如果爱第三季嘉宾配对:是否病毒

明确地告诉你——是病毒！

档案编号：CISRT2006001
病毒名称：Trojan-Downloader.Win32.Agent.aez（AVP）
病毒别名：TrojanDownloader.Agent.abo（KV）
病毒大小：7,288 字节
加壳方式：PE_Patch、UPack加壳
样本MD5：ad6a2cc0182864217dd7fcfa4a1c2a68
发现时间：2006.5.15
更新时间：2006.5.24
关联病毒：Trojan-Downloader.Win32.Agent.amf（AVP）
传播方式：下载Trojan-Downloader.Win32.Agent.amf，通过QQ尾巴传播自己。

技术分析
==========

1. 被下载到本地运行后，生成以下文件：
%System%\PYJJKIME.exe —病毒主文件
%System%\pyjjkq.bak —病毒副本
%System%\pyjjkdll.dll —插入Explorer.exe进程
%System%\pyjjkq.dll —发送QQ尾巴

2. 添加注册表启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"DhcpCep"="%System%\PYJJKIME.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"PYJJIME"="%System%\PYJJKIME.exe"

3. 自我保护：
检测%System%\PYJJKIME.exe是否存在，如果不存在，每6秒从副本恢复；
注册表启动项约8秒恢复一次。

4. 下载以下文件：
http://a.sou7.com/hoog.exe —Trojan-Downloader.Win32.Agent.amf（AVP）
(http://b.tt12.com/hoog.exe同上)
http://a.sou7.com/i.txt
(http://b.tt12.com/i.txt同上)

清除步骤
==========

1. 删除文件：
%System%\PYJJKIME.exe
%System%\pyjjkq.bak
%System%\pyjjkq.dll

2. 重新启动计算机

3. 删除文件：
%System%\pyjjkdll.dll

4. 删除注册表启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"DhcpCep"="%System%\PYJJKIME.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"PYJJIME"="%System%\PYJJKIME.exe"

可以用分离器（文件合并器）分离再杀，也可以直接删除，在安全模式下杀比较安全。如果没有写入进程的话，可以直接删除！

是病毒
第一步：CISRT2006001】100q100解决方案

清除步骤
==========

1. 删除文件：
%System%\PYJJKIME.exe
%System%\pyjjkq.bak
%System%\pyjjkq.dll

2. 重新启动计算机

3. 删除文件：
%System%\pyjjkdll.dll

4. 删除注册表启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"DhcpCep"="%System%\PYJJKIME.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"PYJJIME"="%System%\PYJJKIME.exe"

如果不行，第二步：

到以下网站下载一个木马专杀工具,保你有效:
http://download.ewido.net/ewido-setup.exe
用卡巴斯基杀不了的它也能找出来杀掉.
如果不好还是建议重装系统
因为他会盗取密码的