worm.win32.agent.yyg病毒清除方法

worm.win32.agent.yyg病毒中毒症状：

C:\WINDOWS\system32\CBA1F154.EXE
C:\WINDOWS\system32\???????.dll ????忘记掉了！
这2个经常出现
然后带来的是auto.exe autorun.inf
有时候还有大量木马：什么梦幻、美丽世界什么游戏盗号木马！！

病毒运行后检测是否装有卡巴斯基软件
如果装有卡巴斯基软件则将系统日期修改为2005年1月18日

在系统文件夹下创建一个随机8位数字和字母组合而成的exe并且注册成随机8位数字和字母组合而成的服务
同时释放一个随机8位数的dll
控制winlogon把那个随机8位数的dll 插入几乎所有进程

遍历所有分区 在根目录下生成auto.exe和autorun.inf

作者在病毒里留下了自己的QQ号

连接网络60.191.135.155:80 下载木马
首先读取http://xxxxx.com/cnzz//update.txt 的下载配置文件
然后根据里面的内容下载木kxxxxxxxxxxx.exe到系统文件夹
并下载http://xxxxx.com/cnzz/soft/cnzz.exe更新自身

worm.win32.agent.yyg病毒是什么？

Worm.Win32.Agent.yyg 是Worm.Win32.Agent.wn的变种

worm.win32.agent.yyg病毒清除办法：

方法一：

如果时间被改首先把日期改回来
打开sreng
启动项目 注册表 删除如下项目
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32

\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp"> [N/A]
[]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
[]
[]
[]
[]
[]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{E25C29AB-12B9-4523-A53C-324B5FBA648C}>

[]
<{13BB17A1-1B9D-1F83-235F-27552B3B2F17}> []
<{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}>
Wizard\isignup.sys> []

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
3FC3578B / 3FC3578B
E539E00C / E539E00C
Win32 Debug Service / MSDebugsvc
重启计算机
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作

系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹 按钮 进入资源管理器
从资源管理器中进入C盘 删除C:\autorun.inf
C:\auto.exe
C:\pagefile.pif
C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
C:\WINDOWS\system32\107E7AF5.DLL（随机文件名）
C:\WINDOWS\system32\AC254E44.EXE（随机文件名）
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\B96A05C.EXE（随机文件名）
C:\WINDOWS\system32\bcawvt.dll
C:\WINDOWS\system32\chzzyi.dll
C:\WINDOWS\system32\dllhost32.exe
C:\WINDOWS\system32\eykesr.dll
C:\WINDOWS\system32\F7F735F8.DLL（随机文件名）
C:\WINDOWS\system32\gafjib.dll
C:\WINDOWS\system32\humnyb.dll
C:\WINDOWS\system32\install.exe
C:\WINDOWS\system32\kxxxxxxxxxxx.exe（随机文件名）
C:\WINDOWS\system32\k118335740863qso.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\Msf3sf.sys
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\system32\qqcnpk.dll
C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\Shell.pci
C:\WINDOWS\system32\skblsj.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\unlmon.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\uzgeey.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\fqpatv.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\upxdnd.exe

同理打开其他分区 删除其他分区根目录下的
autorun.inf
auto.exe
pagefile.pif

升级杀毒软件至最新版本 全盘杀毒！清理被感染的exe

方法二：

1.断网.
2.结束explorer.exe(因为病毒文件注入到explorer.exe线程,所有杀毒都需要在结束explorer.exe后进行,我们查看文件就通过"ctrl+alt+del"或者"ctrl+alt+esc"调出任务管理器来进行病毒查杀操作).
3.先在任务管理器的新建运行中输入"services.msc"打开服务,找到711EC3AE先禁用,然后在运行中输入"regedit"搜索"711EC3AE"找到删除,或者看上面分析中的路径直接找到删除.
4.通过任务管理器新建运行输入msconfig 然后把下面隐藏微软服务的勾打上,看这里新增加的服务,找到禁用.然后看系统配置实用程序的“启动”项,“全部取消”，还是通过任务管理器进去删除上面所有病毒文件.
5.同理在任务管理器新建运行中输入"regedit"找到"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"然后删除.
再找到这里查看一下右侧:HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache(病毒在这里也有残留)
6.在任务管理器中新建运行中点浏览找上面分析的各盘病毒文件用"shift+delete"删除.(比如:windows,system32下面的病毒文件,还有各盘的auto.exe,autorun.inf.)
7.然后重启电脑后再运行"%temp%清理一下临时文件,再清理一下IE临时文件和cookies文件.(路径:右击IE属性查看可找到具体位置)
8.最后把时间更改过来.
(注:杀毒中间不能加载explorer.exe这个进程,不然病毒会死灰复燃.)

最新相关文章

• ·认识映象劫持技术原理与解决办法
• ·大水牛下载者分析及手工清除办法
• ·计算机病毒中毒症状、预防和系统恢复
• ·mdm.exe专杀以及处理方法
• ·手工清除病毒mdm.exe和RavMon.exe
• ·mdm.exe病毒的解决方法
• ·不再草木皆兵 三招对付捆绑木马！
• ·如何清除Taskmgr.exe病毒
• ·taskmgr.exe进程CPU占用率高的原因
• ·taskmgr.exe系统进程及相关病毒介绍
• ·QQ“缘”病毒taskmgr.exe狂占CPU内存
• ·警惕伪SoundMan.exe病毒 SoundMan.exe病毒清除办
• ·巧治Vista下U盘自动运行病毒方法
• ·计算机病毒的说明、预防和恢复
• ·病毒反抗杀毒软件主要手段
• ·经典九招 防止自动播放引来病毒