关于Trojan.Clicker.Agent.aty这个病毒
现在很多人都中了这个病毒,其实他只是一个插件,并没有什么危害,也就是我们常说的流氓软件,这个病毒有很多种版本,我这里有两个不同版本的安装包,制作者为了不让我们轻易分析病毒,安装包做了保护,无法解压缩。这也是流氓软件的共性吧。很多流氓软件的安装包无法解压缩。
说一下此病毒特征:
第一,此病毒并不会添加任何启动项。(除安装后的插件启动项)
第二,为了保护自己的存在此病毒修改一些文件的内部结构,让病毒在计算机中生存,也就是为什么瑞星删除,重新启动,或者联网1小时后还会有此病毒的原因。
下面说具体的,此病毒在c:\windows\system32\下复制流氓软件的安装包,方便修改的那个程序访问安装包,安装流氓软件,瑞兴对此病毒只能查杀安装包内部的一个dll文件,用户直接找到安装包删除即可,流氓软件安装包会释放安装流氓软件,瑞兴只反应其中一个文件,找到路径删除文件夹即可。注意!QQ、TT、IE等软件,可能被病毒修改过,上网后会自动下载安装包,并进行安装;安装包可能会在桌面和收藏家下释放IE的连接,不要点击,直接删除。
删除方法:删除上面所说的文件夹及安装包,并且在c:\windows\system32\下建立与按转包同名的隐藏、只读属性的文件加,比如安装包的名称是jdsthu1.exe(我解获得一个此病毒的安装包)。就建立隐藏、只读属性的jdsthu1.exe文件夹,防止建立jdsthu1.exe文件,也就防止流氓软件的安装,最后,删除QQ,文件夹下的东西,重新安装QQ(已经通过filemon确定QQ和此文件的下载有关系)。当然不排除其他软件,所以小心检查就是了
补充一点:单独安装安装包,只会安装流氓软件,并没有修改QQ等程序,也就是说,还有其他文件或者下载的安装文件可能能办到
