✔ 最佳答案
Trojan-Downloader.Win32.Agent.is
文档提交:千堆栈 提交时间:2005-4-24 14:52:06 原创作者:千堆栈
病毒名称:Trojan-Downloader.Win32.Agent.is(kaspersky)
病毒别名:Win32/TrojanDownloader.Agent.IS(Eset),Trj/Downloader.ALQ (Panda).
影响系统:windows系统 威胁级别:★★
基本特征:大小38,050字节,采用UPX压缩.
病毒行为:
1:在%WINDOWS%创建clfmon.exe,大小38050,属性I;
2:注册表添加项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion ShellRegId "clfmon"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run clfmon "C:\WINDOWS\clfmon.exe"
总结:
1:作为一个"Trojan-Downloader"类型的病毒,主要负责从远程下载文件,此处来看是负责下载一些色情内容.
2:清除这个病毒本身不难,但是更需要清除其相关下载的文件.
如何清除Trojan downloader?
作者: , 出处:TechTarget, 责任编辑: 许琳,
2005-04-11 17:12
一个名为redrose的用户写道:“我采用Windows NT4.0 SP6作为DNS和网络服务器。它被感染上了Trojan horse downloader。我采用AVG Antivirus对系统进行了扫描和杀毒,但是没有效果。我还下载了一个Trojan hunter,它检测出了其它的Trojan文件,并进行了删除和重命名操作。但是,情况还是越来越糟。每次我对服务器进行扫描,AVG都会从相同的位置检测出并删除相同的Trojan文件。
一名叫做PeterMac的用户回复道:“新的Trojan病毒变得更聪明了。它们安装可以自动运行的loader,而且由于它们不具有特殊的签名,所以抗病毒软件无法发现它们。Trojan可以安装成为操作系统的一部分,而且只能在安全模式下才能被删除。为了清除你现在感染的病毒,你需要确定你到底感染了哪一种Trojan,然后去权威的反病毒网站寻找最好的应对方法。Trojan对网络来说可以是致命的。它们通过多种方式进行传播,而且在有些系统上无法显示。它们会一直存在,并重新感染那些你进行了杀毒的系统。为了应对这种类型的病毒发作,你需要将所有系统断开网络,并在确定已经清除病毒的情况下,一台一台重新连接回网络。
一名叫做Howard2nd的用户回复道:“在没有内部和外部防火墙的情况下,这种问题十分难以处理。Windows将一些文档归于“保护(Protected)”类,并将它们从cache保存到本地驱动器上。Trojan知道这些,并将自身的boot loader放入这些文件中。你删除了受感染的文档,重启Windows将重新装入这些被感染的文档,接着,Trojan病毒也将被重新装入。
“我们不知道你的网络的规模,因此我们也不清楚问题的严重性。将所有系统关闭,建立防火墙,并将设备一台一台连回——应该从服务器开始。如果你有在被感染前的备份,可以采用。如果你的备份只是数据备份(没有应用程序),在重新连入网络前,建议你重装系统以及所有补丁程序。记住在连网前运行IIS Lockdown 和 URLScan。一名叫做nerdking的用户回复道:“在我们的网络上也存在相似的问题。尽管我们的服务器没有感染Trojan,但一些客户机被感染了。通常当你发现了这一问题并清除了Trojan时,一些Trojan下载的恶意程序已经开始捣乱了。不仅这样,它会将自己隐藏道注册表的不同部分,这样,即使你清除了其中的一个,下次你重启的时候,它又将自己重新装入系统。
“我是采用如下步骤将一个系统恢复到安全、稳定的状态的:首先,将机器脱网,以安全模式重启,进行全面的病毒扫描。在安全模式下,运行spyware/adware sweepers,进行尽可能全面的杀毒,在每次扫描后,以安全模式重启。
“当spyware/adware sweepers清理完毕后,运行Hijack This以清除垃圾。采用这一程序时要注意。一旦内容被它删除,将不可恢复。在运行Hijack This的时候, Google是你最好的朋友。用Google搜索被Hijack This认为是可疑的内容,在进行删除操作前看看它们究竟是什么。象运行spyware/adware sweepers一样,每次运行Hijack This 扫描后都以安全模式重启,不断重复直到Hijack This 显示“clean”为止。
“在做过这一切以后,以正常模式重启系统,并重复进行上述操作,直到没有任何异常为止。这是一个漫长、费力的过程。”
2007-08-21 13:29:39 補充:
由 Norton 測試電腦有病毒主要是cookie內有病毒的檔案, 為安全計, 下列工作每天必做:把下列 folder 內的檔案全部刪除C:\Documents and Settings\Francis\Local Settings\Temporary Internet Files再到下列 folder 內的檔案全部刪除 (用手輸入)