症状:

这是一个盗号木马风险程序。该程序会尝试关闭杀毒软件avp.exe,盗取用户魔兽世界的帐号信息。

1.程序运行后，修改文件
%windows%win.ini
添加新节
[mhfp]
mhfp=msosmhfp00.dll
便于用mhfp代替病毒文件，免得用户怀疑

2.创建批处理程序，将自己的源文件删除，避免被用户发现

3.在注册表中添加了注册项，注册为服务，设为自启动，如下：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fpids32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
项名：AppInit_DLLs "" 值：hex(2):6d,73,6f,73,6d,68,66,70,30,30,2e,64,6c,6c,00即msosmhfp00.dll

4.将生成的文件msosmhfp00.dll用mhfp名注入系统进程services.exe中，搜索魔兽世界的进程，枚举窗口名，查找是否有名字

为msos的游戏窗口。一旦发现目标，病毒就会通过内存读写的方式窃取玩家的帐号信息，并将其发送到木马作者指定的多个

远程服务器。


今日公司一电脑出现异常，情况大概如下：
所有杀毒软件无法打开，瑞星服务中心显示，客户端关闭，
360安全卫士不能启动，也不能修复，
打开任何文件，
提示　C:\WINDOWS\system32＼msosmhfp00.dll　
msosjtio00.dll
msoscqit00.dll
msosmnsf00.dll
msosdrop00.dll
msosdohs00.dll

文件出错

修复工作，修复瑞星客户端，还是不能启动，３６０也不能成功修复，

提示　C:\WINDOWS\system32＼msosmhfp00.dll　 出错对话窗口不断自动打开，

一时没有好的解决办法就开始着手从提示的文件入手．

解决办法如下　：

先进入C:\WINDOWS\system32
按时间来排列下文件，查看今天生成的ＤＬＬ文件，竟然就只有这６个文件，
msosmhfp00.dll　
msosjtio00.dll
msoscqit00.dll
msosmnsf00.dll
msosdrop00.dll
msosdohs00.dll

而且弹出窗口所提示的文件出错就是这几个，看似要强行删除它，

打开已经改了名字的，冰刃，进入路径C:\WINDOWS\system32　找下这６个文件，强行删除了，
再清理了下用户目录下的Temp文件夹，
再次重启

情况好转，至少不会再出现对话窗口，
马上连上网络，上３６０网站下载　　360顽固木马专杀大全　
马上进行清理，效果
如图：


再次修复，文件夹等其它选项后，重启

问题解决了，瑞星修复完，可以启动，３６０也正常打开了

再次运行360清理剩下的流氓软件，竟然有１３个流氓软件

为安全起见，先用冰刃把病毒文件删除了，再用３６０来清理

清理完后，ＰＣ终于正常了