查看: 3494|回复: 3
收起左侧

trojan.win32.agent.ut trojan-spy.win32.agent.ct求助

[复制链接]
快乐者来
发表于 2006-11-22 16:01:53 | 显示全部楼层 |阅读模式
c:\documents and settings\all users\application data\microsoft\userdata\1751.exe
c:\documents and settings\all users\application data\microsoft\userdata\ie.exe
杀不掉也删不掉,安全模式也不行
mars.wang
发表于 2006-11-28 14:09:04 | 显示全部楼层
trojan.win32.agent.ut》》》》》》》》》》》
作者:赤脚网络
发表时间:2006-10-12 10:21:10


1,关闭系统还原功能

2,用卡巴斯基杀毒!

2,在安全模式下删除启动项目——注册表中的[dmcd] C:\WINDOWS\system32\dmcd.exe
mars.wang
发表于 2006-11-28 14:21:30 | 显示全部楼层
Trojan-Spy.Win32.Agent.ct分析
安天CERT

一、病毒标签:  
病毒名称:Trojan-Spy.Win32.Agent.ct
中文名称:爱儿网盗
病毒类型:木马
危害等级:中
文件长度:22160 字节
感染系统:Win9x 以上所有版本
开发工具:Microsoft Visual C++ 6.0
加壳类型:未知壳


二、病毒描述:   
    当此木马被执行,木马程序复制一份自己的副本到% SYSTEM% 目录下重命名为 SVCH0ST.EXE ,并把自己添加到注册表系统启动项,以达到随系统启动的目的。另外它还修改注册表的 Exe 文件关联,使得用户每次运行 Exe 文件时先运行木马本身。这个木马调用 WinExec 函数启动% SYSTEM% 下的病毒副本 SVCH0ST.EXE 后,又调用 ShellExecute 函数删除病毒原本后退出。病毒副本被启动后,在% SYSTEM% 释放出 Ntdll32.dll ,并把它注入到系统进程 Explorer.exe 中, Ntdll32.dll 会关闭某些反病毒软件的进程。记录下用户登陆 OICQ 的帐号密码并发送到 lengjingx @lply.net 。

三、行为分析:  
1 、该病毒将自身复制到系统目录中, 文件名 SVCH0ST.EXE 。
2 、释放出 Ntdll32.dll 并把它注入到系统进程 explorer.exe 中。
3 、将自身添加到注册表启动项、修改 Exe 文件关联、并关闭某些反病毒软件进程:

修改启动项:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Runservices
  添加键: SVCHOST 添加键值: "C:\WINDOWS\SYSTEM32\SVCH0ST.EXE"

修改文件关联:
  修改前的键值:
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell
  \open\command\: ""%1" %*"

修改后的键值:
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell
  \open\command\:"C:\WINDOWS\SYS TEM32\SVCH0ST.EXE %1 %*"

病毒关闭的反病毒软件有 :
1 、绿鹰
2 、天网防火墙
3 、赛门铁克
4 、噬菌体
5 、木马克星
6 、金山
7 、江民
8 、瑞星

4 、窃取 QQ 帐号密码并发送到邮箱 lengjingx @lply.net 。

四、清除方案:   
  1、使用安天木马防线2005+可彻底清除此病毒(推荐)。

  
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。  
  
木马防线2005+:
木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。

  
该高效木马查杀
   采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。  
  
系统安全管理
   提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。


实时网络防护
   全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。
  
附:   
  安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm

关于安天:   
  
安天信息技术有限责任公司(中国安天实验室,Antiy Labs),是一家以网络信息安全为主要领域的综合性信息技术研发型企业。公司在反病毒、信息水印等前沿领域积极探索,持续研发,拥有自有核心技术和产品。

  
安天积极推动核心技术向关键产品的转化。安天目前是国内最大的独立可嵌入反病毒引擎和内容过滤体制供应商,在网络病毒监控设备、反木马与主机保护等领域,安天的相关产品也引领着市场需求与技术风潮。
快乐者来
 楼主| 发表于 2006-12-7 20:00:08 | 显示全部楼层
谢谢各位!!!!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:04 , Processed in 0.123773 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表