Win32.Troj.Agent.991232

这是一个Downloader，能下载并运行黑客事先指定的文件。
1:拷贝文件
病毒运行后，会把自己拷贝到系统目录下
%Window%\\SVCHOST.EXE
%Window%\\MDM.EXE (Win32.Troj.Agent.hc)
2:添加注册表
病毒修改注册表不显示隐藏文件
HKLM\\software\\Windows\\CurrentVersion\\Explorer\\Advanced
Hidden = "0x02"
HKLM\\software\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\ShowAll
CheckedValue = "0x00"
3:添加autorun
病毒会把自己拷贝到每个分区的根目录下,命名为RavMon.exe
并在Aurorun.inf里面添加以下内容
open=RavMon.exe
shell\open=打开(&O)
shell\open\Command=RavMon.exe
shell\explore=资源管理器(&X)
shell\explore\Command="RavMon.exe -e"
使病毒体能自动运行.
4:下载程序
SVCHOST.EXE会每隔3秒运行一次MDM.exe
MDM.exe会下载并运行黑客事前指定的文件

解决方法：升级杀毒软件,到安全模式下杀毒,要是杀不了,依病毒文件的路径,找到病毒文件删了,然后找开注册表,开始--运行--regedit，打开注册表，用光标选取注册表中的“我的电脑”，菜单--编辑--查找，从头到尾查找这件的项目