病毒命名:
"&�=Y��U#> Trojan-PSW.Win32.QQPass.jf(Kaspersky)
P"�XD]aK�� 病毒类型:
E�uP
s4wh| 特洛伊木马
Q9<BC4�mgo l�9E ~��c� 感染过程:
,��$G�A=HF 创建文件
s�ls�OEc\� C:\WINNT\system32\SVOHOST.exe
�"\lZ��T!� C:\WINNT\system32\winscok.dll
#gs�m�3p{� D:\autorun.inf
�TuD
�e��J D:\sxs.exe
Y,.o�@@�L] (病毒会在C盘也就是默认的系统安装盘以外的盘,创建autorun.inf与sxs.exe
i'A<L1)gD_ )
u��-!�1Zi _b`Spi}I9� 注册表动作
n?mq1�vMXs 写入:
8P&�8%v�� HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\MountPoints\C
^Am��!icL5 HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Policies\Explorer
p/,K:�~]�� HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced\Folder\hidden\showall
08��
W<Rj HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run
=�oQI�@|,X AV$m[�0k/� 清除方法:
c/AH`};, * 以下方法仅供参考
} +�,)1u 首先设置系统“显示所有隐藏文件,与受保护的系统文件。
+�@�G["@|B 删除系统盘(默认为C:)下的病毒文件
�pNw=cFas C:\WINNT\system32\SVOHOST.exe
Bip��U+��� C:\WINNT\system32\winscok.dll
:o|^kU�U�4 然后在“开始菜单”处点“运行”输入“d:"(病毒会在C盘以外的盘创建D:\autorun.inf
��JI�fb�YG D:\sxs.exe,如果直接打开盘的话,病毒会再次感染。)
'�B-?1w!8� 然后删除D:\autorun.inf
HS�$>'Xw�9 D:\sxs.exe
8
8�g�;|bA �(HI_.�w� 最后删除病毒写入的注册表项。
�u�|<��P�' HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run
9hk�x�S:�T ���%
5�X� @e�"y><xBV 病毒样本位置:
O+;}8$,s+ http://avfbbs.80port.net/read-htm-tid-17999.html 
