Trojan.Downloader.Win32.Agent.yko清除方案
发布网友
发布时间:3小时前
共1个回答
热心网友
时间:37分钟前
为了清除名为 Trojan.Downloader.Win32.Agent.yko 的病毒,推荐使用安天防线进行彻底清理。以下提供了详细的清除方案:
步骤一:关闭病毒进程。使用 ATOOL 的“进程管理”功能,关闭位于 %system32%\oobe\0755\svchost.exe 路径的病毒进程。
步骤二:恢复注册表项。需要手动修复以下注册表键值:
键值:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291-A535-F6D16BA08D68}\InprocServer32\@,值为字符串"C:\WINDOWS\system32\oobe\unkgknroni.dll"。
键值:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291-A535-F6D16BA08D68}\ProgID\@,值为字符串"unkgknroni.XunBHoSwf"。
键值:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\unkgknroni.XunBHoSwf\Clsid\@,值为字符串"{03C12478-A0D3-4291-A535-F6D16BA08D68}"。
键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{03C12478-A0D3-4291-A535-F6D16BA08D68}\,将病毒 DLL 文件注册为 BHO 浏览器辅助对象。
键值:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\oobe\7955\svchost.exe,设置病毒文件为 Windows 自带防火墙允许的应用,以绕过防火墙询问。
步骤三:删除病毒衍生文件。删除以下文件:
%system32%\302fcc88b1.dll
%windir%\f218f4fbb2.dll
%system32%\oobe\0755\svchost.exe
%system32%\oobe\qnujhyroni.dll
请在 CMD 命令下使用 "rd bak..\/s" 删除 %system32%\oobe\ 目录下的 bak 文件夹,或使用 ATOOL 工具强行删除该文件夹。完成以上步骤后,病毒应被成功清除。
扩展资料
该病毒为刷流量病毒,病毒运行后加载动态链接库urlmon.dll,获取%Temp%临时文件夹目录,利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码保存到临时文件夹下
