木马程序 Trojan.Win32.Agent.agf问题_CMS教程

TrojanWin32Agent是QQ病毒。

这个QQ病毒和以往的此类病毒最大的区别就是不是通过发送网址来让人点击进入，而是染毒计算机会自动向QQ好友发送病毒文件，而且病毒文件大小不定，发送的病毒文件名具有一定诱惑性。

病毒文件图标是WINRAR的压缩包的图样。

病毒运行后首先建立HKLM\Software\Classes\MSipv项，然后病毒创建自身副本到系统目录下：

%System%\ exe

%System%\notepad exe

%Windows%\System\RUNDLL32EXE（如果是Windows 2000/XP）

%Windows%\System32\RUNDLL32EXE（如果是Windows 9x）

并修改EXE和TXT的文件关联：

HKLM\Software\Classes\exefile\shell\open\command

EXE文件关联被修改为“ %1 %”

HKLM\Software\Classes\txtfile\shell\open\command

TXT文件关联被修改为“notepad %1”

注：其中“ ”不是单纯的一个空格，而是一个字符,是双字节ASCII码为“41643”。病毒感染系统后会显示一个提示框：“安装时检测到系统中某程序与本软件发生冲突，请先纠正该冲突，或选择另一台电脑上安装！”

再注：病毒文件大小不固定，从文件内容来看好像是通过一些重复的信息来改变文件大小。

此外，病毒还会检查被感染系统是否安装QQ，如果安装有QQ，病毒则通过注册表找到QQEXE所在路径，把正常的TIMPlatformexe改名为TIMP1atformexe，将病毒自身复制为TIMPlatformexe。

最后在注册表建立病毒标记：

HKLM\Software\Classes\MSipv\MainSetup

HKLM\Software\Classes\MSipv\MainUp

HKLM\Software\Classes\MSipv\MainVer

其中MainSetup和MainUp值相同，但不固定。

要杀掉此病毒，用专杀哦。

QQ医生听说可以杀这个

1、总弄不掉可以禁止它运行、

命令是：开始-----运行-----输入 CMD 确定、打开黑框、然后复制下面的命令输入、回车确定、（重起生效）

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\agentexe" /v debugger /t reg_sz /d debugfileexe /f

取消方法：开始-----运行-----输入 CMD 确定、打开黑框、然后复制下面的命令输入、回车确定

reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\agentexe" /f

2、路径我找不到、------------你把隐藏文件显示后再找看、

在注册表里点“编辑”--“查找”--输入--agentexe 找到后删除、再找下一个、

你打开超级兔子 ----超级兔子任务管理器----进程-----里面就可以看到 agentexe 和各个进程所在的具体路径、

3、打开 “启动项管理器” 查看有它的启动项否、有的就禁用它、

开始------运行-------输入 msconfig 确定、----启动-----找agentexe 把它前面的√去掉、确定、禁用它、也可用超级兔子删除它的启动项、

1、显示隐藏文件法：

打开“我的电脑”----工具----文件夹选项-----查看-----在“显示所有文件和文件夹”前加点●----确定、然后再去找这个文件、

2、显示“隐藏受保护的 *** 作系统文件”文件法：

打开“我的电脑”----工具----文件夹选项-----查看-----再去掉“隐藏受保护的 *** 作系统文件”前的√----是----确定、

其他的问题再补充吧、

木马。。。