我的电脑图标变了?原来是Trojan-Downloader.Win32.Agent.mkj替换了explorer.exe2

最新推荐文章于 2020-03-04 11:55:13 发布
最新推荐文章于 2020-03-04 11:55:13 发布
阅读量5.9k 收藏
点赞数
分类专栏: 系统维护 文章标签: c windows url xp ie 360
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/2286239
版权

我的电脑图标变了?原来是Trojan-Downloader.Win32.Agent.mkj替换了explorer.exe2

endurer 原创
2008-04-12 第1

(续1)

先把 C:/WINDOWS/system32/dllcache/Explorer.EXE 改名
然后 将 C:/WINDOWS/explorer.exe 也改名
再把 C:/WINDOWS/system32/Explorer.EXE 复制到 C:/WINDOWS 中,这时Windows系统会提示文件被替换,要求插入window xp光盘,点取消。

接着用 bat_do 把可疑文件打包备份,延迟删除。

重启电脑,这下 avast! 不再报病毒了。

接下来打开注册表编辑器,删除 O23 - 服务: mhfp (mhfp) 的项目,修复 HKLM/SHOWALL    类型非dword(方法可参考:【系统修复系列之】如何 显示所有的文件和文件夹
http://endurer.blogchina.com/2590659.html
BTW,瑞星卡卡安全助手可以检测并修复此项)。

用 WinRAR 检查,发现可疑文件:c:/tmp.dat(包含了一些病毒程序文件的URL)和 C:/WINDOWS/system32/e2.exe。

并发现 恶意软件清理助手 报告的是 360卫士的机器狗免疫程序 所创建的文件夹:

C:/WINDOWS/system32/drivers>dir /ad
 驱动器 C 中的卷是 系统盘
 卷的序列号是 322D-40BD
 C:/WINDOWS/system32/drivers 的目录
2007-11-28  09:24    <DIR>          .
2007-11-28  09:24    <DIR>          ..
2007-11-28  09:24    <DIR>          etc
2007-11-28  09:24    <DIR>          disdn
2008-02-07  13:43    <DIR>          pcibus.sys
2008-02-07  13:43    <DIR>          pcidisk.sys
2008-02-07  13:43    <DIR>          pcihdd.sys
2008-02-07  13:43    <DIR>          phy.sys
2008-02-07  13:43    <DIR>          puid.sys
2008-02-07  13:43    <DIR>          usb32k.sys
2008-02-07  13:43    <DIR>          msaclue.sys
               0 个文件              0 字节
              11 个目录  9,201,577,984 可用字节

用WinRAR 删除Windows临时文件夹,IE临时文件夹,c:/windows/prefetch 中可以删除的文件。

再恢复桌面上的“我的电脑”图标,方法为:右击桌面空白处,从弹出的菜单中选择“属性”,在打开的“显示 属性”对话框中,选择“桌面”选项卡,点击“自定义桌面”按钮,在弹出的“桌面项目”对话框中,点击选择“选项”选项卡中的“我的电脑”图标,再点击“还原默认图标”按钮,和“确定”按钮……

文件说明符 : C:/WINDOWS/Explorer.EXE
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2008-4-10 0:0:0
大小 : 976896 字节 954.0 KB
MD5 : 3d1ac1ae5b34d01e2b7743568180eac0
SHA1: D147634C91030F36E4C3C8F0280B46AA55489ED0
CRC32: 2abccd63

Kapsersky 报为 Trojan-Downloader.Win32.Agent.mkj

C:/Documents and Settings/Administrator/DoctorWeb/Quarantine/ctfmon.exe 与 C:/WINDOWS/Explorer.EXE 相同。

文件说明符 : C:/Documents and Settings/Administrator/DoctorWeb/Quarantine/e0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-10 10:14:25
修改时间 : 2008-4-10 10:14:26
访问时间 : 2008-4-10 0:0:0
大小 : 17015 字节 16.631 KB
MD5 : 82c8194144b1b68d09cc22d9a07cd0a3
SHA1: FCA56801D306B17FB4E629F96DAFDCC858A1F970
CRC32: 768ea800

DrWeb 报为 BACKDOOR.Trojan

文件说明符 : C:/Documents and Settings/Administrator/DoctorWeb/Quarantine/1[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-10 10:14:25
修改时间 : 2008-4-10 10:14:26
访问时间 : 2008-4-10 0:0:0
大小 : 17748 字节 17.340 KB
MD5 : 7099b92e645701fd5e8329df91dd2fbd
SHA1: 43EBD40925C8921528FAEE4371EC1E472344D4FF
CRC32: 4f18021c


文件说明符 : C:/WINDOWS/system32/e2.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-10 0:2:1
修改时间 : 2008-4-10 10:29:18
访问时间 : 2008-4-10 0:0:0
大小 : 17015 字节 16.631 KB
MD5 : eb73052f62d121a4336b8775b19bd3da
SHA1: D13FD8D992B1000B198CB5D001273F48631BBE3C
CRC32: 47951e74

瑞星报为 Packer.Win32.Upack.a 

紫郢剑侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Trojan-Downloader.Win32.Agent.bbb 木马手动查杀
unixtux的专栏
07-24 1048
这个木马是卡巴斯基发现的,每次开机卡巴斯基就会出现提示有木马,但是点击处理所有删除它电脑就会重启,重启完后卡巴斯基有会有相同的提示,依然重启,我实在是解决不了,通过网上才知道是这个木马,卡巴是杀不掉的,只能发现,想想发现也行,毕竟卡巴是杀毒软件,不是木马专杀,总有解决的办法,网上的说法各部相同,经我反复思考还是把它解决了。 网上说 Trojan-Downloader.Win32...
Trojan-Downloader.Win32.Generic.a...
06-08
【病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
安全技术 - 木马篡改桌面图标的典型行为
SimbaRD的专栏
08-23 1247
一、桌面假IE http://bbs.ikaka.com/showtopic-8682001.aspx二、Trojan/Win32.StartPage.cjh[Clicker]http://www.antiy.com/cn/security/2009/r091230_001.htm=======================================================================一、桌面假IE的现象有:1、桌面有一个IE类似这些图:,表面上与正常的IE(不分IE6或
某论坛被加入下载Trojan-Downloader.Win32.Delf.ajm的代码
Purpleendurer@CSDN
12-15 2306
endurer 原创2006-12-15 第1版 论坛首被加入代码:/--------<iframe src=hxxp://www.z*z***yqr.com.**/lpf/wm.htm width=0 height=0 frameborder=0></iframe>--------/wm.htm 的内容为JavaScript脚本程序,功能是利用 Microsoft.XMLHTTP 和 s
修改程序图标出现错误“不是有效的 Win32 资源文件”
爱拼才会赢
09-29 7266
<br /><br />项目无法启动,总是报出以下错误:<br />“C:/Documents and Settings/Administrator/VSWebCache/ASUS_NinetyNine/HbuHouse/obj/Debug/CSC93.tmp”不是有效的 Win32 资源文件,<br /><br />在提示错误后,网上找了一大通,没有发现解决方法.....<br />自己摆弄了半天,最后才发现原来自己加载的ico文件并不是真的ico文件,是有一个bmp文件修改后缀得到的一个ico,换上一个
trojan-1.16.0-win.zip
04-01
trojan
2020年trojan最新windows64客户端trojan-1.15.1-win.zip
04-14
2020年trojan最新windows64客户端
Trojan-Qt5-Windows.zip
03-14
V0.0.4c The Emergency Bug Fix for V0.0.4b V0.0.4b的紧急Bug修复 @TheWanderingCoel TheWanderingCoel released this 3 hours ago This is a version only contain these bug fixes: [Bug Fix] Fix Safari ...
Trojan-Qt5-Windows.1.1.6.rar
01-27
【标题】"Trojan-Qt5-Windows.1.1.6.rar" 是一个与恶意软件相关的压缩包文件,特别提到了"Trojan Client",这通常指的是特洛伊木马病毒的一个客户端版本。特洛伊木马是一种设计用于欺骗用户的计算机程序,表面上看...
遭遇trojan-downloader.win32.agent.vjh
NONAME的专栏
07-29 1426
 今天下午开始本打算学习ARCIMS的,正是因为要学习它就装软件吧,为了节约内存我把卡巴给关掉,于是惹来了trojan-downloader.win32.agent.vjh木马,真够郁闷的。现象:一旦机器启动如果卡巴随机启动,于是卡巴会提示发现病毒并要求处理,你点击处理不一会机器就自动重启了。然而卡巴还是会报告这是什么病毒。解决:自己先是去删除windows文件下东西。根本不管用。最后上网
C#编译时出现不是win32有效的资源文件的解决方法
niusiqiang的专栏
05-21 4697
最近在编程的时候遇到了一个非常奇怪的问题,完全写好的代码拷到另外一台电脑上编译时出现了错误 d:\我的文档\桌面\B显源代码20140415\BView\BView\obj\x86\Release\CSC36.tmp”不是有效的 Win32 资源文件       Bview 出现这种错误的一个主要原因是图标问题,这个应用程序被换过图标,同时这个图标在现在这台电脑上打开会显示无法预览,因此,以后
TrojanDownloader简单分析
Cosmopolitan的博客
07-27 2268
这里是WinMain的入口,先读取最后自己最后160解密出要下载的url: 注册服务和写入注册表来加入自启动 没有下载过就开一个线程去下载执行 下载执行并且标记为已下载 ...
visual studio 2019安装教程(详细的很)
热门推荐
YSJ367635984的博客
03-04 30万+
This is some text! (提醒:没安装vs的老铁先安装vs) 1.vs2019安装教程 1.下载官网:点这里 点进来之后选择社区版: 点进去之后会开始自动下载vs.exe一个文件: 点开下载的文件之后: 进去后就会出现主界面,在勾选这栏,当然你可以考虑一下安装的位置,系统一般默认安装到C盘,但有时C盘负荷太大你可以调到别的地方(建议还是默认安装): 如果仅仅是写c++或c的代码...
CSCC13E.tmp”不是有效的 Win32 资源文件AgroCompany.Controllers
Keep Learning , Keep Improving !
02-13 1563
C盘空间不足引起,记录下!
解决生成解决方案时"... 不是有效的 Win32 资源文件"
weixin_33778778的博客
09-06 1511
在生成解决方案时,VS.NET2005提示错误1“D:\项目文件夹\obj\Debug\CSC1B3.tmp”不是有效的 Win32 资源文件. 分析:         此文件为调试时,VS.NET2005生成的临时文件,可能是因为该项目资源文件(如图标,图片等格式不正确造成的).将刚加的一个图标文件print.ico换成一个标准的图标文件后重新编译,生成成功. 原因:        ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值