Trojan-Proxy.Win32.Agent.fv的查杀。
这两天,报告感染这个木马的帖子多了。我拿到的样本:感染系统后,可见SVCH0ST.EXE进程;另一个朋友报告的进程名是windows.exe。看样子病毒进程名是可变的。其特点是:感染系统后,在每个分区的根目录下创建一个名为WEB的可执行文件(图标为文件夹)。
这个木马的手工查杀方法如下:
1/结束病毒进程SVCH0ST.EXE(或其它进程名,如:windows.exe)。注意:SVCH0ST.EXE中的"0"是数字;而不是英文字母。
2/删除病毒文件(图)
3/清理注册表:
定位到: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"HideFileExt"=dword:00000001改为:"HideFileExt"=dword:00000000
定位到: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除:"Net"="C:\\windows\\system32\\SVCH0ST.EXE"
定位到: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
删除:"Load"="C:\\windows\\assistse.exe"
