表的木马和修改动态链接库文件的木马,为进一步清除计算机中的木马病毒奠定基础 。在2015年病毒数量统计中,木马占病毒总数的53%,是目前感染计算机最严重的病毒。
而且木马近年来发展迅速,经常被黑客利用,它是一种特殊的病毒,独立存在或隐藏在正常程序中,如果把它当成一个软件来使用,该木马就会植入计算机,随后,计算机的控制权就会交到“黑客”手里。
木马将渗透到用户的计算机系统内,盗取用户的各类账号和密码,窃取各类机密文件,甚至远程控制用户主机,对用户的财产安全构成了威胁,严重侵害人民和国家的利益。
过去主流木马病毒在配置时都具有自定义进程名称和自定义端口等功能,但现在的主流木马病毒更先进甚至无进程、无端口。所以对于此类后门的检测和删除,建议使用专业的安全检测工作。当然也有一些恶意软件和木马病毒在任务管理器里有进程。
如果怀疑可以将这些新增的陌生进程结束掉。如果不能确定可疑进程是否是病毒或木马的进程,可以把该进程的全名作为关键词,放进百度或Google等搜素引擎上搜素,找它的相关资料再判断。
参考资料来源:百度百科-Trojan.Win32
百度百科-三角木马
Trojan-Dropper.Win32.Agent.bdo 病毒名称: Trojan-Dropper.Win32.Agent.bdo 中文名称: 下载者变种 病毒类型: 木马类 文件MD5: 85EC8DB377E6849DBDA9A1321C049AAA 公开范围: 完全公开 危害等级: 4 文件长度: 加壳后 83,456 字节,脱壳后120,832 字节 感染系统: Win9X以上系统 开发工具: Microsoft Visual C++ 6.0 加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 病毒描述: 该病毒运行后,衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。 从指定服务器下载大量病毒体,包含大量游戏盗号程序,以及 ARP欺骗程序。 行为分析: 1 、衍生下列副本与文件: %WinDir%\sclgntfys.dll %WinDir%\winamps.dll %WinDir%\SysSun1\Ghook.dll %WinDir%\SysSun1\svchost.exe %WinDir%\cmdbcs.exe %WinDir%\gv.dll %WinDir%\mppds.exe %WinDir%\javhavm.exe %WinDir%\msccrt.exe %WinDir%\shualai.exe %WinDir%\winform.exe %System32%\upnpsvc.exe %System32%\systemt.exe %System32%\systemm.exe %System32%\SMSSS.exe %System32%\servet.exe %System32%\MSTCS.exe %System32%\alg32.exe %System32%\8.exe %System32%\system\.setupq\*.* %System32%\system\sysbacks\*.* %Documents and settings%\ 当前用户名 \local settingsemp\*.* …………… 2 、新建注册表键值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdfmgr\Description Value: String: " 启用 windows 用户模式驱动程序。 " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdfmgr\DisplayName Value: String: "Windows User Mode Driver" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdfmgr\ImagePath Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes rundll32.exe C:\WINDOWS\winamps. dll _start@16. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\msupdate Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ Winlogon\Notify\sclgntfys\DllName Value: String: "%\WINDOWS%\sclgntfys.dll HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\0c4 Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cmdbcs Value: String: "%WINDOWS%\cmdbcs.exe " HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cmdbs Value: String: "%WINDOWS%\cmds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\javhavm Value: String: "%WINDOWS%\javhavm.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run\KernelFaultcheck Value: String: "%WINDOWS%\system32\dumprep.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\mppds Value: String: "%WINDOWS%\mppds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\pxdnd Value: String: "%Documents and settings%\ 当前用户名 \ local settingsemp\win4.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\shualai Value: String: "%WINDOWS%\shualai.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runestrun Value: String: "%WINDOWS%estexe.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\upxdndq Value: String: "%Documents and settings%\ 当前用户名 \ local settingsemp\upxdnd.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run\sun Value: String: "%WINDOWS%\syssun1\svchost.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run\wm Value: String: "%WINDOWS%\syswm7\svchost.exe" 3 、连接下列服务器 , 下载病毒体: Host:(2*8.6.1*5.1*)b*ol*m.com/up/win1.exe Host: t.g*u*.com(2*2.7*.15.9*)/0.exe Host: t.g*u*.com(2*2.7*.15.9*)/0/AVG.exe Host: t.g*u*.com(2*2.7*.15.9*)//0/SMSSS.exe Host:www.1*d*m.com(2*2.7*.15.3*)/xia/kehu0703.exe 4 、下载的病毒体 novel.exe 会发起 ARP 欺骗。 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。 -------------------------------------------------------------------------------- 清除方案: 1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线断开网络,结束病毒进程: IEXPLORE.EXE novel.exe upnpsvc.exe (2) 删除并恢复病毒添加与修改的注册表键值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\UMWdfmgr\Description Value: String: " 启用 windows 用户模式驱动程序。 " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\UMWdfmgr\DisplayName Value: String: "Windows User Mode Driver" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\UMWdfmgr\ImagePath Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes rundll32.exe C:\WINDOWS\winamps. dll _start@16. HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\msupdate Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\Winlogon\Notify\sclgntfys\DllName Value: String: "%\WINDOWS%\sclgntfys.dll HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\0c4 Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\cmdbcs Value: String: "%WINDOWS%\cmdbcs.exe " HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\cmdbs Value: String: "%WINDOWS%\cmds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\javhavm Value: String: "%WINDOWS%\javhavm.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\KernelFaultcheck Value: String: "%WINDOWS%\system32\dumprep.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\mppds Value: String: "%WINDOWS%\mppds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\pxdnd Value: String: "%Documents and settings%\ 当前用户 \ localsettingsemp\win4.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\shualai Value: String: "%WINDOWS%\shualai.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Runestrun Value: String: "%WINDOWS%estexe.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\upxdndq Value: String: "%Documents and settings%\ 当前用户名 \local settingsemp\upxdnd.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\Run\sun Value: String: "%WINDOWS%\syssun1\svchost.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\Run\wm Value: String: "%WINDOWS%\syswm7\svchost.exe" (3) 删除病毒释放文件: %WinDir%\sclgntfys.dll %WinDir%\winamps.dll %WinDir%\SysSun1\Ghook.dll %WinDir%\SysSun1\svchost.exe %WinDir%\cmdbcs.exe %WinDir%\gv.dll %WinDir%\mppds.exe %WinDir%\javhavm.exe %WinDir%\msccrt.exe %WinDir%ising390.exe %WinDir%\shualai.exe %WinDir%\winform.exe %System32%\upnpsvc.exe %System32%\systemt.exe %System32%\systemm.exe %System32%\SMSSS.exe %System32%\servet.exe %System32%\MSTCS.exe %System32%\alg32.exe %System32%\8.exe %WINDOWS%\syssun1\*.* %System32%\syswm7\*.* %System32%\system\.setupq\*.* %System32%\system\sysbacks\*.* %Documents and settings%\ 当前用户名 \ local settingsemp\*.* ……………
病毒名称:Trojan-Dropper.Win32.Agent.bav中文名称:“半条命”变种
病毒类型:木马类
文件 MD5:4D13557FE4836AAEF05309AED0401B50
公开范围:完全公开
危害等级:中等
文件长度:197,124 字节
感染系统:Win98以上系统
开发工具:Borland Delphi 6.0 - 7.0 [Overlay]
命名对照:驱逐舰[Trojan.MulDrop.5046]
瑞星[Worm.Cnt.z]
病毒描述:
该病毒运行后,病毒衍生文件到系统目录下,更改Explore.exe的BHO对象,间接挂载病毒体。从而在指定服务器地址下载病毒体到本机运行,并利用间软件掩藏自身。该病毒会造成用户电脑极度缓慢。
行为分析:
1、衍生下列副本与文件
%Windir%\ cc123.dll
%Windir%\ abc.exe
%System32%\odyedknsvgaapyz.dll
%System32%\downsss.ini
infected:Trojan-Downloader.Win32.Delf.bem
infected:Trojan-Clicker.Win32.BHO.f
2、新建注册表键值:
HKEY_CURRENT_USER\Software\Valve\Half-Life\Settings\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\\@
Value: String: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DB3D73A-7D9F-49C7-9678
-09F2E7CE7A3F}\InprocServer32\@
Value: String: "C:\WINDOWS\system32\odyedknsvgaapyz.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Browser Helper Objects\\
3、访问指定服务器地址下载病毒体:
www.tsdown.cn(58.220.232.90)
1.downcncom.cn(58.220.232.90)
ip.look38.cn(58.220.232.90)
active.borlander.com.cn(60.28.9.66)
www.borlander.com.cn(211.154.163.218)
medask.yynet.cn(202.205.10.88)
update.borlander.cn(218.61.36.231)
aua.17bloger.com(218.61.36.240)
count.look38.cn(58.220.232.90)
wwww.yynet.cn(202.205.10.94)
inages.sohu.com(222.28.152.145)
adsence.sogou.com(61.135.179.197)
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
abc.exe
(2) 删除病毒释放文件
%Windir%\ cc123.dll
%Windir%\ abc.exe
%System32%\odyedknsvgaapyz.dll
%System32%\downsss.ini
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Valve\Half-Life\Settings\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DB3D73A-
7D9F-49C7-9678-09F2E7CE7A3F}\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DB3D73A-
7D9F-49C7-9678-09F2E7CE7A3F}\@
Value: String: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DB3D73A-7D9F
-49C7-9678-09F2E7CE7A3F}\InprocServer32\@
Value: String: "C:\WINDOWS\system32\odyedknsvgaapyz.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects\\
我的电脑也经常遇到这样的情况,经常电脑种了很多莫名奇怪的木马,非常多无法完全清除的那种。我可以建议你先用360安全卫士扫描下流氓插件,然后把那些恶意插件全部清除,如果360无法打开可以考虑用顽固病毒专杀看看。如果还不能解决下面有一个我写的病毒查杀总结希望会对你有所帮助
http://hi.baidu.com/lovexa/blog/item/b3bc3d2e90cc56564ec2260c.html
更新系统补丁,在安全模式下查杀,如果不能直接查杀可以把目标文件直接删除,并清理ie缓存。
软件解决办法:
安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.dswlab.com/d1.html
手工清除方法:
1、删除病毒生成的文件:
%system%\12520438.cpx
%system%\SWEAMBR.exe(随机名)
%system%\LZ8IZB57V53.txt(随机名)
%system%\W8NB71BWQR.com(随机名)
%SystemDrive%\W8NB71BWQR.com(随机名)
2、删除病毒添加的注册表
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\C55AM3]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SWEAMBR]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\C55AM3]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SWEAMBR]
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、使用超级巡警的补丁检查功能,及时安装系统补丁。
3、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
4、不要随便打开不明来历的电子邮件,尤其是邮件附件。
5、不要随意下载不安全网站的文件并运行。
6、下载和新拷贝的文件要首先进行查毒。
7、不要轻易打开即时通讯工具中发来的链接或可执行文件。
8、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
很高兴能回答你的问题。
祝你尽快解决遇到的问题。
如果还有需要请留言。
是特洛伊木马的变种。
爰虞夏枯: 怎么这么多人中了这种病毒? 变种AEO(Trojan.Dropper)病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:WIN9X/NT/2000/XP. 该病毒会在后台运行,修改染毒计算机IE的首页,指向病毒指定的页面.它会给用户日常上网带来麻烦.同时该病毒还会消耗系统资源,使系统运行速度减慢,甚至造成一些计算机出现死机的现象.
沭阳县13621713891: Trojan.Dropper我可从文件夹直接删除吗?我杀毒杀出T ?
爰虞夏枯: 当然可以手工删除,只不过怕你删除不了,我教你一个办法,如下: 我的共享资料里有“冰刃”软件,你下载下来,一会用得着. 手工删除法.启动电脑到安全模式下,打开冰刃软件,按照文件路径找到该文件直接删除就可以了.请仔细看“冰刃”的使用说明. 冰刃的使用说明: 打开冰刃主程序,鼠标点击左下角“文件”,将切换成显示各个盘符状态,按照文件路径点开该文件所在盘符的+号,按文件路径一直点开各+号,最后该文件会显示在右面的显示框内,找到该文件cdn.dll,鼠标右键点击选择“删除”或“强制删除”. 如果安全模式下删不掉,那就是病毒进程还在活动,使用冰刃的“查看”--“进程”,在右边框里找到病毒进程右键单击选择“结束进程”,然后在执行上述操作.
沭阳县13621713891: Trojan - Dropper.Win32.Agent.wk 是什么木马 - ?
爰虞夏枯: 这些都是木马程序 类似的还有 Trojan.Dropper.Arar Trojan.Dropper.Arar.a Trojan.Dropper.Agent.b Trojan.Dropper.Arar.c Trojan.Dropper.Arar.d Trojan.Dropper.Arar.e WINDOWS下的木马程序 启动后会从体内资源部分释放出病毒文件,并且显示...
沭阳县13621713891: 我的系统中了这个木马Trojan - Dropper/Win32.Agent.biuk,杀不掉,删不掉,也粉碎不了额!该怎么办??
爰虞夏枯: 进入电脑安全模式启动杀毒软件试一试 进入安全模式 开始/运行/msconfig/确定/boot.ini/safeboot/确定 退出安全模式 开始/运行/msconfig/确定/一般/正常启动
沭阳县13621713891: 病毒名称:Trojan - Dropper.Win32.Agent.coca是什么类型的病毒??
爰虞夏枯: Trojan-Dropper.Win32.Agent.coca 这是一个 特洛伊木马下载器 Trojan-Dropper.:代表该程序属于 木马下载器 Win32.:代表 该木马已感染 系统文件为主 Agent.coca:代表这个木马的原版本名称为 Agent,其变种为coca. 这是一个比较危险的木马,这个木马一旦运行就会在 后台下载 大量的木马 来感染楼主的电脑. 同时,会 窃取 楼主的 帐号和密码 等个人信息
沭阳县13621713891: 木马病毒“trojan - dropper/win32.Agent.bior”怎么解决??
爰虞夏枯: Trojan(特洛伊木马)木马病毒:该木马对抗安全软件能力非常强大,不仅能结束安全软件并删除部分杀毒软件服务,还能够关闭系统的安全中心,病毒在把安全软件关闭后,这样安全中心也就不会对用户进行提示了.用户中招后,该病毒便会...
沭阳县13621713891: 木马程序:Trojan - dropper.win32Agent.ays 顺便问一下什么杀毒软件最好,又可升级 - ?
爰虞夏枯: Trojan.Dropper为特洛伊病毒 危害性:中等危害 病毒特性:它会显示伪装的“被感染”信息,并尝试下载一个假的“间谍软件”扫描器...
沭阳县13621713891: 卡巴斯基检测出trojan - dropper.win32.Agent.bfks是病毒,可无法去除,专业人士请解答一下 - ?
爰虞夏枯: 这个病毒可能是威金蠕虫,也可能是熊猫烧香之类的,如果是威金的话可以参考下面方法解决:消灭威金!终极战略! 不幸的中了威金病毒,被害了几天,本人苦苦研究了2天之后终于将威金病毒给彻底消灭!小兴奋一下. 各种杀毒软件和网络...
沭阳县13621713891: Trojan - Dropper.Win32.Flystud.ko?
爰虞夏枯: 360报告这个文件是木马,因为不属于病毒,你瑞星什么也检测不出来的,这个木马通过U盘传播,将文件夹的隐藏后建立一些相同的文件夹后缀为EXE.反正绝对不正常
沭阳县13621713891: Trojan - Dropper.Win32.Vedio.dgs是什么病毒?
爰虞夏枯: 这是一个木马程序,它会读取用户系统的一些配置信息,并制造后门,连接病毒作者指定的远程服务器,等待黑客连接.
