Trojan.win32.Agent.ppo病毒

怎样彻底清除病毒Trojan.Win32.Agent.ppv和Trojan.Win32.Agent.ppo~

不知道你电脑装的是什么系统，不过可以看出你中的病毒有幕后黑手，什么意思呢？就是你的系统启动项里有非系统的恶意启动项，它们本身不是病毒，可能是木马 间谍程序 广告软件之类．它们在运行的过程中不停的放毒，导致你的瑞星疲于奔命，怎么重启都有就不奇怪了．
方法：点击电脑左下角的开始，在运行中输入msconfig,出来一个系统配置使用程序，点最后的启动，这里是启动项管理，把除CTFMON（XP的输入法）和瑞星的启动项留下，其于全部把对号点没，再点击应用确定，然后重启．重启后再进去看看，把对号取消的启动项是否自动恢复了，如果自动恢复了，说明是恶性的木马．干脆到安全模式或者DOS下，用DOS命令删除．都不行建议用金山清理专家的文件粉碎器强制删除释放病毒的启动项文件．相信可以斩草除根

Trojan-Downloader这个在定义上算是木马，实际上只是一个下载者，这个东西运行后本身不会对系统造成破坏，不过会自动从网上下载其他的木马病毒回来在你的机器上运行。。。。。。。。是很危险邪恶的东西。可以上网寻找“下载者监视器”结束掉，一般杀毒软件都可以清除的，因为这种东西一本没有对自身进行什么反查杀行为，除非进行了加密。如果进行了加密杀毒软件就无法发现。看你的情况绝对没问题

Trojan系列病毒 (特鲁伊木马病毒)具体的查杀办法

特洛伊木马！

这种病毒怎么清除? 特洛伊木马（Trojan horse）
完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒，但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客病毒。
特洛伊木马是如何启动的
1. 在Win.ini中启动
在Win.ini的[windows]字段中有启动命令"load＝"和"run＝"，在一般情况下 "＝"后面是空白的，如果有后跟程序，比方说是这个样子：
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了，这个file.exe很可能是木马哦。
2.在System.ini中启动
System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!
另外，在System.中的[386Enh]字段，要注意检查在此段内的"driver＝路径\程序名"这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。
3.利用注册表加载运行
如下所示注册表位置都是木马喜好的藏身加载之所，赶快检查一下，有什么程序在其下。
4.在Autoexec.bat和Config.sys中加载运行
请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在Autoexec.bat和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心。
5.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Windows自动生成，在执行了Win.com并加截了多数驱动程序之后
开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。
6.启动组
木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
7.*.INI
即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
8.修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马，老外的木马大都没有这个功能)，比方说正常情况下TXT文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开，如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值，将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l"，这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，现在却变成启动木马程序了，好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP.COM等都是木马的目标，要小心搂。
对付这类木马，只能经常检查HKEY_C\shell\open\command主键，查看其键值是否正常。
9.捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。
10.反弹端口型木马的主动连接方式
反弹端口型木马我们已经在前面说过了，由于它与一般的木马相反，其服务端 (被控制端)主动与客户端 (控制端)建立连接，并且监听端口一般开在80，所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时，最新的天网防火墙(如我们在第三点中所讲的那样)，因此只要留意也可在网络神偷服务端进行主动连接时发现它。
WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木马（Trojan horse）
的解决方案:
WORM_NUGACHE.G(威金)

专杀：木马清道夫

RootKit.Win32.Agent.fq和Trojan.Win32.Agent.bkb病毒(特鲁伊木马病毒)的查杀方法（补充帖）：http://hi.baidu.com/%B6%AD%C0%D7%D3%C2/blog/item/1563d2269d750c158b82a132.html

上述几套方案无效的情况建议楼主使用最终的杀手锏---AVG7.5！

AVG就是AVG Anti-Spyware反木马软件一款优秀的木马专杀软件，这是AVG官方指定的销售网站的介绍和下载地址，下载下来可以使用1个月，到期之后要想继续使用除了购买正版，还可以把这个卸载，再到这个网站下载安装1年升级期的AVG，一样的版本，你可以再继续使用一个月了，^_^ 用完两个月，再想用只有买正版（当然你不甘心）或则找盗版序列号了。
这是下载地址：http://www.rj100.com/?fsid=71&id=3371
这是太平洋电脑网上关于怎么使用AVG的文章的链接：
http://www.pconline.com.cn/pcedu/soft/virus/safe/0706/1032597.html

我今天也中了这个病毒，手动删除不了，格式化C盘后安装卡巴，升级，全盘扫描，删除了。
格式化C盘后我D、E、F、G都没有去动过
直接USB（无病毒）驱动打好连网，升级卡巴，重新启动电脑后全盘扫描
其他4个盘里扫描出了89个病毒
大部分是这个特洛依木马
还有几个蠕虫就无法考证

必须在dos环境删除，或者使用冰刃（iceword)删除。

http://zhuansha.duba.net/255.shtml
这个是灰鸽子，用专杀工具在安全模式中查杀

---

Trojan.win32.Agent.ppo病毒视频