大家好,今天来为大家分享bitdefender agent的一些知识点,和rootkit.agent.cb 此木马危害如何 如何清除的问题解析,大家要是都明白,那么可以忽略,如果不太清楚的话可以看看本篇文章,相信很大概率可以解决您的问题,接下来我们就一起来看看吧!
本文目录
rootkit.agent.cb 此木马危害如何 如何清除trojan.agent.17979 是什么病毒中了trojan.agent.apyj 怎么杀TrojanDropper.Agent.NYN是什么病毒,如何清除rootkit.agent.cb 此木马危害如何 如何清除1.准备利器。你得先下载或复制(从其他电脑)最新,最好(一般是网上知名度高的)的木马专杀工具和预备的杀毒软件(建议你到翱翔的博客,他的关于系统的一切都有,且有效(还有各种软件)http://hi.baidu.com/guoguo6688)。另外我觉得‘360’不错。
2.你确定是木马?是什么木马?开机时它提示的木马名称要记下来。还有方法:
a。在任何能显示网络连接状态的软件上查看(防火墙大多都可)可疑连接并记下名称。b。同时按下键盘上alt+ctrl+delete键,在进程中查看可疑进程。
附1常见进程:vista常见进程
(1)360tray.exe
360安全卫士应用程序实时保护模块.
(2)audiodg.exe
Wingdows音频图像隔离。
(3)bdagent.exe
BitDefenderProfessional杀毒软件相关程序。BitDefenderProfessional是罗马尼亚的一款杀毒软件,它将为您的计算机提供最大的保护,它具有功能强大的反病毒引擎以及互联网过滤技术。
(4)bdmcon.exe
是SoftWin公司出品的BitDefender反病毒产品的一部分。
(5)bdss.exe
是BitDefender反病毒软件的一部分。
(6)csrss.exe(2个)
是微软客户端/服务端运行时子系统。该进程管理windows图形相关任务。这个程序对你系统的正常运行是非常重要的。
注意:csrss.exe也有可能是w32.netsky.ab@mm、w32.webus木马、win32.ladex.a等病毒创建的。该病毒通过email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立smtp服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32下面.
(7)dwm.exe
这是aero界面的一个进程。
(8)explorer.exe
是windows程序管理器或者windows资源管理器,它用于管理windows图形壳,包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致windows图形界面无法适用。
注意:explorer.exe也有可能是w32.codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开附件时,就会被感染。该蠕虫会在受害者机器上建立smtp服务,用于更大范围的传播。该蠕虫允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows下面。
(9)googletoolbarnotifier.exe
是Google工具栏的伴随产品。要启用工具栏的搜索设置通知程序功能,需要此可执行程序。
(10)ieuser.exe
IE7进程。
(11)iexplore.exe
是microsoftinternetexplorer的主程序。这个微软windows应用程序让你在网上冲浪,和访问本地interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是avant网络浏览器的一部分,这是一个免费的基于internetexplorer的浏览器。
注意:iexplore.exe也有可能是木马.killav.b病毒,该病毒会终止你的反病毒软件,和一些windows系统工具。正常的进程应该是在\programfiles\internetexplorer和system32\dllcache下面.
(12)livesrv.exe
BitDefenderProfessional杀毒软件在线升级程序。BitDefenderProfessional是罗马尼亚的一款杀毒软件,它将为您的计算机提供最大的保护,它具有功能强大的反病毒引擎以及互联网过滤技术。
(13)lsass.exe
是一个关于微软安全机制的系统进程,主要处理一些特殊的安全机制和登录策略。
(14)lsm.exe
一个用来管理计算机的终端服务器连接的新进程(即“本地会话管理器”)。
(15)notepad.exe
是windows自带的记事本程序。是windows默认用来打开和编辑文本文件的程序。
(16)realsched.exe
是RealNetworks产品定时升级检测程序.
(17)searchindexer.exe
为文件、电子邮件以及其他内容(通过可扩展性API)提供内容索引和属性缓存。该服务响应文件和电子邮件通知,从而对已修改的内容编制索引。如果该服务已停止或被禁用,资源管理器将无法显示项目的虚拟文件夹视图,在资源管理器中搜索将回退为速度较慢的逐项搜索。
(18)services.exe
是微软windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。
注意:services也可能是w32.randex.r(储存在%systemroot%\system32\目录)和sober.p(储存在%systemroot%\connectionwizard\status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除.
(19)sidebar.exe
vista边栏
(20)slsvc.exe
Microsoft软件授权服务。
(21)smss.exe
是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。
注意:smss.exe也可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32下面.
(22)spoolsv.exe
用于将windows打印机任务发送给本地打印机。
注意:spoolsv.exe也有可能是backdoor.ciadoor.b木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32下面。如果出现在spoolsv目录下,则可能一些ie插件的文件,建议使用反间谍进行扫描。
(23)svchost.exe(8个)
是一个属于微软windows操作系统的系统程序,用于执行dll文件。这个程序对你系统的正常运行是非常重要的。
注意:svchost.exe也有可能是w32.welchia.worm病毒,它利用windowslsass漏洞,制造缓冲区溢出,导致你计算机关机。请注意此
进程的名字,还有一个病毒是svch0st.exe,名字中间的是数字0,而不是英文字母o。请注意此进程所在的文件夹,正常的进程应该
(24)system
是windows页面内存管理进程,拥有0级优先。
(25)systemIdleprocess
它更多用于是显示剩余的cpu资源情况。无法删除该进程。
(26)taskeng.exe(2个)
任务计划引擎。
(27)taskmgr.exe
用于windows任务管理器。它显示你系统中正在运行的进程。该程序使用ctrl+alt+del打开,这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
(28)vsserv.exe
是BullGuard网络安全套装和BitDefender反病毒软件相关程序。
(29)wininit.exe
Windows启动应用程序。
(30)winlogon.exe
是windows域登陆管理器。它用于处理你登陆和退出系统过程。该进程在你系统的作用是非常重要的。
注意:winlogon.exe也可能是w32.netsky.d@mm蠕虫病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建smtp引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32下面.
(31)wuauclt.exe
是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使你无法得到最新更新信息。
(32)xcommsvr.exe
是BitDefender反病毒产品相关程序
附2常见进程:
agrsmsvc.exe:Agere调制解调器进程。
audiodg.exe:Windows音频设备图形隔离程序
BTTray.exe:Widcomm公司蓝牙相关产品在系统托盘的进程
btwdins.exe:是为了微软Windows操作系统支持蓝牙技术的程序
csrss.exe:客户端服务子系统,用以控制Windows图形相关子系统
dmhkcore.exe:是微软microsoftwindowsmediaplayer10播放器的相关程序。
explorer.exe:Windows资源管理器,可以说是Windows图形界面外壳程序是一个有用的系统进程
ieuser.exe:专门帮助IE打理需要普通用户权限的进程
iexplore.exe:是MicrosoftInternetExplorer的主程序
IMSSync.exe:IntelMedia播放器的进程。
lsass.exe:是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略
lsm.exe:本地会话管理器服务
mobsync.exe:是InternetExplorer相关程序,用于同步离线网页
MSASCui.exe:WindowsDefender(原名WindowsAntiSpyware)是微软出品的一款反间谍软件的产品
realsched.exe:是RealPlayer自动升级程序
Richvideo.exe:是cyberlink公司的视频处理软件程序
rthdvcpl.exe:是声音控制面板程序searchindexer.exe:MirosoftWindowsVista桌面搜索索引程序
services.exe:是微软Windows操作系统的一部分。用于管理启动和停止服务
sidebar.exe:描述WindowsVista侧边栏程序
slsvc.exe:Microsoft软件授权(licensing)技术提供所需的API服务
smss.exe:这是一个会话管理子系统,负责启动用户会话
spoolsv.exe:用于将Windows打印机任务发送给本地打印机
svchost.exe:是一个标准的动态连接库主机处理服务
taskeng.exe:任务计划程序引擎
taskmgr.exe:Windows任务管理器进程
viivmonitor.exe:基于英特尔®欢核™处理器技术的电脑所用的显示进程
wininit.exewindows启动应用程序
conime.exe输入法程序(ConsoleIME)
可能还有其它进程(包括你的杀毒软件)(建议你刚开机后查看进程)
然后在网上查这种木马的专杀,下载。
3.杀毒。
我建议在安全模式杀(这样木马可能不运行,且易查杀)。
方法:开机(刚按下电源)---马上按F8键---选择安全模式(不带网络连接)---确定进入。进入后,你在开始---运行----msconfig---确定。在‘启动’选项卡中把除系统外的项都去掉勾(哪些是安全的你在网上查一下),并且记录下相关可疑项名称。
运行你的专杀工具,一个一个来,有耐心。
4.检查启动项。
下面是启动项位置:
系统启动项汇总(病毒常添加的启动项的位置)2008-09-2323:13系统修复工具:http://549612431.qupan.com/323600.html
Process.Explorer11查看进程工具:
http://549612431.qupan.com/244348.html
一.文件夹启动位置:
1.C:\DocumentsandSettings\用户名\「开始」菜单\程序
2.C:\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动
二.注册表(开始--运行---输入regedit)加载的启动项:
1.Run:
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run(病毒喜欢光顾的地方)
c.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
d.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
e.HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\run(不常见)
2.RunOnce:
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
3.RunServicesOnce:(启动服务:在用户登录前启动)
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
4.RunServices:
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
b.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
(注:与3相同点:两者都在用户登录之前,不同点:RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行。)
5.Load:
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows右侧添加load字符串值,值为要启动程序的路径.(在HKEY_LOCAL_MACHINE中无用)
6.Winlogon:
a.HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon(下面新建Notify、Userinit值项不起作用,shell有用,但加载的程序运行后,explorer.exe不运行,要手动开启;)
b.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
(注:右侧的"shell"的值"Explorer.exe"后加载恶意程序启动项,还有"userinit"在值为"C:\WINDOWS\system32\userinit.exe,"后添加恶意程序启动.userinit.exe文件丢失或其相关注册表键值错误将导致不能正常登录系统)
c.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify下新建项值可以(如:解决更新系统后,右下角托盘的五角形就是注册表中添加wgalogon项和基相关项值)
7.ShellServiceObjectDelayLoad:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
8.Scripts:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts(右侧添加自启动项)
8.AppInit_DLLs:(一些病毒的DLL模块,利用它开机自启动,有时还会把此文件类型更改,正常的类型是REG_SZ值为空)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows
三.系统配置文件:在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也会加载一些自动运行的程序。在开始--运行--输cmd--确定---再输入对应配置文件名称,如win.ini----点键盘上enter键打开)
1.Win.ini:
"load"后面的程序在自启动后最小化运行,而“run=”后程序则会正常运行.
2.System.ini:
"shell"=Explorer.exe(正常)"shell"=Explorer.exe+其它程序名或者"shell"=直接指定病毒程序路径.
3.wininit.ini:
Windows启动时自动执行后会被自动删除,这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成,
(注:或者运行msconfig在里面看)
四.组策略中开/关机/登录/注销脚本
在Windows2000/XP中,单击“开始→运行”,输入gpedit.msc回车可以打开“组策略编辑器”,在左侧窗格展开“本地计算机策略→用户配置→管理模板→系统→登录”,然后在右窗格中双击“在用户登录时运行这些程序”,单击“显示”按钮,在“登录时运行的项目”下就显示了自启动的程序.
五.任务计划:(可以自行添加自启动项)
c:\windows\tasks\文件夹中后缀为.job为计划任务.一个JOB代表一个计划任何.病毒一般使用隐藏.JOB文件来达到秘密运行病毒或破坏系统文件的目的.
然后你检查有没有我们之前记下的可疑名称。有的删除。
最后提醒一句:电脑不会自动没问题,也不会自动有问题,你要自己试着探索解决,在百度搜索。积累经验,自己以后也可独立解决问题。
祝你解决问题。
trojan.agent.17979 是什么病毒trojan.agent.17979是什么病毒?这个是随着游戏被打包的故意新增的病毒重新换一个正规网址下一遍就好
Trojan.DL.Agent.kjh,Trojan.DL.Agent.ftt是什么病毒?我遇到的情况和你的相似。病毒的路径都是曾经在网上下载的压缩软体。删除了优惠感染别的压缩软体。瑞星防毒软体提示要解压缩后手动删除,可是,怎么删除呢?
Trojan.Agent.blk和Trojan.DL.Agent.haj是什么病毒?国外的卡巴最好~~
国产的防毒上江民最强~引擎好~可以脱2壳
瑞星只能脱一种~
金山是垃圾~~防毒差~~
此病毒Trojan.Agent.eve是什么病毒?木马了....
Trojan就是木马了.........
你进安全模式就可以杀了啊~~~
就是开机的时候一直点F8键,然后让你选则可以进安全模式。然后再杀,一定能杀掉的。
Trojan.Agent.l是什么病毒是木马,用spy在安全模式下查杀就可以了.
Trojan.Agent.xwe是什么病毒?1、重启计算机进入安全模式
2、开启控制面板的“新增删除程式”,找到windirected2.0,解除安装
3、在安全模式下,开启控制面板的Inter选项——删除档案(操作时选中“删除所有离线内容”复选框)
4、在安全模式下删除以下资料夹
C:\Windows\System32\mscache
C:\Windows\System32\msi
5、重启计算机到正常模式,再用防毒程式全盘防毒.
如果这样还不行,那你就下载一个Ewido.
最新的木马查杀软体ewido-setup_4.0.0.172c中文!自动更新!不返弹!
下载地址::hi.baidu./zhaodx/blog/item/bdc08810b7e53001213f2e42.
瑞星防毒软体监控程式(工作列中图示是“绿色雨伞”)包括如下几个监控模组:实时监控包括:档案监控、记忆体监控、邮件传送监控、邮件接收监控、网页监控、登录档监控、引导区监控、漏洞攻击监控。
监控模组没有成功载入或者计算机监控图示呈现黄色或者红色,如果工作列中有监控图示,请您首先手动启动监控程式:滑鼠右键单击瑞星实时监控图示(工作列中右下角的小雨伞),在弹出的选单中选择【开启所有监控】.
若仍有问题,主要有几个可能,请根据情况,参考如下情况进行操作:
一.计算机病毒:请您手动启动实时监控,使用最新版本防毒软体全盘防毒;
二.软体冲突:如果安装桌面主题修改软体(StyXp,变脸王等),请您解除安装,并恢复Windows预设登陆设定.
如果安装"超级解霸V8",请您及时安装该软体的sp2补丁;
三.实时监控程式档案丢失:
请修复瑞星防毒软体:
1.在显示器萤幕左下方点选"开始"-"程式"-"瑞星防毒软体"-"新增删除元件";
2.选择"修复";
3.点选“下一步”..."完成".
四.服务没谐晒?釉?
重新载入服务方法:
1.右键点选"我的电脑"选择"管理";
2.选择"服务与应用程式"-"服务";
3.查询服务"RisingProcessCommunicationCenter"和"RsRavMonService";
4.右键点选服务,选择"启动"或者"重新启动".
五.实时监控安装异常:
请解除安装后重新安装,方法如下:
1.在显示器萤幕左下方点选"开始"-"程式"-"瑞星防毒软体"-"新增删除元件";
2.预设选择"新增/删除";
3.去掉勾选"瑞星监控中心",按照提示点选"下一步"..."完成".
4.重复1.2步;
5.选中所有程式,按照提示点选"下一步"..."完成".
六.启动项冲突:
参考解决方法:
1开启瑞星防毒软体主介面
2选择主介面左下方的标签『瑞星工具』-『登录档修复工具』-『登录档启动项』;
3去掉启动程式的勾选,仅保留“Ravtask”的程式;
4重新启动计算机(建议此方法在安全模式下操作);
在安全模式下,您只能访问基本档案和驱动程式(滑鼠、监视器、键盘、大容量储存器、基本视讯、预设系统服务,并且不连线网路)。
安全模式登陆方法:
1.依次单击“开始”、“关机”,然后在下拉列表中,单击“关机”。
2.在“关闭Windows”对话方块中,单击“重新启动”,然后单击“确定”。
3.在看到讯息“选择启动作业系统”后,请按F8。
4.使用箭头键高亮显示适当的安全模式选项,然后按ENTER。
5.如果有双启动或多启动系统,请利用箭头键选择需要访问的安装,然后按Enter。
注:此操作不会影响系统的正常使用,如果您需要重新载入启动项,可以按照以上步骤对启动程式进行勾选。
Trojan.Agent.zay是什么病毒装好防毒软体,推荐使用bitdefender,这个效果很好的。
Trojan.Agent.ddj是什么病毒病毒一般解决方案(原创)
首先建议使用最新的专业防毒软体和木马专杀工具Ewido4.0和卡巴斯基等进行处理,如遇防毒软体被禁用或防毒失败或一开机就重新出现的情况:(如果是IE上网浏览的问题及其他与IE有关问题,先阅读步骤4!!)
1.开启windows工作管理员,察看是否有可疑的程序(可以根据防毒软体的报告或者在网上搜索相关资讯来判定)在执行,如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒,有可能一个dll档案在执行,他才可能是病毒或恶意程式之类的东西。由于windows工作管理员不能显示程序的路径,因此建议使用防毒软体自带的程序察看和管理工具来查询并中止可疑程序。然后设法找到病毒程式档案(主要是你所中止的病毒程序档案,另外先在资源管理器的资料夹选项中,设定显示所有档案和资料夹、显示受保护的档案,再察看如system32资料夹中是否有不明dll或exe档案,C:\ProgramFilesC:\DocumentsandSettings\user\LocalSettings\TemporaryInterFilesC:\DocumentsandSettings\user\LocalSettings\Temp等处是否有不明档案或病毒程式档案),然后删去,搞清楚是否是系统档案再动手。
2.有些病毒程序终止不了,提示“拒绝访问”,或者出现“屡禁不止”的情况。根据我的经验,有三种办法供尝试:
A.可能是某些木马病毒、流氓软体等注册为系统服务了。办法是:察看控制面板〉管理工具〉服务,看有没有与之相关的服务(特别是“描述”为空的)在执行,把它停止。再试着中止病毒程序并删除。
B.你可以尝试安全模式下(开机后按F8选安全模式)用防毒软体处理,不行则再按步骤1和2A试一试。
C.(慎用)使用冰刃等工具,察看病毒程序的执行绪资讯和模组资讯,尝试结束执行绪和解除模组,再试着删除病毒程序档案和相应的模组。(慎用)
3.如果稍微懂得登录档使用的,可以再把相关的登录档键值删除。一般方法:开始〉执行,输入regedit,确定,开启登录档编辑器。编辑〉查询,查询目标为病毒程序名,在搜寻结果中将与之有关的键值删除。有时这样做不能遏止病毒,还应尝试使用步骤2中方法。
4.某些病毒会劫持IE浏览器,导致乱弹网页的状况。建议用金山毒霸的金山反间谍2006等修复工具。看浏览器辅助物件BHO是否有可疑专案。有就修复它。修复失败时参照1、2来做。
5.其他提示:为了更好的操作,请先用优化大师或超级兔子清理所有临时档案和上网时的快取档案。一般病毒往往在临时资料夹Temp中,这样做可以帮你更快找到病毒档案。
开始〉执行,输入msconfig,确定,可以开启“系统配置实用程式”。选择“启动”,察看开机时载入的程式,如果在其中发现病毒程式,可以禁止它在开机时载入。不过此法治标不治本,甚至对某些程式来说无效。还是要按步骤1、2办。
6.说了这么多,不过有时还是不能解决。只好请教高人或格式化重做系统了,当然不推荐后者!
病毒一般解决方案(原创)转载请注明原作者恋曲2010
中了trojan.agent.apyj 怎么杀使用金山网盾,百度搜索金山网盾,打开点击一键修复,清理掉正在运行的病毒进程。然后点击"免费杀毒",安装金山毒霸2011后全盘彻底杀毒
注意,360会拦截金山网盾安装,如果你有360,请先打开360木马防火墙,点击进程防火墙的已开启按钮暂时关闭
(如发现网盾不能扫描,请在任务栏右键退出360的托盘)
TrojanDropper.Agent.NYN是什么病毒,如何清除手工清除隐藏的病毒和木马
检查注册表
注册表一直都是很多木马和病毒“青睐”的寄生场所,注意在检查注册表之前要先给注册表备份。
1、检查注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice,查看键值中有没有自己不熟悉的自动启动文件,扩展名一般为EXE,然后记住木马程序的文件名,再在整个注册表中搜索,凡是看到了一样的文件名的键值就要删除,接着到电脑中找到木马文件的藏身地将其彻底删除。
2、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main中的几项(如LocalPage),如果发现键值被修改了,只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。
3、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来,很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。
检查你的系统配置文件
其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe),在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini,并且可以选择启动系统的时间。
1、检查win.ini文件(在C:\windows\下),打开后,在?WINDOWS?下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。在一般情况下,在它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。
2、检查system.ini文件(在C:\windows\下),在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,然后你就要在硬盘找到这个程序并将其删除了。
关于bitdefender agent到此分享完毕,希望能帮助到您。