`

Trojan-Downloader.Win32.Agent.bbb 木马手动查杀

阅读更多
这个木马是卡巴斯基发现的,每次开机卡巴斯基就会出现提示有木马,但是点击处理所有删除它电脑就会重启,重启完后卡巴斯基有会有相同的提示,依然重启,我实在是解决不了,通过网上才知道是这个木马,卡巴是杀不掉的,只能发现,想想发现也行,毕竟卡巴是杀毒软件,不是木马专杀,总有解决的办法,网上的说法各部相同,经我反复思考还是把它解决了。
    网上说
    Trojan-Downloader.Win32这种病毒会注入explorer.exe进程,并且写进注册表。病毒根据电脑随机生成6位字母+2位数字的dll文件,dll文件位于system32文件夹下,另有一个同名的sys文件位于system32\drivers文件夹下。据说此木马采用Rootkit技术隐藏自身。
一般杀毒软件如卡巴斯基能提示发现病毒dll,但是不能删。最简单的方法是用一个叫unlocker的软件(http://ccollomb.free.fr/unlocker/unlocker1.8.5.exe),下载安装完后分别解锁system32文件夹下的病毒文件名dll文件和system32\drivers文件夹下的同名sys文件(安装完那个软件后会在右键菜单上自动生成一个unlocker的菜单项),然后就可以把病毒文件删除了(不用unlocker解锁是删不掉的,两个都要删除,否则进入桌面会提示找不到文件)。
    最后删注册表
    HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
    HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    这三项的时候如果找不到,就在注册表的左边查找Services文件夹,右件删除。


可是我的并不是这样的,我的木马文件名是
    C:\WINDOWS\system32\bvupkc.dll
    C:\WINDOWS\system32\gzwrim.dll
    C:\WINDOWS\system32\zrnwbd.dll
    C:\WINDOWS\system32\drivers\bvupkc.sys
    C:\WINDOWS\system32\drivers\gzwrim.sys
    C:\WINDOWS\system32\drivers\zrnwbd.sys
我用Unlocker删除后,按照上面的方法重启电脑后,次病毒依然存在,想想是驻留在驱动文件上的,我决定用F8进安全模式,通过上面的方法依然不行,想想来个决的,就是找张WIN98盘,光盘启动进DOS,在DOS下删除,命令是
   A:\> C:
   C:\> cd windows\system32
   C:\windows\system32>del bvupkc.dll
   C:\windows\system32>del gzwrim.dll
   C:\windows\system32>del zrnwbd.dll
   drivers目录下的一样,然后重启后F8安全模式,进入注册表编辑器,按照上面的方法,删除注册表里的健值最后重启电脑,正常进入系统后,在用卡巴斯基完全清理残留的木马文件就OK了。
   需要的朋友可以试试。
分享到:
评论

相关推荐

Global site tag (gtag.js) - Google Analytics