SysWFGQQ2.dll是盗QQ木马Trojan-PSW.Win32.QQPass.pf（QQ通行证变种）释放的DLL文件，这次它是随着Autorun病毒kocmbcd.exe而来的，并与OnlineGames盗网游帐号木马同流合污！

Trojan-PSW.Win32.QQPass.pf分析与清除方案

病毒名称：Trojan-PSW.Win32.QQPass.pf
病毒文件：SysWFGQQ2.dll
病毒MD5：7ae2210181794ef26a850408044c7553
病毒类型：盗QQ木马

我得到的病毒文件为11.exe（即Trojan-PSW.Win32.QQPass.pf），11.exe运行后仅释放一个DLL文件C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGQQ2.dll。不过这个DLL文件强大的很！病毒进程11.exe通过安装全局系统钩子注入DLL文件SysWFGQQ2.dll至所有运行中的程序（如下图，注入到explorer.exe中的SysWFGQQ2.dll），通过WH_GETMESSAGE挂钩类型监视着键盘的输入。

创建以下注册表键值：

1、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{91B1E846-2BEF-4345-8848-7699C7C9935F}
值为：空 类型: REG_SZ
2、HKCR\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\InProcServer32\(默认)
值为：C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll 类型: REG_SZ

接着你会发现你的QQ自动退出，你也许会选择再次登录QQ，然而这样你的QQ就面临着被盗的危险了！看下面这张图，当我重启QQ后，SSM拦截了SysWFGQQ2.dll的注入：

最后病毒11.exe生成一个批处理_xr.bat删除自身，批处理自毁！仅留一个SysWFGQQ2.dll文件来完成盗QQ号的目的！手动杀此毒也很简单，可以用冰刃IceSword（可到down.wd1x.com下载）将病毒文件SysWFGQQ2.dll强制删除，然后将下面的注册表键值删了即可：

1、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{91B1E846-2BEF-4345-8848-7699C7C9935F}
2、HKCR\CLSID\{91B1E846-2BEF-4345-8848-7699C7C9935F}\

文中提到的软件均可到down.wd1x.com下载