病毒命名:
�\D }"k3d Trojan-PSW.Win32.QQPass.jf(Kaspersky)
Jn���'�81j 病毒类型:
D��t}j'[* 特洛伊木马
I�I��T�Y:5 G*�_#! J
� 感染过程:
x|}-aq+}K 创建文件
��p34;'(HC C:\WINNT\system32\SVOHOST.exe
`X��H#�sV� C:\WINNT\system32\winscok.dll
1*M"vW56E_ D:\autorun.inf
E}-jr�/w]7 D:\sxs.exe
X|z-�0WiO) (病毒会在C盘也就是默认的系统安装盘以外的盘,创建autorun.inf与sxs.exe
YM'orkS 2O )
Mjr�Ta#C12 �"�K9�'_,� 注册表动作
??rnewd2R� 写入:
'{h8x0m{�P HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\MountPoints\C
NI�Y+PP�>o HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Policies\Explorer
9R}i<&�J] HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced\Folder\hidden\showall
+.4GGu�qA[ HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run
+8<!+����O djcWJWoXy� 清除方法:
�qv'L>`W� 以下方法仅供参考
W7U�#�e&� 首先设置系统“显示所有隐藏文件,与受保护的系统文件。
ohX|V��c.? 删除系统盘(默认为C:)下的病毒文件
��Vyil:W�- C:\WINNT\system32\SVOHOST.exe
rSm%i��%�x C:\WINNT\system32\winscok.dll
!lj%�
5��" 然后在“开始菜单”处点“运行”输入“d:"(病毒会在C盘以外的盘创建D:\autorun.inf
"W[J ��6�t D:\sxs.exe,如果直接打开盘的话,病毒会再次感染。)
-pc�Knt%�� 然后删除D:\autorun.inf
l4K*+�0<�- D:\sxs.exe
p&?)l)=7 a�+nr7�BH+ 最后删除病毒写入的注册表项。
S#m�w[u.b# HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run
�.�YjEMva� �?Tu6��f H ^R�1k]�Bz` 病毒样本位置:
<`Ov�^h�v� http://avfbbs.80port.net/read-htm-tid-17999.html 
