【www.hzclsc.cn--网络】

Win32.Troj.Downloader.dg

该病毒为Windows平台下的木马下载器，病毒运行后将自己伪装成系统正常文件以迷惑用户并将自身设为自动启动，当网络资源可用时病毒通过网络下载其它病毒。
病毒主要依靠欺骗方式进行传播。
1、病毒运行后将自身复制为以下伪系统正常程序:
%Windir%\system32\Reglog.exe
2、同时将自身添加为注册表自启动项，使病毒每次开机后自动运行下载其它的病毒:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
reglog = %Windir%\system32\Reglog.exe
3、 网络资源可用时病毒通过网络下载以下可疑程序,下载完毕后运行相应的程序:
http://stat.ad218.com/poi.exe
http://stat.ad218.com/lkj.exe
http://stat.ad218.com/mnb.exe

Win32.Troj.Downloader.au

这是一个下载器,它从网上下载可执行文件并执行。
1、将自身拷贝到%system%目录下，文件名为：svchost.exe
2、修改注册表。通过在HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\system\\ 下创建 DisbaleTaskMgr(值为1)键来禁止运行任务管理器。
3、连接到 http://www.cpu-****.com/mm.exe 上下载可执行文件 mm.exe 到 %Windows% 目录或 %system% 目录下的QQHelp.exe文件中，并执行该文件。

Win32.Troj.Downloader.lk

这是一个下载不明文件的下载器，它能从网上下载不明文件，并运行。
1：复制文件
病毒运行后，把自己复制一份到当前目录下，并命名为like.bug.exe
加上系统与隐藏属性。
2：更改注册表
病毒会更改以下两处注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
默认 - like.bug.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
默认 - like.bug.exe
可能是病毒编写是考虑不全，一但病毒文件不在Windows目录下就无法自动运行。
3：下载不明文件
病毒连接远程服务器*********.3322.org的FTP端口，并尝试下载Tempbug.sys，
保存在C目录下；若下载完成，则运行并复制到下面两个路径下：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Readme.exe
C:\WINDOWS\All Users\Start Menu\Programs\启动\Readme.exe
可能该服务器已经不存在，所以该下载文件无法证实它的安全性。

其他变种症状

多数为木马类病毒，并从网络下载病毒文件并执行后门程序。目前网友反映的症状有：

1、多个进程IEXPLOER.EXE，用户名为SYSTEM，占用大量内存

2、大量exe文件感染，无法清除。瑞星会把你感染的exe文件全部删除，而norton会隔离起来，但是无法清除。

3、qq等密码丢失，这个就是木马的主要功能了。。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

清除方法（注明：因为病毒变种很多，所以不一定能够对所有人适用，但是步骤可作借鉴）

1、关闭系统还原（系统还原点中可能会包含病毒），开始－－运行－－输入 msconfig ，然后把启动项全部清除。

2、大多带毒文件在\Temporary Internet Files目录下 ，
由于这个目录下的文件，Windows 会对此有一定的保护作用，所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭其他一些程序软件，然后打开 IE ，选择IE工具栏中的 工具 \ Internet 选项 ，选择 删除文件 删除即可，如果有提示 删除所有脱机内容 ，也请选上一并删除。

3、重启，狂按F8进无网络连接的安全模式（这个状态只加载系统必须的文件，一般说来病毒不会运行，所以比较好手动删或者杀毒）

4、用卡巴斯基或者norton杀毒（建议不要用瑞星或者毒霸了，不是偏见，而是事实）

  手动清除的话，一般是搜索病毒文件和注册表中不正常键值以及病毒添加的服务，然后删除（不过由于病毒变种繁多，这种清除一般很难清除掉）

（按以上步骤执行后，在此插入清除downloader的具体方法： 因为据说网上流传的 所谓的NVCC Trojan-Downloader.Win32.VB病毒专杀工具 1.0.0.22经我查找后发现下载下来的不是病毒（卡巴斯基在嘶吼），就是页面不存在。 所以还是建议去卡巴斯基下载专杀工具，因为目前有网友反映这个有效，所以可以试一试  http://www.kaspersky.com/removaltools  （这是专杀列表）

 TrojanDownloader.Win32.Agent.a-j 专杀 http://www.kaspersky.com/removaltools？vtopen=146410248#open 

其他专杀工具： http://qmqu.com/frame/frameset-antivirus.html

5、清除不正常的启动项，用超级兔子等工具清理，或者你熟悉注册表的话可以直接清除

6、杀毒完成后，正常进系统（这个时候最好把网线拔了，以防万一），然后取消 光驱等的自动播放功能，插入U盘等移动存储设备，杀毒。或者右键点击 u盘，然后点 打开 ，千万不要双击u盘驱动器打开（因为很多病毒都会搞个autorun.inf在u盘里面），然后手动删除病毒文件。

7、安装防火墙，个人推荐zonealarm，不过稍微要占些资源，上网也会慢点，或者你把系统自带的防火墙安全级别搞高点，这样资源占得少些，但是安全性稍低，因为系统自带防火墙不会监视你机器对外的网络请求样的，所以木马发个什么密码就很轻松了。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

以上步骤基本上对清除所有病毒都有效，建议大家杀毒之前做好心理准备，并且事先在网上搜索足够充分的资料（比如到http://qmqu.com/index.php?option=com_content task=category sectionid=2 id=12 Itemid=7

上可以找到一些这样的原创杀毒心得，另外http://qmqu.com上还有关于数据恢复和预防以及一些软件硬件技巧，找好系统盘（很重要），做好最坏的打算后再开始杀毒

本文来源：http://www.hzclsc.cn/ruanjianzixun/35677.html