手机版影音先锋播放器下载:请问Win -Trojan/Agent.14336.F是什么病毒？它有什么危害？如何查杀？谢谢！

名称 1Win-Trojan/Agent.14336.F
种类 1特洛伊木马 类型 1Windows文件
特定发作日 1
最初发现日 1 国内发现日 1
症状
1Win-Trojan/Agent.14336.F 是隐蔽性恶性代码. 这个特洛伊木马对代理服务器以及转发
邮件的症状. 试图连接特定 IRC 服务以及P2P 服务器. 运行后把自身复制到 Windows
系统目录下以 dx32cxlp.exe 创建，并生成 dx32cxel.sys 文件. 而后隐蔽以 dx32cx
开始的进程, 文件以及文件夹还有注册表的信息，防止用户被察觉.

内容
1* 感染对象以及传播方法

这个特洛伊木马没有自行传播功能，是通过这个特洛伊木马的变种 Win32/MyDoom.worm蠕虫来从特定主机下载. 这个特洛伊木马也有类似的症状.

* 运行后症状

装入到特定主机的特洛伊木马用以下名字运行并在 Windows 系统目录下生成驱动(*.sys)文件.

注) windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me
C:\Windows\System, windows NT/2000, C:\WinNT\System32, windows XP是
C:\Windows\System32 文件夹.

- dx32cxlp.exe : (243,712 bytes), 自动解压运行方式，是特洛伊木马本体
- dx32cxel.sys : (7,680 bytes), 以系统驱动文件方式，并有隐藏功能.

特洛伊木马确认以下注册表信息后保存到该文件夹里. 复制的蠕虫系统启动时自动运行.

HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Explorer\
Shell Folders
Common Startup = C:\Documents and Settings\All Users\开始」菜单\程序\开始程序

而且登录到以下注册表里. 可能是确认特洛伊木马的信息所为.

HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Internet Explorer
mutexname = xDLXGSD
vers = 20000

以线程模式的驱动登录到以下注册表后当系统启动时自动运行.

HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Services\
dx32cxel

特洛伊木马试图连接以下 P2P 服务器.

- 195.245.244.243:4661
- 62.241.53.2:4242
- 81.23.250.167:4242
- 62.241.53.4:4242
- 62.241.53.15:4242
- 69.50.228.50:4646
- 66.192.117.41:4661
- 207.44.206.27:4661
- 207.44.222.47:4661
- 213.158.119.104:4661
- 66.192.117.35:4661
- 66.192.117.36:4661
- 199.218.8.2

包含连接特定 IRC 服务器(端口 TCP/6666, 6668)的以下代码. 为了运行邮件转发和
Proxy 服务功能会打开任意的端口，但是隐蔽功能已打开，所以在本地不会察觉到.

* 隐蔽症状

特洛伊木马利用自身的 dx32cxel.sys 线程模式的驱动来窃取线程 Service Descriptor
Table (SDT)的函数值后来隐蔽自身.

- ZwQueryDirectoryFile
- ZwQuerySystemInformation

包含以下文字列的文件，进程，注册表的值都会隐蔽.

- dx32cx

* 其他症状

特洛伊木马还会更改 Windows XP2的防火墙的注册表值. 修改 HOSTS 文件并防止连接
特定地址. 防止连接的地址一般是防病毒公司的升级地址，或者是在线杀毒地址，以防止自身被删除掉.

注) HOST 文件的地址随 windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me C:\Windows\ System, windows NT/2000, C:\WinNT\System32Drivers\ETC , windows XP是 C:\ Windows\System32Drivers\ETC 文件夹.

- 127.0.0.1 www.avp.com
- 127.0.0.1 www.viruslist.com
- 127.0.0.1 viruslist.com
- 127.0.0.1 www.symantec.com
- 127.0.0.1 networkassociates.com
- 127.0.0.1 secure.nai.com
- 127.0.0.1 downloads1.kaspersky-labs.com
- 127.0.0.1 downloads2.kaspersky-labs.com
- 127.0.0.1 downloads3.kaspersky-labs.com
- 127.0.0.1 downloads4.kaspersky-labs.com
- 127.0.0.1 downloads-us1.kaspersky-labs.com
- 127.0.0.1 downloads-eu1.kaspersky-labs.com
- 127.0.0.1 kaspersky-labs.com
- 127.0.0.1 www.networkassociates.com
- 127.0.0.1 us.mcafee.com
- 127.0.0.1 f-secure.com
- 127.0.0.1 avp.com
- 127.0.0.1 www.sophos.com
- 127.0.0.1 sophos.com
- 127.0.0.1 www.ca.com
- 127.0.0.1 ca.com
- 127.0.0.1 securityresponse.symantec.com
- 127.0.0.1 symantec.com
- 127.0.0.1 mast.mcafee.com
- 127.0.0.1 my-etrust.com
- 127.0.0.1 www.kaspersky.com
- 127.0.0.1 www.f-secure.com
- 127.0.0.1 dispatch.mcafee.com
- 127.0.0.1 update.symantec.com
- 127.0.0.1 nai.com
- 127.0.0.1 www.nai.com
- 127.0.0.1 liveupdate.symantec.com
- 127.0.0.1 customer.symantec.com
- 127.0.0.1 rads.mcafee.com
- 127.0.0.1 trendmicro.com
- 127.0.0.1 liveupdate.symantecliveupdate.com
- 127.0.0.1 www.mcafee.com
- 127.0.0.1 mcafee.com
- 127.0.0.1 viruslist.com
- 127.0.0.1 www.my-etrust.com
- 127.0.0.1 download.mcafee.com
- 127.0.0.1 updates.symantec.com
- 127.0.0.1 kaspersky.com
- 127.0.0.1 www.trendmicro.com
清除方法
1* 使用virusclean for client/server的用户

1. 产品运行后， 通过[升级]按钮或升级文件， 升级最新引擎及补丁文件.
2. 首先指定要检查的驱动器，然后进行检查.
3. 在进程中诊断为恶性代码时， 选择提示窗口中的‘强制推出后进行治疗’
恶性代码退出后，会自动进行治疗（删除）.
4. 进程检查和指定的驱动器检查结束后，会弹出一个治疗窗口.
在这里点击''治疗所有目录''按钮后，治疗（删除）被诊断的恶性代码.
5. 添加及更改过的注册表值会自动修改.

* virusclean online用户

1. 连接到朝华安博士网站(http://www.zvc.com.cn)后运行.
2. 把朝华安博士升级为最新版本.
3. 首先指定要检查的驱动器， 然后点击[开始检查]按钮后开始检查.
4. 在进程中诊断恶性代码时， 选择提示窗口中的''强制结束后治疗''. 从而关闭的恶性代码会自动被治疗（删除）.
5. 进程检查和指定驱动器的检查结束后弹出一个治疗窗口.
在这里点击''治疗所有标题''按钮后， 对诊断的恶性代码开始进行治疗(删除).
6. 添加及更改的注册表值会自动修改.

用木马客星杀 或其他软件

名称 1Win-Trojan/Agent.14336.F
种类 1特洛伊木马 类型 1Windows文件
特定发作日 1
最初发现日 1 国内发现日 1
症状
1Win-Trojan/Agent.14336.F 是隐蔽性恶性代码. 这个特洛伊木马对代理服务器以及转发
邮件的症状. 试图连接特定 IRC 服务以及P2P 服务器. 运行后把自身复制到 Windows
系统目录下以 dx32cxlp.exe 创建，并生成 dx32cxel.sys 文件. 而后隐蔽以 dx32cx
开始的进程, 文件以及文件夹还有注册表的信息，防止用户被察觉.

内容
1* 感染对象以及传播方法

这个特洛伊木马没有自行传播功能，是通过这个特洛伊木马的变种 Win32/MyDoom.worm蠕虫来从特定主机下载. 这个特洛伊木马也有类似的症状.

* 运行后症状

装入到特定主机的特洛伊木马用以下名字运行并在 Windows 系统目录下生成驱动(*.sys)文件.

注) windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me
C:\Windows\System, windows NT/2000, C:\WinNT\System32, windows XP是
C:\Windows\System32 文件夹.

- dx32cxlp.exe : (243,712 bytes), 自动解压运行方式，是特洛伊木马本体
- dx32cxel.sys : (7,680 bytes), 以系统驱动文件方式，并有隐藏功能.

特洛伊木马确认以下注册表信息后保存到该文件夹里. 复制的蠕虫系统启动时自动运行.

HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Explorer\
Shell Folders
Common Startup = C:\Documents and Settings\All Users\开始」菜单\程序\开始程序

而且登录到以下注册表里. 可能是确认特洛伊木马的信息所为.

HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Internet Explorer
mutexname = xDLXGSD
vers = 20000

以线程模式的驱动登录到以下注册表后当系统启动时自动运行.

HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Services\
dx32cxel

特洛伊木马试图连接以下 P2P 服务器.

- 195.245.244.243:4661
- 62.241.53.2:4242
- 81.23.250.167:4242
- 62.241.53.4:4242
- 62.241.53.15:4242
- 69.50.228.50:4646
- 66.192.117.41:4661
- 207.44.206.27:4661
- 207.44.222.47:4661
- 213.158.119.104:4661
- 66.192.117.35:4661
- 66.192.117.36:4661
- 199.218.8.2

包含连接特定 IRC 服务器(端口 TCP/6666, 6668)的以下代码. 为了运行邮件转发和
Proxy 服务功能会打开任意的端口，但是隐蔽功能已打开，所以在本地不会察觉到.

* 隐蔽症状

特洛伊木马利用自身的 dx32cxel.sys 线程模式的驱动来窃取线程 Service Descriptor
Table (SDT)的函数值后来隐蔽自身.

- ZwQueryDirectoryFile
- ZwQuerySystemInformation

包含以下文字列的文件，进程，注册表的值都会隐蔽.

- dx32cx

* 其他症状

特洛伊木马还会更改 Windows XP2的防火墙的注册表值. 修改 HOSTS 文件并防止连接
特定地址. 防止连接的地址一般是防病毒公司的升级地址，或者是在线杀毒地址，以防止自身被删除掉.

注) HOST 文件的地址随 windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me C:\Windows\System, windows NT/2000, C:\WinNT\System32Drivers\ETC , windows XP是 C:\Windows\System32Drivers\ETC 文件夹.

- 127.0.0.1 www.avp.com
- 127.0.0.1 www.viruslist.com
- 127.0.0.1 viruslist.com
- 127.0.0.1 www.symantec.com
- 127.0.0.1 networkassociates.com
- 127.0.0.1 secure.nai.com
- 127.0.0.1 downloads1.kaspersky-labs.com
- 127.0.0.1 downloads2.kaspersky-labs.com
- 127.0.0.1 downloads3.kaspersky-labs.com
- 127.0.0.1 downloads4.kaspersky-labs.com
- 127.0.0.1 downloads-us1.kaspersky-labs.com
- 127.0.0.1 downloads-eu1.kaspersky-labs.com
- 127.0.0.1 kaspersky-labs.com
- 127.0.0.1 www.networkassociates.com
- 127.0.0.1 us.mcafee.com
- 127.0.0.1 f-secure.com
- 127.0.0.1 avp.com
- 127.0.0.1 www.sophos.com
- 127.0.0.1 sophos.com
- 127.0.0.1 www.ca.com
- 127.0.0.1 ca.com
- 127.0.0.1 securityresponse.symantec.com
- 127.0.0.1 symantec.com
- 127.0.0.1 mast.mcafee.com
- 127.0.0.1 my-etrust.com
- 127.0.0.1 www.kaspersky.com
- 127.0.0.1 www.f-secure.com
- 127.0.0.1 dispatch.mcafee.com
- 127.0.0.1 update.symantec.com
- 127.0.0.1 nai.com
- 127.0.0.1 www.nai.com
- 127.0.0.1 liveupdate.symantec.com
- 127.0.0.1 customer.symantec.com
- 127.0.0.1 rads.mcafee.com
- 127.0.0.1 trendmicro.com
- 127.0.0.1 liveupdate.symantecliveupdate.com
- 127.0.0.1 www.mcafee.com
- 127.0.0.1 mcafee.com
- 127.0.0.1 viruslist.com
- 127.0.0.1 www.my-etrust.com
- 127.0.0.1 download.mcafee.com
- 127.0.0.1 updates.symantec.com
- 127.0.0.1 kaspersky.com
- 127.0.0.1 www.trendmicro.com
清除方法
1* 使用virusclean for client/server的用户

1. 产品运行后， 通过[升级]按钮或升级文件， 升级最新引擎及补丁文件.
2. 首先指定要检查的驱动器，然后进行检查.
3. 在进程中诊断为恶性代码时， 选择提示窗口中的‘强制推出后进行治疗’
恶性代码退出后，会自动进行治疗（删除）.
4. 进程检查和指定的驱动器检查结束后，会弹出一个治疗窗口.
在这里点击''治疗所有目录''按钮后，治疗（删除）被诊断的恶性代码.
5. 添加及更改过的注册表值会自动修改.

* virusclean online用户

1. 连接到朝华安博士网站(http://www.zvc.com.cn)后运行.
2. 把朝华安博士升级为最新版本.
3. 首先指定要检查的驱动器， 然后点击[开始检查]按钮后开始检查.
4. 在进程中诊断恶性代码时， 选择提示窗口中的''强制结束后治疗''. 从而关闭的恶性代码会自动被治疗（删除）.
5. 进程检查和指定驱动器的检查结束后弹出一个治疗窗口.
在这里点击''治疗所有标题''按钮后， 对诊断的恶性代码开始进行治疗(删除).
6. 添加及更改的注册表值会自动修改.

用木马客星杀 或其他软件