超级巡警团队提醒广大用户，如果在系统的system32目录中发现mttwfh.dll,wyhesm.dll等其他若干非windows系统文件、而原有的安全工具又都打不开，则表明该系统已经被恶意程序Trojan.Win32.Agent.yak或其相关变种侵入。请使用超级巡警，并升级到最新病毒库，对其进行有效查杀。

一、病毒相关分析：

        　病毒名称：Trojan.Win32.Agent.yak
      　  病毒类型：木马
  　      危害级别：3
  　      感染平台：Windows
     　   病毒大小：52,580(字节)
  　      S H A 1  ：adf8c8b35f6453645e46a02c3ac320571d48917d
     　   加壳类型：Upack
     　   开发工具： Microsoft Visual C++

     病毒行为：
           1、文件运行后释放以下文件：
　　　　　　%system%/******(84,054 字节)　　　　//******代表随机的6位字母，例：oooooo
　　　　　　%system%/******.tmp(3,328 字节)       //******代表随机的6位字母，例：qqqqqq.tmp
　　　　　　文件******会通过创建.PHYSICALDRIVE0直接读写磁盘，使用还原相关工具失效
　　　　　　*.tmp会以驱动形式加载为系统服务，并恢复SSDT，使部份安全工具的主动防御功能失效。

           2、映像劫持大量安全工具及调试工具：
　　　　　　DrvAnti.exe、 avp.com、avp.exe、runiep.exe、PFW.exe、FYFireWall.exe、
　　　　　　rfwmain.exerfwsrv.exe、 KAVPF.exe、KPFW32.exe、nod32kui.exe、nod32.exe、
　　　　　　Navapsvc.exe、Navapw32.exe、 avconsol.exe、webscanx.exe、drwebscd.exe、
　　　　　　NPFMntor.exe、vsstat.exe、 KPfwSvc.exe、Ras.exe、RavMonD.exe、mmsk.exe、
　　　　　　WoptiClean.exe、QQKav.exe、 spiderui.exe、QQDoctor.exe、EGHOST.exe、
　　　　　　360Safe.exe、iparmo.exe、adam.exe、 IceSword.exe、360rpt.exe、360tray.exe、
　　　　　　AgentSvr.exe、AppSvc32.exe、 autoruns.exe、avgrssvc.exe、AvMonitor.exe、
　　　　　　CCenter.execcSvcHst.exe、 drwadins.exe、FileDsty.exe、FTCleanerShell.exe、
　　　　　　HijackThis.exe、Iparmor.exe、 isPwdSvc.exe、kabaload.exe、drwebscd.exe、
　　　　　　spiderml.exe、KaScrScn.SCR、 KASMain.exe、KASTask.exe、KAVDX.exe、
　　　　　　KAVPFW.exe、KAVSetup.exe、KAVStart.exe、 drwebupw.exe、spidernt.exe、
　　　　　　KISLnchr.exe、KMailMon.exe、KMFilter.exe、 KPFW32.exe、KPFW32X.exe、
　　　　　　KPFWSvc.exe、KRegEx.exe、spml_set.exe、KRepair.com、 KsLoader.exe、
　　　　　　KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、 KVMonXP_1.kxp、
　　　　　　kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、KVSrvXP.exe、 KVStub.kxp、
　　　　　　kvupload.exe、nod32krn.exe、kvwsc.exe、KvXP.kxp、KvXP_1.kxp、 KWatch.exe、
　　　　　　KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、 mmqczj.exe、
　　　　　　KAV32.exe、nod32krn.exe、PFWLiveUpdate.exe、QHSET.exe、 RavMon.exe、
　　　　　　RavStub.exe、RegClean.exe、rfwcfg.exe、RfwMain.exe、rfwsrv.exe、 RsAgent.exe、
　　　　　　Rsaupd.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、 SREng.EXE、
　　　　　　symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、 TrojDie.kxp、
　　　　　　UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、 UmxFwHlp.exe、
　　　　　　UmxPol.exe、UpLive.exe、procexp.exe、OllyDBG.EXE、OllyICE.EXE、 rfwstub.exe、
　　　　　　RegTool.exe、rfwProxy.exe、RawCopy.exe、CCenter.exe、 regedit.exe、
　　　　　　filemon.exe、regmon.exe、AntiArp.exe、taskmgar.exe、GFUpd.exe、 GFRing3.exe、
　　　　　　GuardField.exe、RavTask.exe、RavCopy.exe、RavXP.exe、 CCenter.exe、
　　　　　　ravstub.exe、ravcopy.exe、rsaupd.exe、sunesnk.exe

           3、测试网络，并从以下地址下载最新程序
　　　　　　http://www.*****.com/max.exe
　　　　　　http://www.*****.com/max1.exe
　　　　　　从根据以下文件中的地址下载其他恶意程序：
　　　　　　http://www.mj5640i**.com/praasd.txt
　　　　　　http://www.dvgdfg46**.com/pradaq.txt   

           4、其他恶意程序程序运行后会释放以下文件到system32目录下：
　　　　　　apsghjba.dll、 cmonos.dll、crtnumo.dll、ddserh.dll、dearnts.dll、eoceps.dll、
　　　　　　fmcvxy.dll、 follwel.dll、hhrdxd.dll、jacknove.dll、jdsaex.dll、jolinos.dll、keyiftp.dll、
　　　　　　lenowos.dll、manleu.dll、mttwfh.dll、rdmsgl.dll、rmbsony.dll、therbrek.dll、
　　　　　　wklsdd.dll、wrm32.dll、wrqszl.dll、wyhesm.dll、xpsbos.dll、zgtwfx.dll
　　　　　以上文件大部份为游戏盗号木马程序


二、解决方案

       推荐方案：
　    　  　  　  由于以上提到大量木马程序，手工查杀会相对烦琐，建议使用巡警自动查杀。
　    　  　  　  安超级巡警用户请升级到最新病毒库，并进行全盘扫描。
　    　  　  　  超级巡警下载地址：http://www.sucop.com/download/16.html


三、安全建议

　　     1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　     2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。
　　     3、使用超级巡警的补丁检查功能，及时安装系统补丁。
　　     4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设  置为可写或可控制。
　　     5、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。
　　     6、禁用不必要的服务。
　　     7、及时更新常用软件，尤其是聊天工具。
　　     8、不要使用IE内核的浏览器。
　　     9、不要随便打开不明来历的电子邮件，尤其是邮件附件。

注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%System，在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它：
　　     %SystemDrive% 　　     　　           系统安装的磁盘分区
　　     %SystemRoot% = %Windir% 　　  WINDODWS系统目录
　　     %ProgramFiles%　 　 　　　　       应用程序默认安装目录
　　     %AppData% 　　     　　                 应用程序数据目录
　　     %CommonProgramFiles%　　        公用文件目录
　　     %HomePath% 　　     　　              当前活动用户目录
　　     %Temp% =%Tmp% 　　     　　      当前活动用户临时目录
　　     %DriveLetter% 　　     　　             逻辑驱动器分区
　　     %HomeDrive% 　　　     　　           当前用户系统所在分区