如何清除Win32:Agent-IVT [Trj]中的特洛伊木马
发布网友
发布时间:2022-04-29 13:08
共1个回答
热心网友
时间:2022-06-28 13:16
这个QQ病毒和以往的此类病毒最大的区别就是不是通过发送网址来让人点击进入,而是染毒计算机会自动向QQ好友发送病毒文件,而且病毒文件大小不定,发送的病毒文件名具有一定*性。
病毒文件图标是WINRAR的压缩包的图样。
病毒运行后首先建立HKLM\Software\Classes\MSipv项,然后病毒创建自身副本到系统目录下:
%System%\
.exe
%System%\notepad
.exe
%Windows%\System\RUNDLL32.EXE(如果是Windows
2000/XP)
%Windows%\System32\RUNDLL32.EXE(如果是Windows
9x)
并修改EXE和TXT的文件关联:
HKLM\Software\Classes\exefile\shell\open\command
EXE文件关联被修改为“
%1
%*”
HKLM\Software\Classes\txtfile\shell\open\command
TXT文件关联被修改为“notepad
%1”
注:其中“
”不是单纯的一个空格,而是一个字符,是双字节ASCII码为“41643”。病毒感染系统后会显示一个提示框:“安装时检测到系统中某程序与本软件发生冲突,请先纠正该冲突,或选择另一台电脑上安装!”
再注:病毒文件大小不固定,从文件内容来看好像是通过一些重复的信息来改变文件大小。
此外,病毒还会检查被感染系统是否安装QQ,如果安装有QQ,病毒则通过注册表找到QQ.EXE所在路径,把正常的TIMPlatform.exe改名为TIMP1atform.exe,将病毒自身复制为TIMPlatform.exe。
最后在注册表建立病毒标记:
HKLM\Software\Classes\MSipv\MainSetup
HKLM\Software\Classes\MSipv\MainUp
HKLM\Software\Classes\MSipv\MainVer
其中MainSetup和MainUp值相同,但不固定。
要杀掉此病毒,用专杀哦。
