病毒命名:
��xIGt#,>i Trojan-PSW.Win32.QQPass.jf(Kaspersky)
jnW3}p>�* 病毒类型:
_
fBQM(4<' 特洛伊木马
]"f54 �>1� z.��]�c�Sk 感染过程:
>|�4S��Hv 创建文件
^�.h\f?5�O C:\WINNT\system32\SVOHOST.exe
,:���~Nt%� C:\WINNT\system32\winscok.dll
�D �c��/Ru D:\autorun.inf
poM>�5Ko
� D:\sxs.exe
Z${\y�qIJh (病毒会在C盘也就是默认的系统安装盘以外的盘,创建autorun.inf与sxs.exe
}_\h�/, �5 )
MEK�^�N�-� -Zs�}4w�|\ 注册表动作
sY5��qM}�2 写入:
0��h�XT)�4 HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\MountPoints\C
�+ A%^8
f� HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Policies\Explorer
qGv�^c!2q� HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced\Folder\hidden\showall
�Y�X5GOgD> HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run
�O��hs�0M j�J|SN>:y{ 清除方法:
:.R
�e%r.� 以下方法仅供参考
F�E`�Z W'v 首先设置系统“显示所有隐藏文件,与受保护的系统文件。
��a���vfOM 删除系统盘(默认为C:)下的病毒文件
C6����~e; C:\WINNT\system32\SVOHOST.exe
4w��3#^??S C:\WINNT\system32\winscok.dll
'&,R�er4-� 然后在“开始菜单”处点“运行”输入“d:"(病毒会在C盘以外的盘创建D:\autorun.inf
F',�_�@7�c D:\sxs.exe,如果直接打开盘的话,病毒会再次感染。)
�EG�cPZ&NW 然后删除D:\autorun.inf
�w�ZQ�7 s� D:\sxs.exe
;Pwe��U)w; MQ�D�BZLX# 最后删除病毒写入的注册表项。
�)u7�#>"-D HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run
=�b>40c*�� jAls{%k)
- �xM2�';.
R 病毒样本位置:
��kPN�<&Vt http://avfbbs.80port.net/read-htm-tid-17999.html
