wyhesm.dll等木马群手工清除解决方案

超级巡警团队提醒广大用户，如果在系统的system32目录中发现mttwfh.dll,wyhesm.dll等其他若干非windows系统文件、而原有的安全工具又都打不开，则表明该系统已经被恶意程序Trojan.Win32.Agent.yak或其相关变种侵入。请使用超级巡警，并升级到最新病毒库，对其进行有效查杀。

一、病毒相关分析：

病毒名称：Trojan.Win32.Agent.yak
病毒类型：木马
危害级别：3
感染平台：Windows
病毒大小：52,580(字节)
S H A 1  ：adf8c8b35f6453645e46a02c3ac320571d48917d
加壳类型：Upack
发工具： Microsoft Visual C++

病毒行为：
1、文件运行后释放以下文件：
%system%/******(84,054 字节)　　　　//******代表随机的6位字母，例：oooooo
%system%/******.tmp(3,328 字节)//******代表随机的6位字母，例：qqqqqq.tmp
文件******会通过创建.PHYSICALDRIVE0直接读写磁盘，使用还原相关工具失效
*.tmp会以驱动形式加载为系统服务，并恢复SSDT，使部份安全工具的主动防御功能失效。

2、映像劫持大量安全工具及调试工具：
DrvAnti.exe、 avp.com、avp.exe、runiep.exe、PFW.exe、FYFireWall.exe、
rfwmain.exerfwsrv.exe、 KAVPF.exe、KPFW32.exe、nod32kui.exe、nod32.exe、
Navapsvc.exe、Navapw32.exe、 avconsol.exe、webscanx.exe、drwebscd.exe、
NPFMntor.exe、vsstat.exe、 KPfwSvc.exe、Ras.exe、RavMonD.exe、mmsk.exe、
WoptiClean.exe、QQKav.exe、 spiderui.exe、QQDoctor.exe、EGHOST.exe、
360Safe.exe、iparmo.exe、adam.exe、 IceSword.exe、360rpt.exe、360tray.exe、
AgentSvr.exe、AppSvc32.exe、 autoruns.exe、avgrssvc.exe、AvMonitor.exe、
CCenter.execcSvcHst.exe、 drwadins.exe、FileDsty.exe、FTCleanerShell.exe、
HijackThis.exe、Iparmor.exe、 isPwdSvc.exe、kabaload.exe、drwebscd.exe、
spiderml.exe、KaScrScn.SCR、 KASMain.exe、KASTask.exe、KAVDX.exe、
KAVPFW.exe、KAVSetup.exe、KAVStart.exe、 drwebupw.exe、spidernt.exe、
KISLnchr.exe、KMailMon.exe、KMFilter.exe、 KPFW32.exe、KPFW32X.exe、
KPFWSvc.exe、KRegEx.exe、spml_set.exe、KRepair.com、 KsLoader.exe、
KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、 KVMonXP_1.kxp、
kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、KVSrvXP.exe、 KVStub.kxp、
kvupload.exe、nod32krn.exe、kvwsc.exe、KvXP.kxp、KvXP_1.kxp、 KWatch.exe、
KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、 mmqczj.exe、
KAV32.exe、nod32krn.exe、PFWLiveUpdate.exe、QHSET.exe、 RavMon.exe、
RavStub.exe、RegClean.exe、rfwcfg.exe、RfwMain.exe、rfwsrv.exe、 RsAgent.exe、
Rsaupd.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、 SREng.EXE、
symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、 TrojDie.kxp、
UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、 UmxFwHlp.exe、
UmxPol.exe、UpLive.exe、procexp.exe、OllyDBG.EXE、OllyICE.EXE、 rfwstub.exe、
RegTool.exe、rfwProxy.exe、RawCopy.exe、CCenter.exe、 regedit.exe、
filemon.exe、regmon.exe、AntiArp.exe、taskmgar.exe、GFUpd.exe、 GFRing3.exe、
GuardField.exe、RavTask.exe、RavCopy.exe、RavXP.exe、 CCenter.exe、
ravstub.exe、ravcopy.exe、rsaupd.exe、sunesnk.exe

3、测试网络，并从以下地址下载最新程序
http://www.*****.com/max.exe
http://www.*****.com/max1.exe
从根据以下文件中的地址下载其他恶意程序：
http://www.mj5640i**.com/praasd.txt
http://www.dvgdfg46**.com/pradaq.txt  

4、其他恶意程序程序运行后会释放以下文件到system32目录下：
apsghjba.dll、 cmonos.dll、crtnumo.dll、ddserh.dll、dearnts.dll、eoceps.dll、
fmcvxy.dll、 follwel.dll、hhrdxd.dll、jacknove.dll、jdsaex.dll、jolinos.dll、keyiftp.dll、
lenowos.dll、manleu.dll、mttwfh.dll、rdmsgl.dll、rmbsony.dll、therbrek.dll、
wklsdd.dll、wrm32.dll、wrqszl.dll、wyhesm.dll、xpsbos.dll、zgtwfx.dll
以上文件大部份为游戏盗号木马程序

二、解决方案

推荐方案：
由于以上提到大量木马程序，手工查杀会相对烦琐，建议使用巡警自动查杀。
安超级巡警用户请升级到最新病毒库，并进行全盘扫描。
超级巡警下载地址：http://www.sucop.com/download/16.html

三、安全建议

1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。
3、使用超级巡警的补丁检查功能，及时安装系统补丁。
4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设  置为可写或可控制。
5、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件，尤其是聊天工具。
8、不要使用IE内核的浏览器。
9、不要随便打开不明来历的电子邮件，尤其是邮件附件。

注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%System，在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它：
%SystemDrive% 　　系统安装的磁盘分区
%SystemRoot% = %Windir% 　　  WINDODWS系统目录
%ProgramFiles%　 　 　　　　应用程序默认安装目录
%AppData%  应用程序数据目录
%CommonProgramFiles%　　 公用文件目录
%HomePath% 　　   当前活动用户目录
%Temp% =%Tmp%  当前活动用户临时目录
%DriveLetter% 　　  逻辑驱动器分区
%HomeDrive% 　　　当前用户系统所在分区