“Backdoor.Win32.Agent.ahj”的意思、由来-中文百科全书

病毒名称

Backdoor.Win32.Agent.ahj

病毒类型：后门

文件 MD5： 7DB2256231F54B253CCF52D4A6E7E96D

公开范围：完全公开

危害等级： 5

文件长度： 17,801 字节

感染系统： windows98以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： Xtreme-Protector v1.05

病毒描述

删除系统正常服务 ERSvc 。病毒衍生的文件 992219FBE.DLL 插入系统进程 winlogon.exe 、 scvhost.exe 、 csrss.exe 、 services.exe 、 explorer.exe 中。尝试关闭卡巴斯基反病毒软件。

行为分析：

1 、病毒运行后衍生病毒文件：

%system32%\\92219FBE.DLL

%system32%\\92219FBE.EXE

%system32%\\92219FBET.EXE

%Documents and Settings%\\ 计算机用户名 \\ 桌面 \\ 免费点歌 .url

%Documents and Settings%\\ 计算机用户名 \\ 桌面 \\ 午夜激情 .url

%Documents and Settings%\\ 计算机用户名 \\ 桌面 \\ 火爆美女 .url

%Documents and Settings%\\ 计算机用户名 \\Favorites\\ 免费点歌 .url

%Documents and Settings%\\ 计算机用户名 \\Favorites\\ 午夜激情 .url

%Documents and Settings%\\ 计算机用户名 \\Favorites\\ 火爆美女 .url

%Documents and Settings%\\ 计算机用户名 \\Local Settings\\

Temporary Internet Files\\\\CHUFWD67\\i[1].exe

2 、修改注册表：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\92219FBE

键值 : 字串 : "ImagePath"="C:\\WINDOWS\\system32\\92219FBE.EXE -service"

3 、创建服务，并以服务的方式达到随机启动的目的：

服务名称： 92219FBE

显示名称： 92219FBE

描述： 92219FBE

可执行文件的路径： C:\\WINDOWS\\system32\\92219FBE.EXE -service

启动方式：自动

4 、删除系统正常服务 ERSvc ：

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ERSvc

键值 : 字串 : "Description"=" 服务和应用程序在非标准环境下运行时允许错误报告 "

5 、会自动弹出色情网站：

6 、病毒衍生的文件 992219FBE.DLL 插入系统进程 winlogon.exe 、 scvhost.exe 、

csrss.exe 、 services.exe 、 explorer.exe 中。

7 、尝试关闭卡巴斯基反病毒软件。

8 、尝试修改系统时间为： 1997 年 11 月 18 日。 ( 修改未成功 )

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

--------------------------------------------------------------------------------

清除方案

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 禁止服务： 92219FBE

(2) 在安全模式下删除病毒文件：

%system32%\\92219FBE.DLL

%system32%\\92219FBE.EXE

%system32%\\92219FBET.EXE

%Documents and Settings%\\ 计算机用户名 \\ 桌面 \\

免费点歌 .url

%Documents and Settings%\\ 计算机用户名 \\ 桌面 \\

午夜激情 .url

%Documents and Settings%\\ 计算机用户名 \\ 桌面 \\

火爆美女 .url

%Documents and Settings%\\ 计算机用户名 \\Favorites\\

免费点歌 .url

%Documents and Settings%\\ 计算机用户名 \\Favorites\\

午夜激情 .url

%Documents and Settings%\\ 计算机用户名 \\Favorites\\

火爆美女.url

%Documents and Settings%\\ 计算机用户名 \\Local Settings\\

Temporary Internet Files\\5\\CHUFWD67\\i[1].exe

专家建议

1.注意系统时间是否被恶意更改。

2.在任务管理器中查看是否有陌生的比较可疑的进程存在。

3.尽快安装杀毒软件并开启实时监控功能。

手动查杀方法:打开系统的任务管理器，找到C:\\windows\\system32\\XXXX.exe进程并结束它，然后找到XXXX.exe和ggkb.bat文件将其删除即可。

词条	Backdoor.Win32.Agent.ahj
释义	该病毒属后门类，病毒运行后衍生病毒文件到系统目录下，并删除自身，修改注册表，新建服务，并以服务的方式达到随机启动的目的。在 %Favorites% 文件夹中创建 URL 文件，可以弹出相关色情网站。病毒名称病毒描述清除方案专家建议病毒名称 Backdoor.Win32.Agent.ahj 病毒类型：后门文件 MD5： 7DB2256231F54B253CCF52D4A6E7E96D 公开范围：完全公开危害等级： 5 文件长度： 17,801 字节感染系统： windows98以上版本开发工具： Microsoft Visual C++ 6.0 加壳类型： Xtreme-Protector v1.05 病毒描述删除系统正常服务 ERSvc 。病毒衍生的文件 992219FBE.DLL 插入系统进程 winlogon.exe 、 scvhost.exe 、 csrss.exe 、 services.exe 、 explorer.exe 中。尝试关闭卡巴斯基反病毒软件。行为分析： 1 、病毒运行后衍生病毒文件： %system32%\\92219FBE.DLL %system32%\\92219FBE.EXE %system32%\\92219FBET.EXE %Documents and Settings%\\ 计算机用户名 \\ 桌面 \\ 免费点歌 .url %Documents and Settings%\\ 计算机用户名 \\ 桌面 \\ 午夜激情 .url %Documents and Settings%\\ 计算机用户名 \\ 桌面 \\ 火爆美女 .url %Documents and Settings%\\ 计算机用户名 \\Favorites\\ 免费点歌 .url %Documents and Settings%\\ 计算机用户名 \\Favorites\\ 午夜激情 .url %Documents and Settings%\\ 计算机用户名 \\Favorites\\ 火爆美女 .url %Documents and Settings%\\ 计算机用户名 \\Local Settings\\ Temporary Internet Files\\\\CHUFWD67\\i[1].exe 2 、修改注册表： HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\92219FBE 键值 : 字串 : "ImagePath"="C:\\WINDOWS\\system32\\92219FBE.EXE -service" 3 、创建服务，并以服务的方式达到随机启动的目的：服务名称： 92219FBE 显示名称： 92219FBE 描述： 92219FBE 可执行文件的路径： C:\\WINDOWS\\system32\\92219FBE.EXE -service 启动方式：自动 4 、删除系统正常服务 ERSvc ： HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ERSvc 键值 : 字串 : "Description"=" 服务和应用程序在非标准环境下运行时允许错误报告 " 5 、会自动弹出色情网站： 6 、病毒衍生的文件 992219FBE.DLL 插入系统进程 winlogon.exe 、 scvhost.exe 、 csrss.exe 、 services.exe 、 explorer.exe 中。 7 、尝试关闭卡巴斯基反病毒软件。 8 、尝试修改系统时间为： 1997 年 11 月 18 日。 ( 修改未成功 ) 注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 -------------------------------------------------------------------------------- 清除方案 1 、使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 禁止服务： 92219FBE (2) 在安全模式下删除病毒文件： %system32%\\92219FBE.DLL %system32%\\92219FBE.EXE %system32%\\92219FBET.EXE %Documents and Settings%\\ 计算机用户名 \\ 桌面 \\ 免费点歌 .url %Documents and Settings%\\ 计算机用户名 \\ 桌面 \\ 午夜激情 .url %Documents and Settings%\\ 计算机用户名 \\ 桌面 \\ 火爆美女 .url %Documents and Settings%\\ 计算机用户名 \\Favorites\\ 免费点歌 .url %Documents and Settings%\\ 计算机用户名 \\Favorites\\ 午夜激情 .url %Documents and Settings%\\ 计算机用户名 \\Favorites\\ 火爆美女.url %Documents and Settings%\\ 计算机用户名 \\Local Settings\\ Temporary Internet Files\\5\\CHUFWD67\\i[1].exe 专家建议 1.注意系统时间是否被恶意更改。 2.在任务管理器中查看是否有陌生的比较可疑的进程存在。 3.尽快安装杀毒软件并开启实时监控功能。手动查杀方法:打开系统的任务管理器，找到C:\\windows\\system32\\XXXX.exe进程并结束它，然后找到XXXX.exe和ggkb.bat文件将其删除即可。
随便看	异相景观：寄生学报告异相景观：奢侈学报告异相景观：生物学报告异相景观：心理学报告异相离子交换膜异香：勃朗特的神秘冒险异香鳖甲散异香草醛异香醇蟹异香豆素异香鸡杂异香煎封鲮鱼异香散异香煲鸡脚异乡的家园异乡的龙异乡的童话异乡的云异乡梦异乡人的国度：文学评论集异乡人之戒异乡说书异乡之草异翔天开异想