致:“苍寒”——关于你说的那个sxs.exe
这个sxs.exe是木马“QQ通行证”。
sxs.exe运行后,释放下列文件:
C:\windows\system32\SVOHOST.exe
C:\windows\system32\winscok.dll
系统分区以外的各个分区根目录下:autorun.inf和sxs.exe。
在注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run分支下添加启动项:
SoundMam(指向C:\windows\system32\SVOHOST.exe)。
winscok.dll插入资源管理器、Tiny防火墙、影子系统ShadowTip.exe以及染毒后运行的所有应用程序进程。
查杀流程:
1、结束木马进程C:\windows\system32\SVOHOST.exe。
2、删除木马的启动项。
3、重启系统。
4、显示隐藏文件。
5、删除下列文件:
C:\windows\system32\SVOHOST.exe
C:\windows\system32\winscok.dll
系统分区以外的各个分区根目录下:autorun.inf和sxs.exe。
注意:删除系统分区以外的autorun.inf和sxs.exe前,不要双击分区盘符。应该右击盘符、点击“打开”。切记!!!