Trojan.Win32.Agent.pow和Adware.Win32.CPush.e都是瑞星报的病毒名，Trojan.Win32.Agent.pow这个样本目前卡巴还不能检测出来，令人气愤地是这个东西运行时要映像劫持我的explorer.exe，卡巴居然还在沉默。估计这是个国产的木马，在这一点上卡巴输给瑞星了。

      拿到的样本这两个是打在一个安装包里。Trojan.Win32.Agent.pow释放如下文件：
      C:\WINDOWS\system32\netdde32.exe
      C:\WINDOWS\netdde32.exe
      C:\Windows\KB908023.log (假装成微软补丁日志的可执行模块)
      将这三个文件都插入到exeplore.exe，然后映像劫持exeplore.exe，使之指向C:\WINDOWS\Sysem32\netdde32.exe。

      Adware.Win32.CPush.e释放文件：
      C:\Program Files\Common Files\CPUSH\cpush.dll
      将这个文件注册为ActiveX对象，并生成浏览器加载项[CAdLogic Object]。

      已经注入了explorer.exe的Trojan.Win32.Agent.pow将cpush.dll也注入到explorer.exe中。在注册表中直接手工删除或修改exeplorer.exe的映像劫持项(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe)时，会马上被改回去。

      如果已经联网，Trojan.Win32.Agent.pow还会去下载一堆木马和流氓软件下来，其中包括一个假的QQ浏览器加载项：
      [腾讯QQ]
       {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
    

清除办法：
      由于这两个东西没有驱动和服务项保护，用最新的瑞星就基本能干掉了，测试中看到了瑞星修复了explorer.exe的映像劫持。Trojan.Win32.Agent.pow释放的三个文件提示要重启删除，因为它们已经注入到了explorer.exe进程中。如果由于某种原因explorer.exe的劫持没有修复过来，下次启动时就看不到桌面了，从任务管理器中运行也会出错。需要参考下面的手工方法。

      手工解决办法很简单——
      1、在任务管理器重结束explorer.exe
      2、在任务管理器中点“文件/新建任务”，运行regedit.exe，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe项
      3、在任务管理器中点“文件/新建任务”，点“浏览”，然后在打开文件对话框找到上述它们释放的文件，直接删除。然后找到c:\windows\explorer.exe，点打开。
      4、运行360安全卫士（或瑞星卡卡，或SREng），清除浏览器加载项[CAdLogic Object]和[腾讯QQ]        {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>。

Author: Sanluxia
Aug. 7, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.