病毒命名:
Pm]:hil�4 Trojan-PSW.Win32.QQPass.jf(Kaspersky)
J"|Qi�.v'[ 病毒类型:
��?m0xxxX3 特洛伊木马
w�=[ByB' � j)P�+.y�X7 感染过程:
teFyCT{�=R 创建文件
gU|[C�t�+1 C:\WINNT\system32\SVOHOST.exe
qRHanr*�{' C:\WINNT\system32\winscok.dll
0�S*^nf"=H D:\autorun.inf
s}z\��dvm# D:\sxs.exe
1F^y}t T�D (病毒会在C盘也就是默认的系统安装盘以外的盘,创建autorun.inf与sxs.exe
OVZ@2N5f�| )
�r�a)f"�g5 "2]�Avd�{� 注册表动作
(Vd/�%f),t 写入:
hh�b�5d`
A HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\MountPoints\C
k��J�#�u�< HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Policies\Explorer
w<�\��I��. HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced\Folder\hidden\showall
h�2Q'V� � HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run
EUn|)Bn= �k�Av1YP?: 清除方法:
u�pn;xsIK5 以下方法仅供参考
3�JtO--d< 首先设置系统“显示所有隐藏文件,与受保护的系统文件。
L}W(�s�>sr 删除系统盘(默认为C:)下的病毒文件
h-I\�u5R@c C:\WINNT\system32\SVOHOST.exe
]!Sc9X.l-g C:\WINNT\system32\winscok.dll
g^lBN�[;__ 然后在“开始菜单”处点“运行”输入“d:"(病毒会在C盘以外的盘创建D:\autorun.inf
RV$�`�;�B� D:\sxs.exe,如果直接打开盘的话,病毒会再次感染。)
d^'~5�:l�m 然后删除D:\autorun.inf
s�ZbBU-tKk D:\sxs.exe
�3IhD�-F,F OFP �IP#�* 最后删除病毒写入的注册表项。
-�CIV^XL9k HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run
�}hHgfgP>N �@#qhg�.�R W@�J
N�b+ 病毒样本位置:
89���n�13 http://avfbbs.80port.net/read-htm-tid-17999.html 
