Red de conocimiento informático - Conocimiento del nombre de dominio - Cómo eliminar el virus trojan.agent.tl

Cómo eliminar el virus trojan.agent.tl

Nombre del virus: Trojan.Win32.Agent.tl

Tipo de virus: Caballo de Troya

Nivel de peligro: Medio

Longitud del archivo: 12,255 Byte

Sistema infectado: Windows 9x y superior

Herramienta de desarrollo: Visual C++

Tipo de empaquetador: Shell desconocido

Descripción del virus:

Este troyano modificará la configuración del registro y eliminará el control MIME en el sistema. El troyano modificará los valores de las claves del registro, eliminará ciertos valores de las claves y modificará la configuración del servicio del sistema para lograr el propósito de comenzar. el sistema. Cópiese a %System% Los dos últimos caracteres del nombre del virus son variables. Modifique el valor de la clave en CLSID en el registro y cambie la configuración de IE.

Análisis de comportamiento:

1. Modifique los siguientes valores clave en el registro:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control

\ServiceCurrent\ @

Valor anterior: DWORD: 7 (0x7) Valor nuevo: DWORD: 8 (0x8)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum

\Count

Valor anterior: DWORD: 0 (0) Nuevo valor: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum

\NextInstance

Valor anterior: DWORD: 0 (0) Nuevo valor: DWORD: 1 (0x1)

El nuevo valor es el siguiente:

HKEY_LOCAL_MACHINE\ SOFTWARE\Classes\CLSID\\LocalServer32\@ El valor clave es la ruta donde se encuentra el virus.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F MI# Panocao`I

\DisplayName

Valor clave: Cadena: "Servicio de seguridad de red (NSS)" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services \ 11F MI# Pananao`I

\ErrorControl

Valor clave: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F Mi# Panao`I\ImagePath

Valor clave: ruta donde se encuentra el virus

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11F Mi# Panao`I

\ DisplayName

Valor clave: Cadena: "Servicio de seguridad de red (NSS)"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11F MI# Panocao`I

\ ObjectName

Valor clave: Cadena: "LocalSystem"

2. Modifique una de las siguientes cuatro configuraciones de servicio y conecte el hilo principal de este proceso de servicio en el programa de gestión de control de servicios. y actualizar la información de estado del programa de gestión de control de servicios, para lograr el propósito de comenzar con el sistema.

Servicio de seguridad de red

Servicio de seguridad de red (NSS)

Ayudante de llamada a procedimiento remoto (RPC)

Servicio Netlogon de estación de trabajo

3. Agregue la clave RunServices y la clave Aplicaciones en el registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices

HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\

ShellCompatibility\Applications\

El valor está determinado por el nombre del virus liberado

4. gran número de las siguientes claves Valor:

HKEY_CURRENT_USER\CLSID\\LocalServer32\

= \ ​​​​

5. Cuerpo del virus de liberación:

En Windows 2000 y NT, ubicado en %Windir%\System32\

En Windows 95, 98 y ME, ubicado en %Windir%\System32

En Windows XP, ubicado en % Windir%\System32

6 El nombre del virus liberado es incierto. Se seleccionan aleatoriamente dos caracteres de "0123456789ABCDEF" como los dos últimos bytes del virus. nombre.

Las cadenas antes del nombre del virus son las siguientes:

add api app atl cr cr d3 ie ip java mfc ms net nt sdk sys win

De hecho, el método es muy simple. siempre que conozcas la infección en qué lugares y luego simplemente borre todo lo anterior

上篇: ¿Por qué Gohan Game Center no puede jugar a Warring States Legacy 3? 下篇: Cómo comprar móviles Huawei en la web oficial

Artículos populares