求救:Trojan.Win32.Agent.abe木马杀不了!

nhllc

求救:Trojan.Win32.Agent.abe木马老是杀不了!重启过好多次了,每次开机都是提示发现威胁,而且C盘空间也变小了!

blog

楼主你弄个360安全卫士
360官方下载：http://220.181.34.241/setup.exe

安装后，重新启动你的机器到安全模式下，用360检查一下，看有没有恶意软件
另外看一下去掉启动中的不必要项（可能是启动时自动加载的恶意软件）

个人感觉用上面的方法，如果正确操作，应该完全可以解决的
我帮朋友解决过多次类似的问题，没有什么问题的

注意：安全模式下操作

[ 本帖最后由 blog 于 2006-11-27 09:49 编辑 ]

djhan0580

卡巴也可以安全模式下操作!
其实楼主遇见这种情况直接进入安全模式再杀一遍毒就好了!!

nhllc

谢谢!我马上试试.

mds

看不到全图不知道路径是什么地方？(现在看到了)不行就试一下AVG或Dr.Web

[ 本帖最后由 mds 于 2006-11-27 12:01 编辑 ]

hznxymy

安全模式下也不能删除的，只有用ＤＯＳ启动，在ＤＯＳ方式下用命令删除，命令如下：
C:\>Deltree windows\system32\hzhwzg97.dll

麦田守望者

"C:\>Deltree windows\system32\hzhwzg97.dll"是不是应该改为:C:\>Delete windows\system32\hzhwzg97.dll
杀不了请看 此贴 http://www.kpfans.com/bbs/viewthread.php?tid=20250

[ 本帖最后由 yzyzai 于 2006-11-27 20:12 编辑 ]

hznxymy

Deltree是删除文件夹命令,同时可以删除文件,比DEL更好用

陈衍茗

这个QQ病毒和以往的此类病毒最大的区别就是不是通过发送网址来让人点击进入，而是染毒计算机会自动向QQ好友发送病毒文件，而且病毒文件大小不定，发送的病毒文件名具有一定诱惑性，诸如：

今年过年不收礼，收礼只收白骨精（搞笑版广告）.exe
啊哈，网友发的超级搞笑FLASH，你看得懂吗.exe
接啊，快接啊，推荐给你看看.exe
一个对你目前工作很有帮助的东东.exe
网上电视（20个CCTV频道+36个省台+50个英文台，极力推荐）.exe
等等。

病毒文件图标是WINRAR的压缩包的图样。

病毒运行后首先建立HKLM\Software\Classes\MSipv项，然后病毒创建自身副本到系统目录下：
%System%\ .exe
%System%\notepad .exe
%Windows%\System\RUNDLL32.EXE（如果是Windows 2000/XP）
%Windows%\System32\RUNDLL32.EXE（如果是Windows 9x）

并修改EXE和TXT的文件关联：
HKLM\Software\Classes\exefile\shell\open\command
EXE文件关联被修改为“ %1 %*”
HKLM\Software\Classes\txtfile\shell\open\command
TXT文件关联被修改为“notepad %1”

注：其中“ ”不是单纯的一个空格，而是一个字符,是双字节ASCII码为“41643”。病毒感染系统后会显示一个提示框：“安装时检测到系统中某程序与本软件发生冲突，请先纠正该冲突，或选择另一台电脑上安装！”
再注：病毒文件大小不固定，从文件内容来看好像是通过一些重复的信息来改变文件大小。

此外，病毒还会检查被感染系统是否安装QQ，如果安装有QQ，病毒则通过注册表找到QQ.EXE所在路径，把正常的TIMPlatform.exe改名为TIMP1atform.exe，将病毒自身复制为TIMPlatform.exe。

最后在注册表建立病毒标记：
HKLM\Software\Classes\MSipv\MainSetup
HKLM\Software\Classes\MSipv\MainUp
HKLM\Software\Classes\MSipv\MainVer
其中MainSetup和MainUp值相同，但不固定。

病毒的清除
由于病毒关联了EXE文件，我们建议这样处理：
首先打开注册表编辑器或用来恢复文件关联的工具（如RegFix），先不要关闭（否则再次启动应用程序的时候使病毒又重新加载，或者将“.exe”的后缀名改为“.com”也可以。），然后通过任务管理器或KillBox或者是TroyanFindInfo等进程管理工具结束病毒Rundll32.exe的进程，接下来恢复EXE和TXT文件关联，最后再找到病毒文件删除掉：
%System%\ .exe
%System%\notepad .exe
%Windows%\System\RUNDLL32.EXE（如果是Windows 2000/XP）
%Windows%\System32\RUNDLL32.EXE（如果是Windows 9x）
还有一步，到QQ安装目录下，把病毒生成的TIMPlatform.exe删除，然后把TIMP1atform.exe改名为TIMPlatform.exe即可。
注：推荐使用工具来恢复TXT文件关联。
木马可以把自己改为系统启动时必定会调用的某个文件名，并复制到比原文件要浅一级以上的目录里。Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则，这就意味着，如果有两个同样名称的文件分别放在C:\和C:\Windows下，Windows会执行C:\下的程序，而不是C:\Windows下的，这就是木马运行起来的方式。但关键是如果你以为删除掉这些木马程序就万事大吉的话，你会发现在删除之后哭都来不及：系统也出了故障，所有应用程序都打不开了。因为在Windows系统里，文件的打开操作是通过注册表内相应键值指定的应用程序来执行的，这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内。而应用程序自身也被视为一个文件，它也属于一种文件类型，同样可以用其他方式开启，只不过Windows设置它的调用程序为“"%1" %*”，但是木马程序则修改了应用程序(EXE文件)的并联方式,它将EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”，也就是说，系统是通过调用木马程序将原来的.exe程序打开。所以当你把木马杀死后，没有东西给被改变并联方式的.exe文件传递参数，就没法启动这些程序，自然你的电脑的应用程序就打不开了。
一种最最最方便简捷有效的方法来恢复.exe文件的关联文件：新建一个记事本文件，把下面的复制进去
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
直接保存，然后右键点此文件，选打开方式-〉选择程序-〉浏览到windows文件夹里双击regedit,把信息加到注册表就可以了 。

[ 本帖最后由 陈衍茗 于 2006-11-28 09:55 编辑 ]

wangjay1980

哇！厉害！