请帮我看下,这是什么木马病毒 Backdoor.win32.Agent.wwt

发布网友 发布时间：2023-07-04 04:46

我来回答

共4个回答

热心网友 时间：2023-09-26 03:27

该病毒为后门类，病毒运行后检测调试器，遍历进程查找指定的进程名称，如果存在调试器或含有指定的进程名称则病毒体退出；结束系统中的指定服务；在临时目录下衍生名称为“dll***.dll”（***为随机数字）的文件；加载衍生的dll文件。衍生自删除批处理文件到临时目录下运行后删除病毒体和批处理自身。衍生的动态链接库文件被加载后，衍生Nskhelper2.sys文件到系统目录下，并创建事件NsDlRk250，检测当前的系统时间，如果年份大于2008则退出执行；否则创建远程线程，连接网络下载病毒文件、添加大量映像劫持、修改host文件，在各个盘根目录下衍生病毒文件和autorun.inf文件、在系统目录下释放其他驱动文件等操作；衍生appwinproc.dll到系统目录,检测标题含有指定字符串的窗口并结束其进程，被感染计算机关机后病毒程序将感染被关闭服务对应的映像文件。
清除方案
1、断开网络。
2、使用安天防线可彻底清除此病毒(推荐)，点击此处免费下载安天防线。
使用安天防线工具中的“服务管理”关闭下列服务
Application Management
Task Scheler
System Restore Service
Windows Image Acquisition (WIA)
Windows Time
3、 重新启动计算机后删除下列文件
%DriveLetter%\autorun.inf
%Documents and Settings%\Administrator\Local Settings\Temp\dll62.dll
%DriveLetter%\system.dll
%System32%\appwinproc.dll
%System32%\drivers\etc\hosts
%System32%\Nskhelper2.sys
%System32%\NsPass0.sys
%System32%\NsPass1.sys
%System32%\NsPass2.sys
%System32%\NsPass3.sys
%System32%\NsPass4.sys
%HomeDrive%\system.dll
%HomeDrive%\autorun.inf
%System32%\appmgmts.dll
%System32%\schedsvc.dll
%System32%\srsvc.dll
%System32%\w32time.dll
%System32%\wiaservc.dll
4、 从正常计算机中拷贝下列文件到%System32%目录下
%System32%\appmgmts.dll
%System32%\schedsvc.dll
%System32%\srsvc.dll
%System32%\w32time.dll
%System32%\wiaservc.dll
5、 删除所有病毒添加的映像劫持注册表项；
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\“被劫持的文件名”]
删除病毒添加的服务注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\“服务名称”]

热心网友 时间：2023-09-26 03:28

后门木马病毒，木马清理专家2009查杀

热心网友 时间：2023-09-26 03:28

建议去安全模式下查杀，这样比较容易清楚

热心网友 时间：2023-09-26 03:29

换国产软件试试，不要太迷信国外的，没多厉害了。