科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道wyhesm.dll等木马群手工清除解决方案

wyhesm.dll等木马群手工清除解决方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

超级巡警团队提醒广大用户,如果在系统的system32目录中发现mttwfh.dll,wyhesm.dll等其他若干非windows系统文件、而原有的安全工具又都打不开,则表明该系统已经被恶意程序Trojan.Win32.Agent.yak或其相关变种侵入。请使用超级巡警,并升级到最新病毒库,对其进行有效查杀。

作者:卡巴一族 来源:卡巴一族 2008年8月25日

关键字: 木马 mttwfh.dll hhrdxd.dll wyhesm.dll 防病毒

  • 评论
  • 分享微博
  • 分享邮件

超级巡警团队提醒广大用户,如果在系统的system32目录中发现mttwfh.dll,wyhesm.dll等其他若干非windows系统文件、而原有的安全工具又都打不开,则表明该系统已经被恶意程序Trojan.Win32.Agent.yak或其相关变种侵入。请使用超级巡警,并升级到最新病毒库,对其进行有效查杀。

一、病毒相关分析:

病毒名称:Trojan.Win32.Agent.yak
病毒类型:木马
危害级别:3
感染平台:Windows
病毒大小:52,580(字节)
S H A 1  :adf8c8b35f6453645e46a02c3ac320571d48917d
加壳类型:Upack
发工具: Microsoft Visual C++

病毒行为:
1、文件运行后释放以下文件:
%system%/******(84,054 字节)    //******代表随机的6位字母,例:oooooo
%system%/******.tmp(3,328 字节)//******代表随机的6位字母,例:qqqqqq.tmp
文件******会通过创建.PHYSICALDRIVE0直接读写磁盘,使用还原相关工具失效
*.tmp会以驱动形式加载为系统服务,并恢复SSDT,使部份安全工具的主动防御功能失效。

2、映像劫持大量安全工具及调试工具:
DrvAnti.exe、 avp.com、avp.exe、runiep.exe、PFW.exe、FYFireWall.exe、
rfwmain.exerfwsrv.exe、 KAVPF.exe、KPFW32.exe、nod32kui.exe、nod32.exe、
Navapsvc.exe、Navapw32.exe、 avconsol.exe、webscanx.exe、drwebscd.exe、
NPFMntor.exe、vsstat.exe、 KPfwSvc.exe、Ras.exe、RavMonD.exe、mmsk.exe、
WoptiClean.exe、QQKav.exe、 spiderui.exe、QQDoctor.exe、EGHOST.exe、
360Safe.exe、iparmo.exe、adam.exe、 IceSword.exe、360rpt.exe、360tray.exe、
AgentSvr.exe、AppSvc32.exe、 autoruns.exe、avgrssvc.exe、AvMonitor.exe、
CCenter.execcSvcHst.exe、 drwadins.exe、FileDsty.exe、FTCleanerShell.exe、
HijackThis.exe、Iparmor.exe、 isPwdSvc.exe、kabaload.exe、drwebscd.exe、
spiderml.exe、KaScrScn.SCR、 KASMain.exe、KASTask.exe、KAVDX.exe、
KAVPFW.exe、KAVSetup.exe、KAVStart.exe、 drwebupw.exe、spidernt.exe、
KISLnchr.exe、KMailMon.exe、KMFilter.exe、 KPFW32.exe、KPFW32X.exe、
KPFWSvc.exe、KRegEx.exe、spml_set.exe、KRepair.com、 KsLoader.exe、
KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、 KVMonXP_1.kxp、
kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、KVSrvXP.exe、 KVStub.kxp、
kvupload.exe、nod32krn.exe、kvwsc.exe、KvXP.kxp、KvXP_1.kxp、 KWatch.exe、
KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、 mmqczj.exe、
KAV32.exe、nod32krn.exe、PFWLiveUpdate.exe、QHSET.exe、 RavMon.exe、
RavStub.exe、RegClean.exe、rfwcfg.exe、RfwMain.exe、rfwsrv.exe、 RsAgent.exe、
Rsaupd.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、 SREng.EXE、
symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、 TrojDie.kxp、
UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、 UmxFwHlp.exe、
UmxPol.exe、UpLive.exe、procexp.exe、OllyDBG.EXE、OllyICE.EXE、 rfwstub.exe、
RegTool.exe、rfwProxy.exe、RawCopy.exe、CCenter.exe、 regedit.exe、
filemon.exe、regmon.exe、AntiArp.exe、taskmgar.exe、GFUpd.exe、 GFRing3.exe、
GuardField.exe、RavTask.exe、RavCopy.exe、RavXP.exe、 CCenter.exe、
ravstub.exe、ravcopy.exe、rsaupd.exe、sunesnk.exe

3、测试网络,并从以下地址下载最新程序
http://www.*****.com/max.exe
http://www.*****.com/max1.exe
从根据以下文件中的地址下载其他恶意程序:
http://www.mj5640i**.com/praasd.txt
http://www.dvgdfg46**.com/pradaq.txt  

4、其他恶意程序程序运行后会释放以下文件到system32目录下:
apsghjba.dll、 cmonos.dll、crtnumo.dll、ddserh.dll、dearnts.dll、eoceps.dll、
fmcvxy.dll、 follwel.dll、hhrdxd.dll、jacknove.dll、jdsaex.dll、jolinos.dll、keyiftp.dll、
lenowos.dll、manleu.dll、mttwfh.dll、rdmsgl.dll、rmbsony.dll、therbrek.dll、
wklsdd.dll、wrm32.dll、wrqszl.dll、wyhesm.dll、xpsbos.dll、zgtwfx.dll
以上文件大部份为游戏盗号木马程序


二、解决方案

推荐方案:
由于以上提到大量木马程序,手工查杀会相对烦琐,建议使用巡警自动查杀。
安超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.sucop.com/download/16.html


三、安全建议

1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设  置为可写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
8、不要使用IE内核的浏览器。
9、不要随便打开不明来历的电子邮件,尤其是邮件附件。

注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它:
%SystemDrive%   系统安装的磁盘分区
%SystemRoot% = %Windir%     WINDODWS系统目录
%ProgramFiles%        应用程序默认安装目录
%AppData%  应用程序数据目录
%CommonProgramFiles%   公用文件目录
%HomePath%      当前活动用户目录
%Temp% =%Tmp%  当前活动用户临时目录
%DriveLetter%     逻辑驱动器分区
%HomeDrive%    当前用户系统所在分区

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章