Win32.TrojDownloader.Banload.126976清除

imgbd.scr,Win32.TrojDownloader.Banload.126976是一个典型的木马下载器。它会下载木马，并将它们设置为开机自启动。为防止部分下载地址失效，它所下载的木马被分别放置在多个地址中，下载时分别访问这些地址，以确保木马成功下载。

1.获取系统目录以下载文件到该目录下，下载文件前先查找该目录下是否已存在要下载的文件。

2.访问地址http://voxcards.ig.com.br/cartao.asp?c=8410（已失效，可能是作感染量统计）。

3.到指定地址下载文件，下载地址共12个，每3个一组下载同一个文件；
地址列表如下：
1. http://br.ge****ies.com/logsklb01/imgtd.swf
2. http://br.ge*****es.com/logsklb02/imgtd.swf
3. http://r*****.no-ip.info:81/klb/imgtd.swf
4. http://br.ge*****es.com/logsklb04/mirante.swf
5. http://br.ge*****es.com/logsklb02mirante.swf
6. http://r*****.no-ip.info:81/klb/mirante.swf
7. http://br.ge*****es.com/logsklb03/imgbb.swf
8. http://br.ge*****es.com/logsklb04/imgbb.swf
9. http://r*****.no-ip.info:81/klb/imgbb.swf
10. http://br.ge*****es.com/logsklb02/imgbd.swf
11. http://br.ge*****es.com/logsklb04/imgbd.swf
12. http://r*****.no-ip.info:81/klb/imgbd.swf
下载的文件分别保存为
C:\WINDOWS\System32\imgtd.scr
C:\WINDOWS\System32\mirante.scr
C:\WINDOWS\System32\imgbb.scr
C:\WINDOWS\System32\imgbd.scr

4.在注册表中写入如下项
HKEY_CURRENT_USER\imgtd
HKEY_CURRENT_USER\imgtbd

在注册表如下位置添加值，创建自启动项：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
"imgtd"= x:\WINDOWS\System32\imgtd.scr
"imgbb"= x:\WINDOWS\System32\imgbb.scr
"imgbd"= x:\WINDOWS|System32\imgbd.scr

推荐安装金山毒霸正版的杀毒软件进行全面监控，防范日益增多的病毒

怀疑中毒的用户可使用线查毒进行病毒查证。免费在线查毒地址：
http://www.antidu.cn/board/online/

已经中毒的用户，可以去论坛提问求助
http://bbs.antidu.cn