Win32:QQRob-As[Trj]木马

柯南病毒
1、释放文件：

C:\WINDOWS\system32\SVOHOST.exe 40663 字节
C:\WINDOWS\system32\winscok.dll 41120 字节

2、从D开始，判断可用磁盘（Z），生成sxs.exe 和autorun.inf 。

3、添加启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

SoundMam = REG_SZ, "C:\windows\system32\SVOHOST.exe"

3、修改注册表，保证U盘自动运行：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoDriveTypeAutoRun修改为 REG_DWORD, 189

4、%Systemroot%system32释放noruns.reg。为：

REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:bd

？？？？

5、尝试关闭：

sc.exe
cmd.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe