trojan.win32.agent.rzs是什么木马病毒 来源:网页搜索
用卡巴基查杀时发现:木马程序 Trojan.Win32.Agent.rzs文件: C:\Documents and Settings\Administrator\Local Settings\Temp\__123.tmp 请教:Trojan.Win32.Agent.rzs这是什么病毒的
解决方法
病毒描述:
该病毒为VC编写,发作时会感染硬盘EXE文件,IFEO劫持安全工具和禁用系统自动更新和防火墙,降低系统安全。但由于编写的缺陷,可能被感染的文件无法执行,提示:invalid data in the file !
行为分析:
1、释放病毒副本:
%Windir%penguin.exe 732835 字节, HSA
随后调用P处理,修改病毒属性,为隐藏 存档 系统
2、添加注册表,开机自启:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
注册表值penguin.exe = REG_SZ, "C:winntpenguin.exe "
3、修改“显示隐藏文件”选项注册表,防止病毒体被删除:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 注册表值CheckedValue
REG_DWORD, 1 修改为 REG_DWORD, 0
4、尝试IFEPO重定向劫持,不过没有实现,只有一个空键。。如果实现的话,以下进程会被劫持:360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
省略。。
5、修改注册表,把系统的自动更新和防火墙禁用。(未实现)
6、破坏安全模式,尝试删除一些注册表项,也没有实现。。
可能是:
SYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
7、进程出现2个病毒体,看起来是进程守护,但是并没有那样做。
这可能是这个原因,被感染的文件会有2个捆绑数据。
8、查找硬盘上所有的EXE文件,并感染。
感染方式是捆绑,捆绑头部,2处捆绑地址分别为:B2EA3 165D46
修改入口点,为:0000389F,优先执行病毒体。
没有判断系统文件,所以基本可执行系统文件都挂了,除了SFC的自动恢复。
另外该病毒遇到属性为S R的会跳过,可能是避免引导文件被破坏而无法开机。
9、尝试U盘感染,不过没有实现
如果实现的话,应该是叫AutoRun.exe
解决方法:
1、下载sreng http://www.antidu.cn/board/helpst/
2、进入安全模式,删除:
C:windowspenguin.exe
(2K系统为:C:winntpenguin.exe)
3、用SRENG删除注册表:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]<penguin.exe><C:winntpenguin.exe> []
4、重装杀软,升级最高版本,修改被感染的EXE文件。
参考资料
欢迎点击用户名下方的“向我提问”,答疑解惑,乐此不疲!
楼上说的很对,卡巴的杀马能力不是多好,就怕他处理不掉的.
这个病毒看来卡巴只能查出来,却杀不掉,换个别的杀软来清理吧!
