[求助]downloader.troian,是何病毒.如何处理 ...谢谢

Downloader.Trojan
发现时间： 2002.04.04
上次更新时间： 2004.03.30
也称为:  TrojanDownloader.Win32.GetFiles [KAV], TrojanDownloader.Win32/Erom [RAV], Downloader.w [DRS]
类型:  Trojan Horse
感染长度:  varies
受影响的系统:  Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
未受影响的系统:  Macintosh, OS/2, UNIX, Linux
广度
感染数量: 0 - 49
站点数量: 0 - 2
地理分布: 低度
威胁遏制: 容易
消除威胁能力: 容易
威胁度量
广度:低度
损坏程度:低度
分发:低度
Downloader.Trojan 是从远程 Internet 站点下载其他恶意程序并在本地系统执行的程序。
各种蠕虫和后门特洛伊木马使用 Downloader.Trojan 通过 Internet 进行自我传播。 这样，Downloader.Trojan 会访问各种站点并从中进行下载。
此类网站和下载的特洛伊木马有：
网站：www.alibabanet.net
特洛伊木马： Backdoor.IRC.Aladinz
网站：www.starsea.as.ro
特洛伊木马：IRC.Momma.Worm
网站： www.kamerali.com
特洛伊木马：W32.Ronoper.Worm
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下，许多操作系统会安装不危险的辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们，就减少了混合型威胁用于攻击的途径，并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务，请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序，特别是在运行公共服务并可通过防火墙进行访问的计算机上，如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码，即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件（如 .vbs、.bat、.exe、.pif 和 .scr）的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补，访问受到安全威胁的网站也会造成感染。
以下指导适用于所有当前和最新的赛门铁克防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
禁用系统还原 (Windows Me/XP)。
更新病毒定义。
将计算机重启到安全模式或者 VGA 模式。
运行完整的系统扫描，并删除所有检测为 Downloader.Trojan 的文件。
删除引用木马文件的注册表值。
有关每个步骤的详细信息，请阅读以下指导。
禁用系统还原（Windows Me/XP）
如果您运行的是 Windows Me 或 Windows XP，建议您暂时关闭“系统还原”。此功能默认情况下是启用的，一旦计算机中的文件被破坏，Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清除了所有其他位置的受感染文件。
此外，病毒扫描可能还会检测到 System Restore 文件夹中的威胁，即使您已将该威胁删除。
有关如何关闭系统还原功能的指导，请参阅 Windows 文档或下列文章之一：
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
--------------------------------------------------------------------------------
注意：蠕虫移除干净后，请按照上述文章所述恢复系统还原的设置。
--------------------------------------------------------------------------------
有关详细信息以及禁用 Windows Me 系统还原的其他方法，请参阅 Microsoft 知识库文章：病毒防护工具无法清除 _Restore 文件夹中受感染的文件，文章 ID：CH263455。
更新病毒定义
赛门铁克安全响应中心在我们的服务器上发布任何病毒定义之前，会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义：
运行 LiveUpdate（这是获取病毒定义的最简便方法）：这些病毒定义被每周一次（通常在星期三）发布到 LiveUpdate 服务器上，除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义，请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义：智能更新程序病毒定义会在工作日（美国时间，星期一至星期五）发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义，请参考病毒定义（智能更新程序）。
现在提供智能更新程序病毒定义：有关详细说明，请参阅如何使用智能更新程序更新病毒定义文件。
将计算机重启到安全模式或者 VGA 模式
請关闭计算机，等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式
Windows 95/98/Me/2000/XP 用户：将计算机重启到安全模式。所有 Windows 32-bit 操作系统，除了Windows NT，可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
Windows NT 4 用户：将计算机重启到 VGA 模式。
扫描和删除受感染文件
启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品：请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果检测到任何文件被 Downloader.Trojan 感染，请单击“删除”。
从注册表中删除值
--------------------------------------------------------------------------------
注意：对系统注册表进行任何修改之前，赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错，严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示，请阅读「如何备份 Windows 注册表」文件。
--------------------------------------------------------------------------------
单击“开始”，然后单击“运行”。（将出现“运行”对话框。）
键入 regedit 然后单击“确定”。（将打开注册表编辑器。）
导航至以下各键：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右窗格中，删除所有指向感染了 Downloader.Trojan 的文件的值。
退出注册表编辑器。