Trojan-Downloader.Win32.Agent.ue的清除方案
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%Program Files%\Common Files\iexplore.pif
%Program Files%\Internet Explorer\iexplore.com
%WINDOWS%\1.com
%WINDOWS%\608769.dll
%WINDOWS%\608769m.bmp
%WINDOWS%\exeroute.exe
%WINDOWS%\explorer.com
%WINDOWS%\finder.com
%WINDOWS%\kb608769m.log
%WINDOWS%\winlogon.exe
%system32%\command.pif
%system32%\dlmain.dll
%system32%\dlmon.dll
%system32%\dxdiag.com
%system32%\finder.com
%system32%\msconfig.com
%system32%\regedit.com
%system32%\rundll32.com
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run键值: 字串: Trojan Program
=C:\WINDOWS\WINLOGON.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\@
新建键值: 字串: winfiles
原键值: 字串: exefile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew\Command
新建键值: 字串: %SystemRoot%\system32\rundll32.com
%SystemRoot%\system32\ syncui.dll,Briefcase_Create %2!d! %1
原键值: 字串: %SystemRoot%\system32\rundll32.exe
%SystemRoot%\system32\ syncui.dll,Briefcase_Create %2!d! %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellNew\Command
新建键值: 字串: rundll32.com appwiz.cpl,NewLinkHere %1
原键值: 字串: rundll32.exe appwiz.cpl,NewLinkHere %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications
\iexplore.exe\shell\open\command\@
新建键值: 字串: C:\Program Files\Internet Explorer
\iexplore.com %1
原键值: 字串: C:\Program Files\Internet Explorer\iexplore.exe %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-
42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\@
新建键值: 字串: C:\Program Files\Internet Explorer
\iexplore.com
原键值: 字串: C:\Program Files\Internet Explorer\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell
\cplopen\command\@
新建键值: 字串: rundll32.com shell32.dll,Control_RunDLL %1,%*
原键值: 字串: rundll32.exe shell32.dll,Control_RunDLL %1,%*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command\@
新建键值: 字串: %SystemRoot%\explorer.com
原键值: 字串: %SystemRoot%\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command\@
新建键值: 字串: %SystemRoot%\system32\rundll32.com NETSHELL.DLL, InvokeDunFile %1
原键值: 字串: %SystemRoot%\system32\rundll32.exe NETSHELL.DLL, InvokeDunFile %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\@
新建键值: 字串: C:\Program Files\Internet Explorer
\iexplore.com %1
原键值: 字串: C:\Program Files\Internet Explorer
\iexplore.exe %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell
\open\command\@
新建键值: 字串: C:\Program Files\Internet Explorer
\iexplore.com -nohome
原键值: 字串: C:\Program Files\Internet Explorer
\iexplore.exe -nohome
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell
\opennew\command\@
新建键值: 字串: C:\Program Files\common~1\iexplore.pif %1
原键值: 字串: C:\Program Files\Internet Explorer
\iexplore.exe %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\command\@
新建键值: 字串: rundll32.com %SystemRoot%\system32
\mshtml.dll,PrintHTML %1
原键值: 字串: rundll32.exe %SystemRoot%\system32
\mshtml.dll,PrintHTML %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open
\command\@
新建键值: 字串: C:\Program Files\common~1\iexplore.pif -nohome
原键值: 字串: C:\Program Files\Internet Explorer
\iexplore.exe -nohome
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\@
新建键值: 字串: %SystemRoot%\System32\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1
原键值: 字串: %SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
\shell\open\command\@
新建键值: 字串: finder.com shdocvw.dll,OpenURL %l
原键值: 字串: rundll32.exe shdocvw.dll,OpenURL %l
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\install\command\@
新建键值: 字串: finder.com desk.cpl,InstallScreenSaver %l
原键值: 字串: rundll32.exe desk.cpl,InstallScreenSaver %l
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile\Shell\Generate Typelib\command\@
新建键值: 字串: C:\WINDOWS\system32\finder.com C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib %1
原键值: 字串: C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib %1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet\shell\open\command\@
新建键值: 字串: finder.com url.dll,TelnetProtocolHandler %l
原键值: 字串: rundll32.exe url.dll,TelnetProtocolHandler %l
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\command\@
新建键值: 字串: %SystemRoot%\system32\finder.com %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
原键值: 字串: %SystemRoot%\system32\finder.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\@
新建键值: 字串: iexplore.pif
原键值: 字串: IEXPLORE.EXE
