遇到Trojan-PSW.Win32.Agent.i（第2版）

endurer　原创

2006.03.20　第2版　补充瑞星的回复。
2006.03.16　第1版

今天帮同事清理电脑，用HijackThis扫描，发现如下需要修复的项目：

---

O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)

O4 - HKLM/../Run: [foxdh] C:/WINDOWS/System32/foxdhsend.exe

O4 - HKLM/../Run: [] regedit -s C:/$NtUninstallQ5926809$/sp4custom.dll

O4 - HKLM/../Run: [3721] C:/$NtUninstallQ5926809$/3721.bat

O4 - HKCU/../Run: [] regedit -s C:/$NtUninstallQ5926809$/sp4custom.dll

O4 - HKCU/../Run: [3721] C:/$NtUninstallQ5926809$/3721.bat

---

其中foxdhsend.exe应该是个窃取网络游戏《大话西游》帐号密码的木马，Kaspersky报为Trojan-PSW.Win32.Agent.i，瑞星18.18.30没有反应。

*2006.03.20　第2版　补充瑞星的回复。用瑞星18.19版测试，还不能查杀。

---

主　题：	病毒上报邮件分析结果－流水单号:2150077
发件人：	""	发送时间：2006-03-20 12:36:02

尊敬的客户，您好！
您的邮件已经收到，感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
1.文件名：foxdhsend.exe
病毒名：Trojan.PSW.Agent.sf

我们将在较新的18.19.1版本中处理解决，请您届时将您的瑞星软件升级到18.19.1版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。

---

用任务管理器把foxdhsend.exe进程终止了，再用HijackThis修复以上各项，删除C:/$NtUninstallQ5926809$文件夹。