Trojan.Win32.Agent.bvl 查杀方法
今天很无奈的发现中了Trojan.Win32.Agent.bvl这个病毒,用了一下午时间分析后终于成功清除
病毒特征:
1).在X:/windows/system32/drives/下生成随机SYS文件
2).在X:/windows/system32下生成随机DLL文件(此两个文件可以被瑞星查出但无法删除)
3).在注册表内生成带有随机SYS文件的键值(此注册表项无法修改无法删除)
4).在服务里生成三项无注释的服务项(或许是以前就有无法断定于以上有关)
初步断定
1.系统启动时随EXPLORER.EXE或服务项启动(尚且无法判定)用进程查看类软件可以看出与EXPLORER.EXE有关
2.服务项启动后会检查注册表(见4))
3.杀毒软件无法删除,进入安全模式也无法删除,初步怀疑是系统权限方面设置异常所至,
(但由于操作系统是FAT32分区所以无法看见文件安全项)
处理方法
步骤一:用杀毒软件查出文件后,记下文件名及所在位置.
步骤二:多选~
1.重装系统
2.GHOST恢复
3.还原点恢复
4.找另一块装好系统的硬盘,用此硬盘系统启动,删除病毒文件,修改注册表键值
5.终极方法,下载WINPE或者类似工具,U盘启动或者光盘启动后,删除病毒文件,修改
注册表键值
大功告成
