Trojan.Win32.Agent.kz怎么杀不掉啊

birdbbn

Trojan.Win32.Agent.kz怎么杀不掉啊Trojan.Win32.Agent.kz
瑞星查杀的
怎么杀不掉啊
安全模式也不行
别人的电脑
我也不知道具体是什么情况

woai_jolin

rojan.Win32.Agent的简要分析

这个QQ病毒和以往的此类病毒最大的区别就是不是通过发送网址来让人点击进入，而是染毒计算机会自动向QQ好友发送病毒文件，而且病毒文件大小不定，发送的病毒文件名具有一定诱惑性，诸如：

今年过年不收礼，收礼只收白骨精（搞笑版广告）.exe
啊哈，网友发的超级搞笑FLASH，你看得懂吗.exe
接啊，快接啊，推荐给你看看.exe
一个对你目前工作很有帮助的东东.exe
网上电视（20个CCTV频道+36个省台+50个英文台，极力推荐）.exe
等等。

病毒文件图标是WINRAR的压缩包的图样。

病毒运行后首先建立HKLM\Software\Classes\MSipv项，然后病毒创建自身副本到系统目录下：
%System%\?.exe
%System%\notepad?.exe
%Windows%\System\RUNDLL32.EXE（如果是Windows 2000/XP）
%Windows%\System32\RUNDLL32.EXE（如果是Windows 9x）

并修改EXE和TXT的文件关联：
HKLM\Software\Classes\exefile\shell\open\command
EXE文件关联被修改为“? %1 %*”
HKLM\Software\Classes\txtfile\shell\open\command
TXT文件关联被修改为“notepad? %1”

注：其中“?”不是单纯的一个空格，而是一个字符,是双字节ASCII码为“41643”。病毒感染系统后会显示一个提示框：“安装时检测到系统中某程序与本软件发生冲突，请先纠正该冲突，或选择另一台电脑上安装！”
再注：病毒文件大小不固定，从文件内容来看好像是通过一些重复的信息来改变文件大小。

此外，病毒还会检查被感染系统是否安装QQ，如果安装有QQ，病毒则通过注册表找到QQ.EXE所在路径，把正常的TIMPlatform.exe改名为TIMP1atform.exe，将病毒自身复制为TIMPlatform.exe。

最后在注册表建立病毒标记：
HKLM\Software\Classes\MSipv\MainSetup
HKLM\Software\Classes\MSipv\MainUp
HKLM\Software\Classes\MSipv\MainVer
其中MainSetup和MainUp值相同，但不固定。

病毒的清除
由于病毒关联了EXE文件，我们建议这样处理：
首先打开注册表编辑器或用来恢复文件关联的工具（如RegFix），先不要关闭（否则再次启动应用程序的时候使病毒又重新加载，或者将“.exe”的后缀名改为“.com”也可以。），然后通过任务管理器或KillBox或者是TroyanFindInfo等进程管理工具结束病毒Rundll32.exe 的进程，接下来恢复EXE和TXT文件关联，最后再找到病毒文件删除掉：
%System%\?.exe
%System%\notepad?.exe
%Windows%\System\RUNDLL32.EXE（如果是Windows 2000/XP）
%Windows%\System32\RUNDLL32.EXE（如果是Windows 9x）
还有一步，到QQ安装目录下，把病毒生成的TIMPlatform.exe删除，然后把TIMP1atform.exe改名为TIMPlatform.exe即可。

[ 本帖最后由 woai_jolin 于 2007-8-18 20:05 编辑 ]

birdbbn

谢谢啦