Question

Trojan-Dropper.Win32.Agent.ayta.rgrk是什么病毒，应该怎么杀？

同上.

Answer 1

Trojan-Dropper.Win32.Agent.bdo  病毒名称： Trojan-Dropper.Win32.Agent.bdo 中文名称： 下载者变种 病毒类型： 木马类 文件MD5： 85EC8DB377E6849DBDA9A1321C049AAA 公开范围： 完全公开 危害等级： 4 文件长度： 加壳后 83,456 字节，脱壳后120,832 字节 感染系统： Win9X以上系统 开发工具： Microsoft Visual C++ 6.0 加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo   病毒描述：   该病毒运行后，衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。 从指定服务器下载大量病毒体，包含大量游戏盗号程序，以及 ARP欺骗程序。   行为分析：  1 、衍生下列副本与文件： %WinDir%\sclgntfys.dll %WinDir%\winamps.dll %WinDir%\SysSun1\Ghook.dll %WinDir%\SysSun1\svchost.exe %WinDir%\cmdbcs.exe %WinDir%\gv.dll %WinDir%\mppds.exe %WinDir%\javhavm.exe %WinDir%\msccrt.exe %WinDir%\shualai.exe %WinDir%\winform.exe %System32%\upnpsvc.exe %System32%\systemt.exe %System32%\systemm.exe %System32%\SMSSS.exe %System32%\servet.exe %System32%\MSTCS.exe %System32%\alg32.exe %System32%\8.exe %System32%\system\.setupq\*.* %System32%\system\sysbacks\*.* %Documents and settings%\ 当前用户名 \local settings\temp\*.* …………… 2 、新建注册表键值： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdfmgr\Description Value: String: " 启用 windows 用户模式驱动程序。 " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdfmgr\DisplayName Value: String: "Windows User Mode Driver" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdfmgr\ImagePath Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes rundll32.exe C:\WINDOWS\winamps. dll _start@16. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\msupdate Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ Winlogon\Notify\sclgntfys\DllName Value: String: "%\WINDOWS%\sclgntfys.dll HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\0c4 Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cmdbcs Value: String: "%WINDOWS%\cmdbcs.exe " HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cmdbs Value: String: "%WINDOWS%\cmds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\javhavm Value: String: "%WINDOWS%\javhavm.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run\KernelFaultcheck Value: String: "%WINDOWS%\system32\dumprep.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\mppds Value: String: "%WINDOWS%\mppds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\pxdnd Value: String: "%Documents and settings%\ 当前用户名 \ local settings\temp\win4.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\shualai Value: String: "%WINDOWS%\shualai.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\testrun Value: String: "%WINDOWS%\testexe.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\upxdndq Value: String: "%Documents and settings%\ 当前用户名 \ local settings\temp\upxdnd.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run\sun Value: String: "%WINDOWS%\syssun1\svchost.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run\wm Value: String: "%WINDOWS%\syswm7\svchost.exe" 3 、连接下列服务器 , 下载病毒体： Host:(2*8.6.1*5.1*)b*ol*m.com/up/win1.exe Host: t.g*u*.com(2*2.7*.15.9*)/0.exe Host: t.g*u*.com(2*2.7*.15.9*)/0/AVG.exe Host: t.g*u*.com(2*2.7*.15.9*)//0/SMSSS.exe Host:www.1*d*m.com(2*2.7*.15.3*)/xia/kehu0703.exe 4 、下载的病毒体 novel.exe 会发起 ARP 欺骗。 注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 ， windows95/98/me 中默认的安装路径是 C:\Windows\System ， windowsXP 中默认的安装路径是 C:\Windows\System32 。    -------------------------------------------------------------------------------- 清除方案：   1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 使用安天木马防线断开网络，结束病毒进程： IEXPLORE.EXE novel.exe upnpsvc.exe (2) 删除并恢复病毒添加与修改的注册表键值： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\UMWdfmgr\Description Value: String: " 启用 windows 用户模式驱动程序。 " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\UMWdfmgr\DisplayName Value: String: "Windows User Mode Driver" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\UMWdfmgr\ImagePath Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes rundll32.exe C:\WINDOWS\winamps. dll _start@16. HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\msupdate Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\Winlogon\Notify\sclgntfys\DllName Value: String: "%\WINDOWS%\sclgntfys.dll HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\0c4 Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\cmdbcs Value: String: "%WINDOWS%\cmdbcs.exe " HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\cmdbs Value: String: "%WINDOWS%\cmds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\javhavm Value: String: "%WINDOWS%\javhavm.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\KernelFaultcheck Value: String: "%WINDOWS%\system32\dumprep.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\mppds Value: String: "%WINDOWS%\mppds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\pxdnd Value: String: "%Documents and settings%\ 当前用户 \ localsettings\temp\win4.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\shualai Value: String: "%WINDOWS%\shualai.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\testrun Value: String: "%WINDOWS%\testexe.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\upxdndq Value: String: "%Documents and settings%\ 当前用户名 \local settings\temp\upxdnd.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\Run\sun Value: String: "%WINDOWS%\syssun1\svchost.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\Run\wm Value: String: "%WINDOWS%\syswm7\svchost.exe" (3) 删除病毒释放文件： %WinDir%\sclgntfys.dll %WinDir%\winamps.dll %WinDir%\SysSun1\Ghook.dll %WinDir%\SysSun1\svchost.exe %WinDir%\cmdbcs.exe %WinDir%\gv.dll %WinDir%\mppds.exe %WinDir%\javhavm.exe %WinDir%\msccrt.exe %WinDir%\rising390.exe %WinDir%\shualai.exe %WinDir%\winform.exe %System32%\upnpsvc.exe %System32%\systemt.exe %System32%\systemm.exe %System32%\SMSSS.exe %System32%\servet.exe %System32%\MSTCS.exe %System32%\alg32.exe %System32%\8.exe %WINDOWS%\syssun1\*.* %System32%\syswm7\*.* %System32%\system\.setupq\*.* %System32%\system\sysbacks\*.* %Documents and settings%\ 当前用户名 \ local settings\temp\*.* …………… 

Answer 2

病毒的命名解释 1．木马病毒 木马病毒的前缀是：Trojan。木马病毒的特点就是通过网络或者系统漏洞进入用户的系统并隐藏，然后再向外界泄露用户的信息。一般的木马如QQ消息尾巴Trojan.QQPSW.r，网络游戏木马病毒Trojan.StartPage.FH等。病毒名中有PSW或者什么PWD之类的是表示这个病毒有盗取密码的功能，所有这类病毒特别需要注意。 木马病毒专杀工具 远程控制的木马有：冰河（国人的骄傲，中国第一款木马），灰鸽子，上兴,PCshare，网络神偷，FLUX等，现在通过线程插入技术的木马也有很多， 反木马病毒：http://www.duote.com/soft/10999.html 木马专杀工具：http://www.duote.com/soft/11492.html 木马防线 ：http://www.duote.com/soft/13783.html 木马分析专家个人防火墙 Build 2009 06.29 ：http://www.duote.com/search.php?searchType=&so=%C4%BE%C2%ED%B7%D6%CE%F6%D7%A8%BC%D2+2005+V6.57&x=19&y=8 木马克星(iparmor) 2009 Build 0632 ：http://www.duote.com/soft/2921.html U盘病毒专杀工具(USBCleaner) V6.0 Build 20090616 ：http://www.duote.com/soft/10050.html 木马清除专家 2009 V0707 ：http://www.duote.com/soft/7207.html 木马专家 2009 V0701 免费版 ：http://www.duote.com/soft/13555.html Windows木马清道夫 2009 V11.5 build 0703 上网必备版：http://www.duote.com/soft/2955.html 木马分析专家个人防火墙 Build 2009 06.29 ：http://www.duote.com/search.php?searchType=&so=%C4%BE%C2%ED%B7%D6%CE%F6%D7%A8%BC%D2%B8%F6%C8%CB%B7%C0%BB%F0%C7%BD&x=19&y=15 查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等，其中有些工具，如果想使用全部功能，需要付一定的费用，木马分析专家是免费授权使用。 病毒 安装适合的防病毒软件 代码炸 注意数据备份，不运行来历不明的软件 特洛伊木马 不访问不良网站，小心下载软件 最後，給點木馬信息資料：1、什么是木马 2、驻留在目标计算机里 3、随计算机自动启动并在某一端口进行侦听 4、对目标计算机执行特定操作 _黎[先笙]!?原創

Answer 3

1. Trojan-Dropper.Win32.Agent.ayta.rgrk这是一个特洛依木马变种程序。会伪装成一个常用软件，窃取用户信息。

2. 查杀：腾讯电脑管家，卡巴斯基等主流杀毒软件都可以进行查杀。

3. 防护：开启杀毒软件的主动防护，在病毒扩散之前会提前对此类病毒进行隔离。

4. 查杀病毒之前应将安全软件更新到最新版本，并且更新杀毒软件的病毒库