中病毒了！

今天打开电脑，突然IE自动开启（平时是不用IE的），并且自动连接www.ctv163.com这个网站，马上意识到中病毒了。

打开进程管理器，发现一个名为“qqbmyv”的进程比较可疑，上网一查，果然是病毒进程，是一个QQ盗号木马，打开文件夹设置选项，竟然发现选择显示所有文件不可用，选上之后，点确定之后就被改回去了，并且Kaspersky不能启动，看来这款病毒还不简单。

打开注册表编辑器，发现[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
中“CheckedValue”键的属性被设置成了“REG_SZ”,将“CheckedValue”键删除之后，新建一个属性为“REG_DWORD”,值为“1”的“CheckedValue”键。注销重新登陆之后，文件夹选项可以设定了，选择显示所有文件，并且选择“显示受保护的系统文件”，发现每个分区下都多了个名为“sxs.exe”的文件，当然毫不客气地删除之。

attrib -a -h -s sxs.exe
del sxs.exe

打开进程管理器，将“qqbmyv”进程关闭，打开注册表编辑器，查找“qqbmyv”，发现两处。光顾着删了，忘了将内容记下来了。只记得有一个键值为“expleror.exe c:\windows\system32\qqbmyv.exe”的键，将“c:\windows\system32\qqbmyv.exe”的部分删除。最后删除病毒文件c:\windows\system32\qqbmyv.exe。

attrib -a -h -s qqbmyv.exe
del qqbmyv.exe

后来用Kaspersky扫描这两个文件，扫描结果为“Trojan-PSW.Win32.QQPass.pl”,用PEiD分析为“Borland Delphi”，没有加壳，以后有时间分析分析它。

追记：从朋友的移动硬盘上把autorun.inf文件找到了，这个文件的内容为：

[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe

删除病毒的时候，这个文件的内容最好一块儿删掉。

从网上查了一下关于・W32/QQPass.worm的资料，发现这个木马的变种还挺多。
・W32/QQPass停止以下服务
* KVWSC
* KVSrvXP
* kavsvc
* RsRavMon
* RsCCenter
* RsRavMon

・W32/QQPass停止以下进程

* PFW.exe
* Kav.exe
* KVOL.exe
* KVFW.exe
* TBMon.exe
* kav32.exe
* kvwsc.exe
* CCAPP.exe
* EGHOST.exe
* KRegEx.exe
* kavsvc.exe
* VPTray.exe
* RAVMON.exe
* KavPFW.exe
* SHSTAT.exe
* RavTask.exe
* TrojDie.kxp
* Iparmor.exe
* MAILMON.exe
* MCAGENT.exe
* KAVPLUS.exe
* RavMonD.exe
* Rtvscan.exe
* Nvsvc32.exe
* KVMonXP.exe
* Kvsrvxp.exe
* CCenter.exe
* KpopMon.exe
* RfwMain.exe
* KWATCHUI.exe
* MCVSESCN.exe
* MSKAGENT.exe
* kvolself.exe
* KVCenter.kxp
* kavstart.exe
* RAVTIMER.exe
* RRfwMain.exe
* FireTray.exe
* UpdaterUI.exe
* KVSrvXp_1.exe
* RavService.exe