Trojan-Downloader.Win32.Agent.bbb 木马手动查杀

这个木马是卡巴斯基发现的,每次开机卡巴斯基就会出现提示有木马,但是点击处理所有删除它电脑就会重启,重启完后卡巴斯基有会有相同的提示,依然重启,我实在是解决不了,通过网上才知道是这个木马,卡巴是杀不掉的,只能发现,想想发现也行,毕竟卡巴是杀毒软件,不是木马专杀,总有解决的办法,网上的说法各部相同,经我反复思考还是把它解决了。
网上说
Trojan-Downloader.Win32这种病毒会注入explorer.exe进程,并且写进注册表。病毒根据电脑随机生成6位字母+2位数字的dll文件,dll文件位于system32文件夹下,另有一个同名的sys文件位于system32\drivers文件夹下。据说此木马采用Rootkit技术隐藏自身。
一般杀毒软件如卡巴斯基能提示发现病毒dll,但是不能删。最简单的方法是用一个叫unlocker的软件(http://ccollomb.free.fr/unlocker/unlocker1.8.5.exe),下载安装完后分别解锁system32文件夹下的病毒文件名dll文件和system32\drivers文件夹下的同名sys文件(安装完那个软件后会在右键菜单上自动生成一个unlocker的菜单项),然后就可以把病毒文件删除了(不用unlocker解锁是删不掉的,两个都要删除,否则进入桌面会提示找不到文件)。
最后删注册表
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
这三项的时候如果找不到,就在注册表的左边查找Services文件夹,右件删除。


可是我的并不是这样的,我的木马文件名是
C:\WINDOWS\system32\bvupkc.dll
C:\WINDOWS\system32\gzwrim.dll
C:\WINDOWS\system32\zrnwbd.dll
C:\WINDOWS\system32\drivers\bvupkc.sys
C:\WINDOWS\system32\drivers\gzwrim.sys
C:\WINDOWS\system32\drivers\zrnwbd.sys
我用Unlocker删除后,按照上面的方法重启电脑后,次病毒依然存在,想想是驻留在驱动文件上的,我决定用F8进安全模式,通过上面的方法依然不行,想想来个决的,就是找张WIN98盘,光盘启动进DOS,在DOS下删除,命令是
A:\> C:
C:\> cd windows\system32
C:\windows\system32>del bvupkc.dll
C:\windows\system32>del gzwrim.dll
C:\windows\system32>del zrnwbd.dll
drivers目录下的一样,然后重启后F8安全模式,进入注册表编辑器,按照上面的方法,删除注册表里的健值最后重启电脑,正常进入系统后,在用卡巴斯基完全清理残留的木马文件就OK了。
需要的朋友可以试试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值