病毒名称：Trojan-PSW.Win32.Agent.jp
中文名称： 黄金甲
病毒类型： 木马类
文件 MD5： 7DF30EB3B47CEE0FBD1E85B6E1248611
公开范围： 完全公开
危害等级： 中等
文件长度：31,052 字节
感染系统： Win98以上系统
开发工具： Microsoft Visual C++ 6.0

1、可能衍生下列副本与文件

%Documents and Settings%\当前用户名\Local Settings\Temp\mh1\iexpl0re.EXE
%Documents and Settings%\当前用户名\Local Settings\Temp\mh2\iexpl0re.EXE
%Documents and Settings%\当前用户名\Local Settings\Temp\Wl2\lexplore.exe
%Documents and Settings%\当前用户名\Local Settings\Temp\Zt2\SVCH0ST.exe
%Documents and Settings%\当前用户名\Local Settings\Temp\Mhgx.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\Mhgl.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\Mhgy.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\Wlgx.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\ZtgL.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\ZtgQ.dll

2、可能新建注册表键值：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\myMH1
键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh1\iexpl0re.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\myMH2
键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh2\iexpl0re.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\myW12
键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh2\lexplore.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\myZt2
键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh2\svch0st.exe"

3、连接下列网页：

http://www.bpfq02.com/dl/sb146.html
http://www.bpfq02.com /dl/rb.html
www.bpfq02.com(72.232.68.50)

4、病毒图标可能为下列之一：

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

1、使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 打开“我的电脑”找到“工具”选项进行如下设置，打开查看隐藏文件选项：

(2) 使用安天木马防线“进程管理”关闭病毒进程

lexplore.exe
iexplo0re.EXE
SVCH0ST.EXE

(3) 删除病毒释放文件

%Documents and Settings%\当前用户名\Local Settings
\Temp\mh1\iexpl0re.EXE
%Documents and Settings%\当前用户名\Local Settings
\Temp\mh2\iexpl0re.EXE
%Documents and Settings%\当前用户名\Local Settings
\Temp\Wl2\lexplore.exe
%Documents and Settings%\当前用户名\Local Settings
\Temp\Zt2\SVCH0ST.exe
%Documents and Settings%\当前用户名\Local Settings
\Temp\Mhgx.dll
%Documents and Settings%\当前用户名\Local Settings
\Temp\Mhgl.dll
%Documents and Settings%\当前用户名\Local Settings
\Temp\Mhgy.dll
%Documents and Settings%\当前用户名\Local Settings
\Temp\Wlgx.dll
%Documents and Settings%\当前用户名\Local Settings
\Temp\ZtgL.dll
%Documents and Settings%\当前用户名\Local Settings
\Temp\ZtgQ.dll

(4) 恢复可能被病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\myMH1键值: 字符串: " %Documents
and Settings%\当前用户名\Local Settings\Temp\mh1\iexpl0re.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\myMH2键值: 字符串: " %Documents
and Settings%\当前用户名\Local Settings\Temp\mh2\iexpl0re.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\myW12键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh2\lexplore.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\myZt2键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh2\svch0st.exe"