中了Trojan-Dropper.Win32.Agent.bav病毒，感染了所有.exe文件，怎么办？

显示全部楼层 · 发表于 2007-2-1 11:19:56

中了Trojan-Dropper.Win32.Agent.bav病毒，感染了所有.exe文件，怎么办？
还中了这个Trojan-Downloader.VBS.Psyme.du,怎么清除？

显示全部楼层 · 发表于 2007-2-1 11:34:15

AVG 麻烦多用用搜索就发了这一篇帖子就是正式会员了都不知道你怎么混到的

显示全部楼层 · 发表于 2007-2-1 11:37:36

专杀第一个

显示全部楼层 · 发表于 2007-2-2 11:29:12

Trojan-Dropper.Win32.Agent.bav分析2007-02-02 09:02Trojan-Dropper.Win32.Agent.bav分析
出处：安天实验室

病毒标签：
病毒名称：Trojan-Dropper.Win32.Agent.bav
中文名称：“半条命”变种
病毒类型：木马类
文件 MD5：4D13557FE4836AAEF05309AED0401B50
公开范围：完全公开
危害等级：中等
文件长度：197,124 字节
感染系统：Win98以上系统
开发工具：Borland Delphi 6.0 - 7.0 [Overlay]
命名对照：驱逐舰[Trojan.MulDrop.5046]
　　　　　瑞星[Worm.Cnt.z]

病毒描述：
　该病毒运行后，病毒衍生文件到系统目录下，更改Explore.exe的BHO对象，间接挂载病毒体。从而在

指定服务器地址下载病毒体到本机运行，并利用间软件掩藏自身。该病毒会造成用户电脑极度缓慢。

行为分析：
1、衍生下列副本与文件

%Windir%\ cc123.dll
%Windir%\ abc.exe
%System32%\odyedknsvgaapyz.dll
%System32%\downsss.ini

infected:Trojan-Downloader.Win32.Delf.bem
infected:Trojan-Clicker.Win32.BHO.f

2、新建注册表键值：

HKEY_CURRENT_USER\Software\Valve\Half-Life\Settings\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DB3D73A-7D9F-49C7-9678-09F2E7CE7A3F}\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DB3D73A-7D9F-49C7-9678-09F2E7CE7A3F}\@
Value: String: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DB3D73A-7D9F-49C7-9678
-09F2E7CE7A3F}\InprocServer32\@
Value: String: "C:\WINDOWS\system32\odyedknsvgaapyz.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Browser Helper Objects\{5DB3D73A-7D9F-49C7-9678-09F2E7CE7A3F}\

3、访问指定服务器地址下载病毒体：

www.tsdown.cn(58.220.232.90)
1.downcncom.cn(58.220.232.90)
ip.look38.cn(58.220.232.90)
active.borlander.com.cn(60.28.9.66)
www.borlander.com.cn(211.154.163.218)
medask.yynet.cn(202.205.10.88)
update.borlander.cn(218.61.36.231)
aua.17bloger.com(218.61.36.240)
count.look38.cn(58.220.232.90)
wwww.yynet.cn(202.205.10.94)
inages.sohu.com(222.28.152.145)
adsence.sogou.com(61.135.179.197)

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是

C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

--------------------------------------------------------------------------------
清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

abc.exe

(2) 删除病毒释放文件

%Windir%\ cc123.dll
%Windir%\ abc.exe
%System32%\odyedknsvgaapyz.dll
%System32%\downsss.ini

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USER\Software\Valve\Half-Life\Settings\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DB3D73A-
7D9F-49C7-9678-09F2E7CE7A3F}\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DB3D73A-
7D9F-49C7-9678-09F2E7CE7A3F}\@
Value: String: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DB3D73A-7D9F
-49C7-9678-09F2E7CE7A3F}\InprocServer32\@
Value: String: "C:\WINDOWS\system32\odyedknsvgaapyz.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects\{5DB3D73A-7D9F-49C7-9678-09F2E7CE7A3F}\