木马Dropper清除方案

　　Trojan-Dropper.Win32.Agent该病毒运行后，衍生病毒文件到系统目录下。添加注册表启动项，以达到开机加载病毒体的目的。连接某网址:update.*****.cn(***.208.170.72) ，jump.*****.cn:80(***.241.97.33)。下载病毒文件到本机运行，添加系统服务项，插入IE的BHO对象。并衍生文件到%System32\Drivers%目录下，造成卸载困难。

　　清除方案:

　　1、建议使用安天木马防线可彻底清除此病毒(推荐)

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

　　(1) 使用安天木马防线“进程管理”关闭病毒进程

　　cdnup.exe

　　(2) 删除病毒衍生文件

　　%Program Files%\CNNIC\

　　%WINDOWS\system32%\cdndisp.tmp

　　%WINDOWS\system32%\cdnns.dll

　　%WINDOWS\system32%\cdnprot.dat

　　%WINDOWS\system32\drivers%\cdnprot.sys

　　%Documents and Settings\用户名\Local Settings\Temp\%1C\

　　(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CdnCtr 键值: 字符串:"%ProgramFiles%\CNNIC\Cdn\cdnup.exe"

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 键值: 字符串: “%programfiles%\cnnic\cdn\cdnforie.dll”

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cdnprot\DescriptionName 键值: 字符串: "cdnprot"

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cdnprot\ImagePath 键值: 类型: REG_EXPAND_SZ 长度: 29 (0x1d) 字节 system32\drivers\cdnprot.sys.