关于Trojan.Agent.ams木马的解决教程

因电脑软硬件应用网电脑门诊网友中Trojan.Agent.ams病毒，电脑软硬件应用网编辑收集整合了几篇解决教程，希望能够帮助解决该病毒

文献一：来自360安全卫士论坛

问题提出：
病毒路径：gkjre.sys C:\WINDOWS\system32\drivers 病毒名称：Trojan.Agent.ams
病毒路径：xvdos.dll C:\WINDOWS\system32 病毒名称： Trojan.DL.Inject.tp
瑞星可以查出来，但杀不了，每次都提醒重新启动计算机后删除文件，但每次开机后还有上网扒了好多垃圾，有说在安全模式下删除的，但好多人试了没用求高手指导！

论坛wulm 回答：

安装瑞星卡卡，
打开瑞星卡卡-点系统启动项管理-点服务-点鼠标右键-点删除，删除下列服务
O23 - 未知 - Service: 2007Server [2007远程监控管理.] - - (not running)
O23 - 未知 - Service: Logical Disk Manager Administrator Service [磁盘管理员请求的系统管理服务] - C:\WINDOWS\System32\svchost.exe -k netsvcs - (not running)
O23 - 未知 - Service: Net Monitor [Windows网络监控] - C:\WINDOWS\System32\svchost.exe -k netsvcs - (not running)
O23 - 未知 - Service: Performance Monitor [Windows性能监控] - C:\WINDOWS\System32\svchost.exe -k netsvcs - (not running)

最后使用杀毒软件扫描，杀毒。

网友回馈：已经完全清除！

文献二：来自木蚂蚁社区

问题提出：

中了Trojan.Agent.ams,瑞星提示重启后自动删除,可是重启后仍然存在.来看看啊！病毒在系统文件夹里，在drive里的一个叫ejeck的程序．瑞星提示为：Trojan.Agent.ams,重启后自动删除,可是重启了还是有啊! 刚刚扫了一个日志上来,请大家帮我看看啊,怎么杀掉它!谢谢啊!（这里日志略）

论坛effenberg 回答：

进入安全模式
用sreng（下载地址: http://down.45it.com）

启动项＝》注册表
编辑:Userinit><C:\WINDOWS\system32\Userinit.exe>
为:Userinit><C:\WINDOWS\system32\Userinit.exe,>(加个逗号)

删除(如果删除不了请禁止)服务[Win32服务应用程序=>删除服务=>设置(如果删除不了Win32服务应用程序=>修改启动类型Disabled=>设置)
[ClipManage / MouTALS][Running/Auto Start]
  <C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\ECJFE.DLL,Export 1087><N/A>
[Distributed Console Manager / Trial][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\xmovb.dll><Microsoft Corporation>
[Win32 Display Driver / Win32DDS][Stopped/Auto Start]
  <C:\WINDOWS\system32\\rundll32.exe windds32.dll,input><Microsoft Corporation>
[Win32 DHCP Service / Win32DHCPsvc][Stopped/Auto Start]
  <C:\WINDOWS\system32\rundll32.exe windhcp.dll,start><Microsoft Corporation>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
  <C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
[WinXP DHCP Service / WinXPDHCPsvc][Stopped/Auto Start]
  <C:\WINDOWS\system32\rundll32.exe xpdhcp.dll,start><Microsoft Corporation>

禁止或者删除驱动服务
[ejkl / ejkle][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\ejkle.sys><N/A>

删除文件：（删除文件前先取消所有隐藏。如删除不了，可以用Killbox删除。如果找不到文件，可以直接在killbox输入路径删除。下载地址: http://down.45it.com）
C:\WINDOWS\SYSTEM32\WBEM\ECJFE.DLL
C:\WINDOWS\system32\xmovb.dll
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\windhcp.dll,
C:\WINDOWS\system32\windhcp.ocx,
C:\WINDOWS\system32\xpdhcp.dll
C:\WINDOWS\System32\DRIVERS\ejkle.sys
C:\WINDOWS\system32\qdkez.dll

PS：

C:\WINDOWS\system32\qdkez.dll加载到Explorer进程里了.
到下载地址: http://down.45it.com下载Icesword.
打开icesword，点击进程－explorer－右键－模块信息－找到C:\WINDOWS\system32\qdkez.dll－强行解除，可能explorer.exe会报错，不用理会,转到icesword的“文件”页面那里,然后把C:\WINDOWS\system32\qdkez.dll删除.

System32\DRIVERS\ejkle.sys

我的电脑=>右键属性=>硬件=>设备管理器=>查看=>显示隐藏的设备=>非即插即用驱动程序
找到上面的项目，右键=>卸载或停用.重启进入安全模式,再删除文件.

用户回馈：感谢effenberg ! 我用ICESWORD,按照你的方法,终于把那个可恶的木马消灭了! 在这过程中也学到了不少知识,再次向你表示感谢!

电脑软硬件应用网编辑PS：以上文章来源请见文献后，对两个解决方法进行了整理和稍微编辑。如因病毒变种或对本教程有疑问请到电脑软硬件应用网病毒求助留言.电脑软硬件应用网地址:www.45its.com 求助留言地址:www.45its.com/mianfeiliuyanban/index.asp?user=Virus,更新解决教程请到电脑软硬件应用网黑客防线频道查看

搜索

关于Trojan.Agent.ams木马的解决教程