zou_guojun

我用的AVG最近发现即使没有病毒提示仍然经常扫出这几个高危病毒，大家帮忙看看怎么可以把这个解决掉！
Downloader.IFrame.ay
Trojan.OnLineGames.anqw
Rootkit.Agent.apk
风险提示全为高，特别是第二个，经常查经常有，不知道怎么回事！

champion

http://www.lucky8k.com/thread-7573-1-1.html

这个帖子的内容最适合自查。我帮楼主看看。

Rootkit.Agent.apk

引用:

病毒名称：Rootkit.Agent.d
中 文 名：“代理”变种d
病毒长度：57853字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Rootkit.Agent.d“代理”变种d是一个盗取用户计算机上机密信息的木马。“代理”变种d运行后，自我复制到系统目录下。修改注册表，实现开机自启。侦听黑客指令，盗取用户计算机上的机密信息，并将机密信息发送到黑客指定站点。另外，“代理”变种d还可以自升级。

解决方法：

引用:

RootKit.Agent.rv 病毒其实有两个文件，它们在DOS下也是互相保护的，在安全模式下是删不掉的。分别找到这两个病毒文件的路径，...\system32\nsnljvo.dll ...\system32\drivers\nsnljvo.sys （文件名也可能不同，自己查查 ），用记事本等打开这两个病毒文件，把它们的文件头 MZ...几行删除、并保存就OK了（注意不要删除保存后的文件），再杀杀毒，呵呵，没病毒了吧...重新启动，再看看相关的注册表键值，也没有了...

Trojan.OnLineGames

引用:

Trojan.OnLineGames手动清除
Trojan.OnLineGames变种非常多。清除方法也很多。

这个病毒路径是不是C:\DOCUME~1\user\LOCALS~1\Temp\zts2.dll

删除注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xy
值: 字符串: "C:\WINDOWS\Download\svhost32.exe"

删除文件：
%WINDOWS%\Download\svhost32.exe
%system32%\xydll.dll
杀软会给出病毒木马对应的文件名和路径；开始--运行--regedit，打开注册表，在注册表菜单内利用查找功能，查找这个文件，找到的项目就点右键--删除，F3继续，最后删除文件就行了；不让删除的就用IceSword对照位置删除

附件是Trojan.OnLineGames的专杀工具，不过你是新会员要有15积分以上才能下载论坛的附件，另外专杀工具不一定可以对付所有病毒变种，还是尝试手动查杀好些：
杀毒在安全模式下杀吧，如果有文件删除不了，用以下工具就可以了：
删除软件专家(什么文件都能删)
http://www.lucky8k.com/thread-5459-1-1.html

champion

引用:

该病毒是特洛伊木马,可以窃取你人密码以及达到其他不可告人的目的.

目前尚无法用木马克星杀掉，如果你中了，可以手工删除.

删除方法一：

1、找到其在dllcache库中的关联文件，共有8个,
分别是a3d.dll drmk.sys ks.sys ksproxy.ax ksuser.dll mstunint.dll mstunmsr.dll mstuntsk.dll portcls.sys portcls.sys
并删除,(dllcache库位于system32目录下，正常情况下是隐藏的,需要打开文件夹选项--查看--去掉隐藏受保护文件的前的对号，打开显示所有文件)
2、删除system32cba ask.exe system32appmgmtmsser.exe C:windows empInstallsetup.exe system32icon目录 system32inetsrvinet.exe
3、最后从注册表中删除msser.exe其相关启动项.
再次启动后这些东东就都没有了，另外最好大家都安装防火墙，这样有什么可疑程序想进入就难多了.把C盘装上保护是最理想的办法，中毒就重启机器。简单！！

楼主没装防火墙？

zou_guojun

谢谢楼上样的了，
我机器是NOD32配合AVG的，杀都杀得掉，就是很短的时间，同时没用病毒提示的情况扫毒，依然会扫出来，不知道原因出在哪儿

champion

引用:

原帖由 zou_guojun 于 2008-6-24 11:25 发表
谢谢楼上样的了，
我机器是NOD32配合AVG的，杀都杀得掉，就是很短的时间，同时没用病毒提示的情况扫毒，依然会扫出来，不知道原因出在哪儿

你尝试下在安全模式下杀毒，同时注意上面列出的手动查杀方法
有木马会自动重写文件，所以可能要手动查杀才能清除，或者用专杀工具。
你看这段：

引用:

RootKit.Agent.rv 病毒其实有两个文件，它们在DOS下也是互相保护的，在安全模式下是删不掉的。分别找到这两个病毒文件的路径，...\system32\ nsnljvo.dll ...\system32\drivers\nsnljvo.sys （文件名也可能不同，自己查查），用记事本等打开这两个病毒文件，把它们的文件头 MZ...几行删除、并保存就OK了（注意不要删除保存后的文件），再杀杀毒，呵呵，没病毒了吧...重新启动，再看看相关的注册表键值，也没有了...

如果直接删除文件，木马会自动重写，所以一定要先修改再杀毒。

[ 本帖最后由 champion 于 2008-6-24 11:42 编辑 ]

xboxbox

http://www.lucky8k.com/thread-23325-1-1.html
楼主杀木马用这个吧，杀木马还是有用的。

楼主中木马，提醒楼主要多注意装好防火墙。
好的防火墙
比杀毒软件还重要。

并且，下载软件一定要到华军和天空这类大网站去下载，不要到其它不明网站下载。
另外泡论坛，一定要泡像霏凡和天空竞技场这类的知名论坛，因为霏凡和天空竞技场对注册都很严格把关，所以大家都会珍惜自己的帐号，少人敢上传木马和病毒，在其它中小论坛就危险了，很多人都是在上传附件中包含有木马和病毒的，所以请小心了。

另外，如果还不放心的话，就只选择霏凡和天空竞技场这二个论坛的中级会员以上级别的会员附件来下载。

这样，基本就能很少中木马了。

像我，从不装杀毒软件，只装防火墙。
用系统这样久了一点事都未有。

fw0217

那是因为楼主未清除干净所致，用木马专杀吧，用这个还可以：
http://www.lucky8k.com/thread-23325-1-1.html
如果楼主有兴趣可以看看这些：
木马的防范和清除技巧
木马如何活下去？简介木马万能查杀法
http://www.lucky8k.com/thread-5250-1-1.html
我是这样帮MM找出木马程序的
http://www.lucky8k.com/thread-3201-1-1.html
木马万能查杀法
http://www.lucky8k.com/thread-3051-1-1.html
纯手工宰马记---关键词:smss.exe,AutoRun.inf,command.com
http://www.lucky8k.com/thread-5004-1-1.html
动态嵌入式DLL木马的发现及清除
http://www.lucky8k.com/thread-4880-1-2.html
告诉你计算机木马藏在哪！
http://www.lucky8k.com/thread-4593-1-2.html
查看开放端口判断木马或其他黑客程序的方法
http://www.lucky8k.com/thread-3896-1-2.html
用简单的命令检查电脑是否被安装木马
http://www.lucky8k.com/thread-3598-1-2.html
一招克死所有插入进程版本的灰鸽子
http://www.lucky8k.com/thread-3203-1-2.html
木马伪装技巧普及知识
http://www.lucky8k.com/thread-5319-1-1.html
查木马流氓软件间谍软件发现可疑进程的秘诀
http://www.lucky8k.com/thread-5361-1-1.html
灰鸽子木马简介和参考解决方案
http://www.lucky8k.com/thread-5378-1-1.html
如何用Procexp和Autoruns工具识别与删除木马程序
http://www.lucky8k.com/thread-5401-1-1.html
揭开DLL木马神秘面纱
http://www.lucky8k.com/thread-5396-1-1.html
木马藏身处大揭秘
http://www.lucky8k.com/thread-5426-1-1.html
知马识马不养马
http://www.lucky8k.com/thread-5469-1-1.html
找与清除插入式特络伊木马
http://www.lucky8k.com/thread-5568-1-1.html
关于CSRSS.exe或services.exe 木马的清除[Troj.LMir2.ky]
http://www.lucky8k.com/thread-5572-1-1.html
传奇木马的清除
http://www.lucky8k.com/thread-5575-1-1.html
对于灰鸽子之类木马专杀 [手动查杀]
http://www.lucky8k.com/thread-5574-1-1.html
ewido anti-spyware 完美保护你的电脑
http://www.lucky8k.com/thread-5645-1-1.html
熟用Hijackthis，轻松修复系统
http://www.lucky8k.com/thread-2110-1-1.html
木马终结者！Ewido神威显江湖
http://www.lucky8k.com/thread-5643-1-1.html
教你如何使用防木马病毒最好的工具ssm
http://www.lucky8k.com/thread-5674-1-1.html
学用SSM解决实际问题
http://www.lucky8k.com/thread-5673-1-1.html
讲解端口、木马、安全和扫描
http://www.lucky8k.com/thread-5685-1-1.html

fw0217

剖析网页木马以及手工清除
http://www.lucky8k.com/thread-5712-1-1.html
详细分析木马程序开发技术
http://www.lucky8k.com/thread-5714-1-1.html
图片中有病毒和捆绑木马的技术内幕
http://www.lucky8k.com/thread-5724-1-1.html
动态嵌入式DLL木马的发现及清除
http://www.lucky8k.com/thread-4880-1-1.html
恼人的DLL后门完全清除秘诀
http://www.lucky8k.com/thread-5727-1-1.html
万变不离其宗 木马后门居多
http://www.lucky8k.com/thread-5841-1-1.html
教你查找反向木马的反向连接域名
http://www.lucky8k.com/thread-5881-1-1.html
防范WinRAR文件捆绑木马技巧
http://www.lucky8k.com/thread-5877-1-1.html
黑客如何给你的系统种木马
http://www.lucky8k.com/thread-5919-1-1.html
解析恶意网站安装木马的过程
http://www.lucky8k.com/thread-6102-1-1.html
木马万能删除法
http://www.lucky8k.com/thread-7052-1-1.html
反病毒木马利器HijackThis
http://www.lucky8k.com/thread-7124-1-1.html
木马杀客浪得虚名, 电脑报第50期也有这个报道！
http://www.lucky8k.com/thread-8272-1-1.html
木马各种隐藏技术全方位大披露
http://www.lucky8k.com/thread-9600-1-1.html
认清木马的原理
http://www.lucky8k.com/thread-9642-1-1.html

fw0217

http://www.lucky8k.com/thread-4727-1-1.html

zou_guojun

楼上的你太牛了，那么多，哈哈，仔细看看！顺便再谢谢二楼那兄弟


再请教下，NOD32是不是不能再安全模式下运行的呢？我运行的EXE后，弹出的是命令符的窗口，然后在窗口里显示什么错误之类的，这是什么原因呢？

[ 本帖最后由 zou_guojun 于 2008-6-24 14:35 编辑 ]