TRojan.PSW.QQPASS病毒手把手彻底删除(winscok.exe,infostealer)TRojan.PSW.QQPASS病毒手把手彻底删除(winscok.exe,infostealer)2006-11-13 10:59:52TRojan.PSW.QQPASS病毒手把手彻底删除(winscok.exe,infostealer)2006-11-13 10:59:52TRojan.PSW.QQPASS病毒手把手彻底删除(winscok.exe,infostealer)

文谷技术人员在工作中为别人解决过如下问题：

诺顿报TRojan.PSW.QQPASS，infotealer病毒， 对象为c:\windows\system32\winscok.exe,但是清除失败，删除失败，隔离失改。

此病毒相当棘手，重装机器后想使用D盘文件，双击D盘无反映，这时双击其它盘也相同情况，包括C盘。
重启后可以打开，但诺顿又报警感染相同病毒。机器运行速度变得极慢。

参考网上其他文章，最后解决如下：

开机按F8，进入安全模式

在开始——运行中运行regedit，检查注册表，在、HKEY——LOCAL——MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\run发现一项：

SoundMam c:\windows\system32\SVOHOST.EXE

删除此键值

检查对应目录下这个文件，图标居然是一个小孩头。

删除这个文件。

在我的电脑的工具——文件夹选项——查看中，显示所有系统文件和隐藏文件

如果不能设置，运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

删除此下的CheckedValue键值，新建——Dword值——命名为CheckedValue，然后修改它的键值为1。

右键D盘，打开（这时千万不能双击打开各个从盘），发现D盘后有两个隐藏文件，一个为autorun.inf，另一个为sxs.exe，
sxs.exe与c:\windows\system32\SVOHOST.EXE文件相同，图标为一个戴眼镜的小孩头。

而autorun.inf文件的内容如下：
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe

所以，双击D盘，就会运行病毒程序，从而感染机器，并在系统目录下产生SVOHOST.exe，作为进程运行，因为与SVCHOST非常相近，难于被人发现。
开机时也会产生Winscok.exe，被诺顿发现当不能处理。

清空autorun.inf，删除sxs.exe文件。

搜索全机的sxs.exe，svohost文件，还发现
c:\windows\prefetch\sxs.exe-14d3a72.pf
c:\windows\prefetch\sxs.exe-154a360b.pf
c:\windows\prefetch\svohost.exe-2fa3eb46.pf

删除c:\windows\system32\winscok.DLL

检查所有平时使用的优盘、移动硬盘，同样右击打开，删除目录下的sxs.exe文件，清空Autorun.inf

开机重启，一切正常

TRojan.PSW.QQPASS病毒手把手彻底删除(winscok.exe,infostealer)TRojan.PSW.QQPASS病毒手把手彻底删除(winscok.exe,infostealer)2006-11-13 10:59:52TRojan.PSW.QQPASS病毒手把手彻底删除(winscok.exe,infostealer)2006-11-13 10:59:52TRojan.PSW.QQPASS病毒手把手彻底删除(winscok.exe,infostealer)