病毒症状：

杀毒软件被禁用、隐藏文件无法显示、开始命令msconfig无法运行、很多辅助软件也无法运行，运行EXE以及SCR文件后被病毒的感染

手动查杀用到的软件：

SRENG软件以及XDELBOX软件

Quote:

病毒名称：Trojan-Downloader.Win32.Agent.****

病毒类型：木马

病毒MD5：2ccd81d7d358778b11de9303e0097d2d

加壳类型：UPX

编写语言：BorlandDelphi6.0-7.0

病毒运行

生成进程：

Code:

C:WINDOWSsystem32Death.exe

C:WINDOWSsystem32Supervise.exe

释放文件

Code:

C:WINDOWSsystem32Supervise.exe（这个Supervise.exe调用net.exe执行局域网络的感染，并且创建文件：%system32%Death.SiShen，将病毒信息写进此文件）

（此进程还会Supervise.exe开启端口连接网络下载木马！！！真是可恶）

C:WINDOWSsystem32Death.SiShen

C:WINDOWSsystem32Death.exe（这个进程生成Supervise.exe文件）

C:WINDOWSsystem32Death.SiShen

以及每个盘根目录下有ANTO隐藏文件

双击硬盘也会导致病毒运行请大家点右键--打开

修改注册表

Code:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]

"Supervise.exe"="C:WINDOWSsystem32Supervise.exe"

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]

"Death.exe"="C:WINDOWSsystem32Death.exe"

[HKLMsoftwaremicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowall]

"checkedvalue"=dword:00000000

搜索尝试关闭杀毒软件以及辅助软件的窗口

尝试关闭杀毒软件以及辅助软件等进程

搜索感染除系统盘以外的.exe/.scr文件.

受感染的.exe/.scr文件直接被替换..大小为:81,928字节..这样一来所有的.exe/.scr文件全部无法恢复.运行被感染的exe文件后，将释放病毒！

可以通过区域网传播(death.exe)

手动删除方法：

1：关闭系统还原清空IE临时文件夹

2：进安全模式

终止进程Death.exe进程

3：用XDELBOX软件钩上抑制再生后删除以下文件：

Code:

C:WINDOWSsystem32Death.exe

C:WINDOWSsystem32Supervise.exe

C:WINDOWSsystem32Death.SiShen

C:WINDOWSsystem32Death.SiShen

4：打开SRENG软件在启动中删除以下启动：

Code:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]

"Supervise.exe"="C:WINDOWSsystem32Supervise.exe"

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]

"Death.exe"="C:WINDOWSsystem32Death.exe".

------SRENG软件在系统修复--全选--修复

-----或者打开注册表开始运行--REGEDIT-修改项直

HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL，将CheckedValue键值修改为1

------有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了（步骤：删除此CheckedValue键值，单击右键新建——Dword值——命名为“CheckedValue”，修改键值为1）

--重起

------手动删除每个盘下面的AUTO隐藏文件

------重起（不要点被感染的EXE、SCR文件！！）

------安全模式下杀毒软件扫描删除病毒残留感染文件以及配合360修复系统

--重起OK