【推荐】Trojan.PSW.QQPass 木马批处理.. bbs.ikaka.com

飞天星客 - 2006-10-12 11:14:00

这种病毒能从网上下载别的类型病毒.中毒轻的,用最新版的瑞星,在安全模式下可杀完.较重的电脑,格式化C盘,在安全模式下可以杀.严重的,看来要格完全盘了,还好本人没中这么深,幸运.....

sky02 - 2006-10-12 17:54:00

我中了这种病毒.搞发一晚上,才能正常上网啊!
但不知有没有完全清除掉!
我用的是更新的瑞星,查杀的!但是很麻烦.一次系统坏掉了!
不知有什么好的又简单法啊

lg1220 - 2006-10-13 3:36:00

中了病毒了，你连重新安装也不行的，不信试一试！我连格式化硬盘都不好使了

，最后重新分区才搞定，TNND是不是太弱了，连自己都保护不了的杀毒软件。单

位装的是2006版的也不好使，虽然有联想的“一键恢复”，可以恢复C盘，但是

其他盘符根目录下有病毒，（是一个可以关闭杀毒软件还可以盗取QQ密码的一个

病毒造成的）刚恢复就被感染了。现在把家里的搞定了，单位的还不行。升级到

10月11日的病毒库可以找出病毒，我之前一直以为是其他原因，因为瑞星根本查

不出来。这个病毒还会造成除C盘之外的其他盘符双击打不开，但是可以用右键-

〉打开来打开其他盘。在WINDOWS XP下我无法格式化D盘，用附件->命令提示

符，用DOS命令FORMAT D：也无法正常格式化，提示说有什么卷上有正在使用的

句柄，问是否卸载句柄，输入Y-〉回车后提示无法卸载该句柄（我第一次卸载

其实成功了，在XP的“DOS”下格式化了D盘，然后重新安装了系统，结果安装完

还是不好使，第二次格式化D盘时出现上述问题。不过第一次虽然格式化成功了

，但也有句柄使用的提示），结果最后只好将所有数据转移到另一个硬盘上（管

他有没有毒），之后拔掉数据硬盘，把原系统盘给重新分区了（哈哈，彻底了）

。当时用的是2006版的，根本不知道是病毒闹的，害的我还把“猫”给卸下来了

,怕是兼容性问题（刚新换了一个网卡）。重新分区后当天之有时间安装系统，

第二天回家想试一试2007版的，然后下载安装，重新杀毒，结果把病毒才杀出来

，看来瑞星的反应比较慢啊，这个问题在单位差不多7、8天之前就出现了，过后

我查了一下瑞星在2006年8月4日就发现了这个病毒，还发出病毒警告，结果自己

的软件到10月11日之后的版本才能杀掉，反应还是比较慢的。

8月3日以来，瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒，它们除

了有正
常的危害之外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时

系统出
现“蓝屏”、自动重启、死机等状况。这些病毒包括“传奇终结者

（Trojan.PSW.LMir）
”、“QQ通行证（Trojan.PSW.QQPass）”以及“密西木马（Trojan.PSW.Misc）

”等病
毒的最新变种。瑞星已发布今年首次橙色（二级）安全警报，提醒广大用户警惕

此类病
毒。

==============================================================

症状一：

同时按下键盘CTRL+ALT+DEL键，或右键点击任务栏，选择“任务管理器”。单击

“进程
”标签。如果找到名为“SVOHOST.EXE”的进程，则说明已感染了“QQ通行证

（Trojan.
PSW.QQPass）”病毒或其变种。

症状二：

HKEY_USERS\S-1-5-21-1547161642-926492609-682003330-1003

\Software\Microsoft\W
indows\ShellNoRoam\MUICache\C:\WINDOWS\system32\SVOHOST.exe

症状三:

“QQ海盗变种wi”(Win32.Troj.PSWQQ.wi)木马病毒，该病毒运行后会在后台监

视盗取用
户QQ帐号和密码信息，并在运行过程中会尝试中止用户机器上的相关防病毒软件

。

症状四:
开应用程序如QQ什么地一晃就自动关了，有些查杀木马的工具都用不了

症状五:
任务栏不能用

症状六:
病毒由三个文件组成：“WINSCOK.EXE”、“winscok.dll”和“Install.dll”

。
其中winscok.dll被注入到explorer.exe进程中。每隔0.1秒钟，试图搜索“发送

”
、“送信息”窗口，在QQ聊天内容后面附加引诱性信息。如“快快,刚找到的在

线
免费电影网站,现在搞活动,免费注册啊,很快的速度，还有很多成人片，少儿不

宜
哦http://***www.918soft.com ”等。同时搜索“传奇客户端”，试图取得传奇
账户和密码发送到指定邮箱。

========================================================

一、“QQ海盗变种wi”(Win32.Troj.PSWQQ.wi)威胁级别：

病毒特征：该病毒是一个在Windows平台下，专门盗取QQ网络即时聊天工具号码

的木马程
序。

发作症状：病毒运行后伪装成系统正常文件：%Windir%\system32\SVOHOST.exe

，%Wind
ir%\system32\winscok.dll，%windir%\system32\dqhx.txt，然后在后台监视盗

取用户
QQ帐号和密码信息，在网络状态可用时，将盗取的信息发送至病毒作者指定的网

站或邮
箱；同时病毒运行过程中会尝试中止用户机器上的相关防病毒软件；该病毒主要

依靠捆
绑软件或欺骗方式进行传播，给用户造成一定危害

C小调の - 2006-10-13 7:42:00

昨天晚上有一无耻之徒偷了我的QQ密码
而且把我的瑞星挂掉让我重装
偷完还上我的号和我说话
还好有手机绑定，要不然真的要哭了。。。

C小调の - 2006-10-13 7:58:00

引用:

【o阿泓o的贴子】终于搞定这可恶的木马和病毒了,又可以玩希望和海盗王啦,不得不用华仔的一首歌来庆祝:等了多久终于等到今天~~等了多久终于把梦实现.不过相信以后还会有更厉害的木马来找大家的麻烦,但是一定会有办法滴~`最后祝大家网速超彪,做病毒和木马的第一天做完第二天死全家~`
………………

好佳在在 - 2006-10-13 10:00:00

好像跟我中的不太一样，我可能有装杀毒的，没有那么厉害呢

juliarnold - 2006-10-13 10:37:00

135楼，我把瑞星升级到18.48.40，怎么杀毒时查不到呢？但是看任务管理器又发现有SVCHOST.EXE,这分明是中毒了啊

另壶冲 - 2006-10-13 11:06:00

批处理文件在哪里？文中的链接？
那个破论坛关闭了注册了嘛看不了。。

chengjian0105 - 2006-10-13 14:20:00

156楼的，你说的那个进程SVCHOST.EXE和“进程
”标签。如果找到名为“SVOHOST.EXE”的进程，则说明已感染了“QQ通行证”
不一样~~~

cj2580 - 2006-10-13 19:02:00

我中过，而且成功删除了，我的系统是xp sp1，打开“我的电脑”要等十几秒才显示出内容，USB设备不能使用，电脑也没有了声音，“网络连接”里是空白的，“设备管理器”里也是空白的。
杀毒软件升级到最新版，扫描发现病毒Trojan.PSW.QQGame，杀掉后重起电脑，再扫描还有Trojan.PSW.QQGame。
打开“我的电脑”，工具－文件夹属性－查看，将“隐藏受保护的操作系统文件（推荐）”的对勾去掉，同时选择“显示所有文件和文件夹”，删除C:\WINDOWS\SYSTEM32\MSWDM.EXE。在注册表里找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"CheckFaultKernel"="C:\\WINDOWS\\System32\\mswdm.exe"项，删除。这样处理后再重起电脑就不会有病毒了。
但是打开“我的电脑”要等十几秒才显示出内容，USB设备不能使用，电脑也没有了声音，“网络连接”里是空白的，“设备管理器”里也是空白的等等问题还是存在。把下边的东东做成reg文件导入到注册表里(适用于xpsp1)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PlugPlay]
"Description"="使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改。终止或禁用此服务会造成系统不稳定。"
"DisplayName"="Plug and Play"
"ErrorControl"=dword:00000001
"Group"="PlugPlay"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,65,00,72,00,76,00,69,00,63,00,65,00,73,00,2e,00,65,00,78,00,65,00,00,00
"ObjectName"="LocalSystem"
"PlugPlayServiceType"=dword:00000003
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PlugPlay\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

重启系统，万事大吉。

和弦外音 - 2006-10-13 22:01:00

用瑞星的“橙色八月”也可以干掉这毒！

吐泡泡的田鼠 - 2006-10-13 22:27:00

55555555555今天有个六位QQ号的朋友用了我的电脑就中了这个毒。。。现在还在用专杀工具查毒

吐泡泡的田鼠 - 2006-10-13 22:31:00

为什么瑞星18.48.42前一个版本查不到这个毒呢。。。
我监控全开。。怎么也会中招！！！！！

吐泡泡的田鼠 - 2006-10-13 23:13:00

终于好了..杀了两个毒...还真是每个盘下面都有个戴眼镜的

绝对O度 - 2006-10-14 9:50:00

妈的,我的就是被这个病毒害的..

现在杀软用不起来了..

小河小溪 - 2006-10-14 18:18:00

到那里找SXS.EXE、SVOHOST.EXE和WINSCOK.DLL文件呀!

能告诉我路径吗?

大魔导师1 - 2006-10-15 11:07:00

哎,橙色八月也没用啊,无语,我估计除了格式化没其他办法了

大魔导师1 - 2006-10-15 11:08:00

前面兄弟些用的办法我读试了,不行啊,哪位高人再指点指点啊~~~~~~~~~~~~~~~~

妖精拉拉 - 2006-10-15 17:07:00

才中了
http://mopery.hits.io/killsxs.zip
这个怎么下不起来

AC1899 - 2006-10-15 22:48:00

中过。连U盘都被感染。但是在我无邪DX的帮助下，成功删除，没有重装系统。

后遗症：最近QQ提示某处用TM登录偶的帐号，QQ被迫下线，但是偶的QQ是带密码保护的，所以没有被盗。再次登录服务器改密码，气死盗Q者。

robinboy1 - 2006-10-16 12:24:00

手动清除sxs.exe病毒(zt)

1、断开网络连接

2、打开“任务管理器”，应该有个SOVHOST.EXE进程，把它结束掉。到C:\WINDOWS\system32里找到SOVHOST.EXE把它删除。

3、执行“开始”－“运行”－输入“regedit”打开注册表

4、找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue，检查它的类型是否为REG_DWORD，如果不是则删掉CheckedValue，然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1。（不做这一步，第6、7步将无法查看到隐藏的系统文件）

5、打开各硬盘（“我的电脑”里右键“打开”或“资源管理器”右侧选择），

6、“文件夹选项”－“查看”－选择“显示所有文件和文件夹”，并把“隐藏受保护的系统文件”复选框去除选择。

7、可以看到各个硬盘根目录下都有autorun.inf和sxs.exe文件，把它们都删掉。如果U盘上也有，也删掉。U盘上的可能删了又会出现，那就再检查一下“任务管理器”里有没有SOVHOST.EXE进程，把它结束掉（见2）。

8、这样就该差不多了。

9、如果安装的是瑞星，防火墙和杀毒软件应该可以打开了，其他杀毒软件应该也可以打开了。

10、如果瑞星计算机监控无法打开，或者打开后是收着的小红伞，并且所有的监控开启都失败，那么到“控制面板”－“管理工具”－“服务”，找到“Rising Process Communication Center”，应该是被禁用了，右键“属性”，启动类型一项改为“自动”，然后启用该服务。

一般干掉sxs.exe，这个病毒没有除不掉的，如果小红伞还是打不开，重装。

SOVHOST.EXE病毒文件
svchost.exe正常

KingCarl - 2006-10-16 16:07:00

我的进程里有N多 “SVOHOST.EXE” 程序在运行，而且结束它的话系统就自动重新启动...

我被这个病毒折磨的很惨...现在家里电脑处于瘫痪状态，买的正版瑞星也没用...太难过...现在就只希望能解决这个病毒！！！

我很少来论坛，希望有关专家能写Email给我，教我怎么解决这个病毒！十分感谢！

大魔导师1 - 2006-10-16 16:54:00

我也是楼上说的情况,SVOHOST.EXE这个是不是打印机程序啊，我是公司机子,按了打印机的

yangyoumin - 2006-10-16 22:10:00

手动清除时一杀SVOHOST.EXE进程就重启,在安全模式下也是这样,还有办法吗?

aiaiwai - 2006-10-17 0:14:00

能用那个什么卡杀啊，我的计算机上也发现了啊，不过什么卡就能杀的啊，我都杀完了啊！

robinboy1 - 2006-10-17 10:39:00

SVOHOST.EXE和sovhost.exe两者有区别的。

经典蓝默 - 2006-10-17 14:57:00

我刚杀完了，昨天还是不能运行瑞星的，今天我就用了在线查毒，才查到是这个病毒的。在查毒的期间我试着运行瑞星，居然可以运行！我就将瑞星升级到最新版，查毒，杀毒。，‘不过现在的监控中心用不了，要重装QQ和瑞星了。。。

经典蓝默 - 2006-10-17 15:02:00

晕死。进程里有几个SVCHOST.exe在运行，是不是正常的？

KingCarl - 2006-10-17 15:45:00

我和楼上的一样....

无言的风儿 - 2006-10-17 16:21:00

我用了此方法，不错，OK了，瑞星小红伞打开了。郁闷了二周的情绪终于放松了。

瑞星卡卡安全论坛