“Win32.Troj.Agent.yk.28070”的意思、由来-中文百科全书

病毒行为

1.木马释放如下文件：

%windows%\\\\system32\\\\systom.exe

%windows%\\\\system32\\\\auToRun.inf

在每个盘符的根目录下创建两个文件：auToRun.inf和nx.exe

2.添加如下注册表项，实现开机自启动

HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\crsss @= %systemboot%\\\\system32\\\\Systom.exe

3.添加如下注册表项，禁用自动更新

HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Policies\\\\WindowsUpdate\\\\DisableWindowsUpdateAccess @=0x00000001

4.添加如下注册表项，禁止显示隐藏文件

HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Policies\\\\System\\\\DisableTaskMgr @=0x00000001

HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Advanced\\\\Folder\\\\Hidden\\\\SHOWALL\\\\CheckedValue @=0x0

HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Advanced\\\\Folder\\\\Hidden\\\OHIDDEN\\\\Tex

HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Advanced\\\\Folder\\\\Hidden\\\OHIDDEN\\\\CheckedValue @=0x 00000002

5.删除如下注册表项，破环系统的安全模式

HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Advanced\\\\Folder\\\\Hidden\\\\SHOWALL

HKLM\\\\SYSTEM\\\\ControlSet001\\\\Control\\\\SafeBoot\\\\Minimal\\\\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\\\\SYSTEM\\\\ControlSet001\\\\Control\\\\SafeBoot\\\etwork\\\\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\\\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\SafeBoot\\\\Minimal\\\\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\\\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\SafeBoot\\\etwork\\\\{4D36E967-E325-11CE-BFC1-08002BE10318}

6.添加注册表，映像劫持，致使安全软件无法使用

HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\Image File Execution Options\\\\“*.*”\\\\Debugger @=%systemboot%\\\\system32\\\\Systom.exe

其中*.*为安全软件的文件名（例如avp.exe等）

7.该木马首先会连接如下网址：http://xx.5*****e.cn/tongji/tj.asp

8.病毒会读取远程文本文件下载病毒,通过http://xx.5*****e.cn/tool/down1.txt下载病毒

http://xx.5*****e.cn/gm/*.exe

9.病毒通过DLL文件进行下载病毒

第二次下载：

连接http://n.l**0.com/xx.dll，将内容保存到%systemboot%\\\\system32\\\\dpserio1.dll

这实际上是一个文本文件，内容为：

http://2**.13.**.1**/mh.exe

http://6**o.com/u10.asp

http://6**o.com/qq/qq1.asp

http://6**o.com/1021.asp

http://6**o.com/js.asp

http://2**.13.**.1**/ok.exe

Worm.Win32.Troj.Agent病毒！

而win32.troj这个系列，是木马系列的病毒，一般是引导安装的

中病毒或者木马话，一般会修改你的注册表，让你每次开机的时候都会自动生成一些病毒或木马程序，甚至启动某些服务，禁用相关的安全工具。单纯的手工删除是完全没有用处的，还是要依靠工具的帮助。病毒修改的键值可能是HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下的某些键，你可以去看看这个键值下面有没有可疑的值，如果有就手动删掉。

第一，必须断网杀毒，就是说不要连上网络

第二，将所有可以关闭的进程关闭，即使用任务管理器，将所有可以结束的进程结束掉。

第三，要所有硬盘都杀一遍，不要只查杀C盘。

词条	Win32.Troj.Agent.yk.28070
释义	这是一个下载者木马。他会从黑客网址下载大量的木马病毒，通过修改注册表、修改系统时间、映像劫持等方式破坏安全软件的正常运行。还会删除所有Ghost备份文件，感染所有网页文件、插入黑客网站的代码，并关闭含有“杀毒“、“木马”等字样的窗口，阻止用户寻找解决方法。病毒名称威胁级别病毒类型病毒长度影响系统病毒行为病毒名称中文：下载者28070 威胁级别病毒类型木马下载器病毒长度 28070 影响系统 Win9x WinMe WinNT Win2000 WinXP Win2003 病毒行为 1.木马释放如下文件： %windows%\\\\system32\\\\systom.exe %windows%\\\\system32\\\\auToRun.inf 在每个盘符的根目录下创建两个文件：auToRun.inf和nx.exe 2.添加如下注册表项，实现开机自启动 HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\crsss @= %systemboot%\\\\system32\\\\Systom.exe 3.添加如下注册表项，禁用自动更新 HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Policies\\\\WindowsUpdate\\\\DisableWindowsUpdateAccess @=0x00000001 4.添加如下注册表项，禁止显示隐藏文件 HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Policies\\\\System\\\\DisableTaskMgr @=0x00000001 HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Advanced\\\\Folder\\\\Hidden\\\\SHOWALL\\\\CheckedValue @=0x0 HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Advanced\\\\Folder\\\\Hidden\\\OHIDDEN\\\\Tex HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Advanced\\\\Folder\\\\Hidden\\\OHIDDEN\\\\CheckedValue @=0x 00000002 5.删除如下注册表项，破环系统的安全模式 HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Advanced\\\\Folder\\\\Hidden\\\\SHOWALL HKLM\\\\SYSTEM\\\\ControlSet001\\\\Control\\\\SafeBoot\\\\Minimal\\\\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\\\\SYSTEM\\\\ControlSet001\\\\Control\\\\SafeBoot\\\etwork\\\\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\\\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\SafeBoot\\\\Minimal\\\\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\\\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\SafeBoot\\\etwork\\\\{4D36E967-E325-11CE-BFC1-08002BE10318} 6.添加注册表，映像劫持，致使安全软件无法使用 HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\Image File Execution Options\\\\“.”\\\\Debugger @=%systemboot%\\\\system32\\\\Systom.exe 其中.为安全软件的文件名（例如avp.exe等） 7.该木马首先会连接如下网址：http://xx.5***e.cn/tongji/tj.asp 8.病毒会读取远程文本文件下载病毒,通过http://xx.5*e.cn/tool/down1.txt下载病毒 http://xx.5**e.cn/gm/.exe 9.病毒通过DLL文件进行下载病毒第二次下载：连接http://n.l0.com/xx.dll，将内容保存到%systemboot%\\\\system32\\\\dpserio1.dll 这实际上是一个文本文件，内容为： http://2.13..1/mh.exe http://6o.com/u10.asp http://6o.com/qq/qq1.asp http://6o.com/1021.asp http://6o.com/js.asp http://2.13..1**/ok.exe Worm.Win32.Troj.Agent病毒！而win32.troj这个系列，是木马系列的病毒，一般是引导安装的中病毒或者木马话，一般会修改你的注册表，让你每次开机的时候都会自动生成一些病毒或木马程序，甚至启动某些服务，禁用相关的安全工具。单纯的手工删除是完全没有用处的，还是要依靠工具的帮助。病毒修改的键值可能是HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下的某些键，你可以去看看这个键值下面有没有可疑的值，如果有就手动删掉。第一，必须断网杀毒，就是说不要连上网络第二，将所有可以关闭的进程关闭，即使用任务管理器，将所有可以结束的进程结束掉。第三，要所有硬盘都杀一遍，不要只查杀C盘。
随便看	王冠峰王冠华王冠惠王冠吉王冠杰王冠军王冠卡西卡王冠蕾王冠丽王冠龙王冠民王冠澎王冠权王冠人王冠三王冠守护者王冠守护者之英雄永生王冠五王冠西王冠雄王冠迅王冠亚王冠伊王冠寅王冠英

病毒名称

威胁级别

病毒类型

病毒长度

影响系统

病毒行为