Worm.Win32.Agent.al

这只。。。有点象MSN蠕虫，又有点不象。。。。

 

这次可能是壳的原因，过了很多。。

 

瑞星、蜘蛛、偌顿、NOD32、Mcafee等都没报

 

不写分析了，行为技术差不多：

 

生成4个启动项

控制Eeplorer和进程管理器,无法对其进行关闭操作

会添加注册表,在防火墙那项的忽略项目,饶过防火墙

连接64.22.79.126 IRC服务器,监听20733端口,等待黑客命令

 

解决方法：

 

1、断开网络，关闭不需要的进程。

 

2、 [url]http://free.ys168.com/?gudugengkekao1[/url] 下载：

 

sreng2.5.zip 780KB

 

PowerRmv.com 101KB

 

3、打开SREng，检查注册表项，有看到：<Windows Bool Service>

 

这个键名的，记住他指向的启动项后删除。

 

我这里指向的是：WinBool32.exe

 

然后，打开PowerRmv，选上抑制杀灭对象生成，填入：

 

C:\Windows\WinBool32.exe

 

确定。

 

如果不是WinBool32.exe，那么病毒名字你自己变更。

 

4、打开注册表，搜索WinBool32.exe，有找到的话删除。

 

5、重启电脑。