一台电脑的QQ被盗，登录时提示某地方曾经登录，要求激活。检查键盘加密，并没破坏，所以没大在意。
　　隔几天，再看该电脑时，发现NOD32未升级，升级后提示重启删除C:\\WINDOWS\\system32\\sidjazy.dll（Win32/PSW.OnLineGames.DZQ木马）， 用巡警扫描，此木马靠修改注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows项的AppInit_DLLs键来启 动，此键的DLL文件会在电脑启动时加载到WINLOGON系统进程，并加载到随后启动的每一个进程，因卸载WINLOGON系统进程的DLL文件可能令系统蓝屏崩溃，所以很多杀软会提示重启后删除，但效果不太理想，所以决定手动清除。
　　第一时间是清理所有进程中的sidjazy.dll模块，可以用巡警的进程管理/查找功能清除。我习惯用命令行处理，X-PS（下载地址：http://www.unnoo.com/uploads/freetools/X-PS-v1.0.rar），打开CMD，然后用任务管理器终止EXPLORER进程（资源管理器），有时资源管理器会无法卸载木马DLL模块，影响手动清除，所以最好先终止。在CMD里执行ps /m /f sidjazy.dll(列出哪些进程包含sidjazy.dll模块）， ps /e * sidjazy.dll(卸载所有进程中的sidjazy.dll模块），执行这个卸载命令后会出现下图的WINLOGON提示，如果点确定或取消都会立刻蓝屏的，将提示窗口移到一边，不管它。再执行ps /m /f sidjazy.dll看看有没有进程仍加载此模块，如果有残留，继续执行卸载命令，确保卸载完毕。

　　第二，在命令提示符为C：状态下执行CD C:\\WINDOWS\\SYSTEM32命令，进入C:\\WINDOWS\\SYSTEM32文件夹，执行ATTRIB sidjazy.dll -S -H -R （修改文件属性为普通文件），执行DEL sidjazy.dll删除文件。
　　删除sidjazy.dll文件后，用巡警清除注册表的AppInit_DLLs键并检查其他项目，发现还有WinSockSPI被sqmapi32.dll修改（NOD32对这个没报警 ），按上面步骤清理，然后修复WinSockSPI。WinSockSPI是底层网络服务，一般只有网络防火墙或其他软件修改，可以截取本机所有网络访问的数据，QQ的密码也许是靠这个来盗取的，懒得分析了，留给老麦吧。

　　重启后，再检查，木马已经消失。