这个木马破坏多个杀软启动加载并禁止杀软监控。有意思的是：DiamondCS公司的WormGyard通过脚本分析可检测到这个木马（图）。

手工查杀流程：
1、结束进程VM_STI.exe（路径C:\WINDOWS\system32\VM_STI.exe）。
2、清理注册表：
（1）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加字符串键值：RavMon=C:\Program Files\Rising\Rav\RavMon.exe
（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加字符串键值：RavTimer=C:\Program Files\Rising\Rav\RavTimer.exe
（3）展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter
将："Start"=dword:00000004改为"Start"=dword:00000002
（4）展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon
将"Start"=dword:00000004改为"Start"=dword:00000002
（5）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除：VM_STI
（6）展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加字符串键值：RavMon=C:\Program Files\Rising\Rav\RavMon.exe
3、删除下列文件：
C:\Program Files\Tencent\QQ\npkcrypt.bak
C:\WINDOWS\system32\VM_STI.exe
4、重启系统。重新安装QQ（C:\Program Files\Tencent\QQ\npkcrypt.sys被木马删除了），也可从其它电脑中将同版本QQ的npkcrypt.sys拷贝到C:\Program Files\Tencent\QQ\文件夹。

脚本分析结果（天书一般）：
FILE: c:\downloads\丹丹照片03.scr
SIZE: 57936 bytes
---------------------FILE BEGINS <Extracted Strings>---------------------
357: Anskya
480: user32
487: shell32
495: advapi32
634: ExitProcess
646: kernel32.dll
719: ZX??@hB
731: UP?U ?
835: BB3?UP3
2849: ?1----
3070: SPaadeiiiied]
3098: OPP`aeiiiied]
3716: %(y?`?6(
4012: +$? ah
4032: gRlGV[?n?$
4063: ~/h?I>_Q
4111: T?|`?7
4386: ?HEt0?7
4438: 3?\-Y#
4454: "\Mx,?!
4488: 7t`h??
4500: \N?G)?m!
4525: ?\_g&[
4686: a;6(e?
4724: #Ad3Ph?
4853: O l;?`B
5008: ?M????
5232: 2qwK_Oe{?
5313: X?xt$"
5473: *!h,kL?
5484: q?"@|P
5500: G?_B?G
5591: Kh"?Q?
5680: i}0?@`$y
5793: |x??>(
5867: "?s?_?
5976: (X?G?C
6476: XB??qO;
6527: l2B??'
6566: 9F?V\4L
6629: $XSQ=p
6784: wm@ ?&
6979: @M??xZ<Q
7267: !T"SdF
7376: *0J]I\6
7423: )lij?$
7568: #|(F`0*`
7961: ?]y<?B
8065: f!^PLHn
8099: Sdl?/bt
8129: `?7D^?
8172: *qFa?!_
8397: `bn??9
8424: ?.?1?G.$i66(!
8514: #y?,ZN
8829: _ exn<
8946: O?$d?\
8971: (r?\r&
9042: LVO!72
9111: ?xe`I?(
9169: ?_0? 9
9366: ^|;4?`
9446: ;Y( =I
9535: :):X<?`>?h
9546: >>p>?x"
9624: YC *GB
9713: 4:a9?.?
9792: ?vaS8l
9845: 1"S?%>
9880: x?E?(?/
9956: >_x(?B
10001: ?|Ke`"
10023: $N?L#?aWa
10108: `F9h&M
10191: ??r??'0
10242: d?Ck39r
10264: @3?Dg~
10271: %?-n~2
10298: >0%G??
10329: ?~3?)KNI
10393: Z)PcGF
10471: ?"T&!????
10494: \?F`??
10547: ?P\?w9
10561: b?M?AbG
10685: [Z?"`wN0
10748: '?Xg@?<
10805: <GfS)e
10907: "*2:BJRZbjr
10931: #+3;CKS[cks{
11186: _+<zz]??O!?
11400: rx,btyy
11430: ?E)-,/
11533: ?L)H U
11672: YN'5C2
11888: AT??{w
12034: #S?T?g?
12159: ??H*??
12209: ,3?k]?cH
12321: ?{:hn?f?
12452: ?#j?>f
12617: #??C?gB?d??C?
12782: CD)y?F
12817: ???6?K
12957: _h???"
12998: lX'(G%
13046: ??"'.!~??
13066: x,Ru9?h
13075: R?/>?Mi
13468: ]??D)?[
13589: Pol3k0r?
13739: ek<@Bv
13786: u gBc#
13851: D???E96
13894: '"??&!
14009: i?13x?`?
14179: ?Pm0xtk?Z
14304: A??T62!
14469: CcTS?nS
14487: ]%p%"P
14572: DQb)CF
14610: B`?d`2
14796: dX{[?8
14932: q|9?{k
14952: ?+?>=jHj|
15229: ????3F
15252: C$4CTIW
15296: O}?'_/
15436: ???)?G??D(#d
15562: 5`?.?)
15589: C.\!?
15757: ?u/?tQ
15873: ?lB6%b
15894: /,#l3{jxk
15951:  !!y?#AI?
15964:  =??Sm
16029: cE5GU`?
16210: C?G@<{
16443: h?+?cuH
16523: jWILz>
16703: U!+?"e0
16736: Y??C?U
16751: ?"-?'+
16825: -X6?bE?
16939: ?jx:)r?
16970: ?T?}}[}
16988: H??$?h
17125: s?38?2+
17133: 4C(|i?
17396: ?D?}_%
17590: 8Grey?(?c
17668: J?\`rWnx
17693: $7|,oV
17704: G?Q{???$
17725: ?Z@?oM
17732: ?r???Y$Zo
17773: *1(E?NU
17797: #8G?-\
17822: UZp',ISu
17898: f1&1?O
17924: 0.GT@"?#
17970: ?TM~zS
17977: T>BL=C??*
18043: !tx@M?
18145: (?El?~M?0
18376: B\?OzBq
18515: 6?C@]Cu
18609: :{c#?+s
18665: ?eb??'
18699: ??R2 2
18717: ???-4>t
18971: "`u)Et
18979: Il\h?%
19069: SBr{ts
19082: .Br?:?8Rb4!p{+
19246: ?0h?'0?dg<8?$
19369: ?$DK2?#_?e
19382: e<>?E??dE<
19407: E-5LfxH
19478: g%?2>??
19505: 23??)T>
19518: Jd5b?k
19844: ??|c??(?
20121: S8?R\0
20141: ?S(?LA19s
20262: q$A????)^
20388: ? C_Gg?g
20593: ?6??7S?O
20611: ??=b~R??*
20989: \g?Zr?
21055: J{?K:|
21208: ?Dz?!=?Y-#
21389: ??[???l
21555: ?x/R?@(b??jA?"f?
21915: %?r_?i
21966: W:W=?*
22032: ^??#>D
22101: T?7J+??
22155: ??ie?YGl
22241: ?L?:P? ?
22282: P(`@%_v
22293: eB??!\r
22402: o%!x}?\
22730: ?YV?O??@(
22775: T?7?S Ch
23135: ?|/gZx?
23146: ?<??o?
23306: e+0@YFS
23389: !;?:P9
23426: G2c H?=>
23569: P??"?T!Z
23591: \6??aR,
23715: &Fp??lI?
24051: ?Iy??H
24392: (MpL5?
24444: Yvz ??
24554: ~?Q7LTY4
24674: kH;,?P
24755: ?,?-}~
24945: X?"??h
25006: =?TiY?
25028: p/@2(OwA
25467: _7%v`p,
25542: ~?bH?[E
25709: `@<Z?.L
25796: 2&?vE?
25916: ?w7u&%
25973: u?K{!H
26152: nO540?w.x?~8
26169: U9=?OJ
26313: ?1?!?+`
26580: PO?8??
26622: ??$??O?
26823: .?W;-??:
26977: kC<0m*s
27208: Zx|6?[b
27447: ]/?5rB?
27762: ?:??R)?
27961: #Y?yk?
28097: OZ-??
28278: p?j?s/yl?
28404: >s?t[?M]
28464: ??phLz
28481: CQ? ??
28507: ft?\;-=h
28604: ?'-???
28677: F?=d.'_?
28693: |?j?o?
28872: c5??4*
28944: ?)@[~P
29324: ?^?X?B08?
29549: 4J??6K
29561: m2?uYP
29759: ?yr?R@+?
29832: ?=.J{;_j
29856: ' J?K~
29909: vQ Cap
30463: U??yqG
30527: q??l]!5
30586: "?GJ??
30742: !?{Zc?
31222: ZG?n[{??
31267: z,UBV??j:
31549: ,=Hp}P
31568: 7?@d?T
31590: :e?o??)@$
31682: Pm3!D/?)?MWT
31853: %?tCq7
31901: \]@?N|
31931: ??^4?U
32034: ||?dG&
32269: g?@eW?
32299: |?ih!$
32385: 7XF*nQv
32443: ??(?oH
32526: ?]YVR?
32540: y&Se8?-
32575: ???}|0
32775: ?Qd`li
32911: y?-f#`
33053: @?.?%?
33089: \9AjQ`
33270: 3rU}??
33580: 46?K!p
33642: hxcJ>E?73
33772: ?dt?wo
33879: *?H,"`
33902: C%?.o!
33963: ?ig?lT5?
34078: s6e+Th
34136: A&@GC?
34400: ?.\#CtU?Sx
34422: alJ+Q?
34640: 3rT'/Qx
34825: |[iMzY
34878: ?D@^?\:?
34890: Bq?bV!X
34925: ?????C(
34977: Mb~?+????
35096: RquN8?
35332: ss?%??t
35455: Ca?'??
35547: Jeo?p?
35673: "r????dl:<
35709: (?ek`
35827: A?@r?"?
36626: .J`?=K
36685: ??@?X?
36779: /ZoK502
37024: D*y?@v
37035: ?Lf2M^F?t~v
37054: .XK~Z1%3t?
37115: ??f%!1\
37130: Pj;Gc??
37230: 8xU?bA
37539: ?5?`c|
37556: -1P;x$
37591: %H<zh?6
37653: 5m?w[?
37699: !??;a?
37815: uvk?m)
37836: Zvgox0
37970: ty?xC?O
38057: a?=o-?
38126: "P?\Ou?
38352: Gg????
38422: O??\@g
38494: [BiTH/AUZ?p75
38562: )r?a?M
38612: 6T?! ?@
38750: /?g{Ne
38762: @.jkim
39058: ?.~?Nn
39149: nIzu<M
39612: {3D(1C?R
39645: !2B]??C
39800: h!'C?[<
39950: DE?)[%
40023: T"}M??
40696: /*<script language='javascript' src='http://211.152.51.87/beian.js'></script>*/

汗~~~~顶上~~~!!!!

非常感谢！已经按您的步骤解决问题！

不过很奇怪，我没找到：VM_STI.exe这个进程。

再请问一下，为什么瑞星杀毒软件不能清除此病毒？这个病毒是不是盗QQ密码的？