当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > QQ病毒的手工清除方法

安全基础
入侵常用TCP端口作用及其操作建议之二十九
玩转XP系统中的一些另类卸载
移动硬盘常见问题的解决(1)
移动硬盘常见问题的解决(2)
使用RSS能做的十六件事
Win XP系统19例常见问题(1)
Win XP系统19例常见问题(2)
Win XP系统19例常见问题(3)
Win XP系统19例常见问题(4)
企业安全管理从IP地址开始
计算机取证常识
深入剖析EFS
WinXP另类垃圾的清理(1)
WinXP另类垃圾的清理(2)
WinXP另类垃圾的清理(3)
WinXP另类垃圾的清理(4)
给Windows XP标题栏瘦瘦身
体验Windows XP的网络视频会议(1)
体验Windows XP的网络视频会议(2)
交换网络中的嗅探和ARP欺骗

安全基础 中的 QQ病毒的手工清除方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 95 ::
收藏到网摘: n/a

        近日笔者的朋友收到一位网友发来的文件,文件名为OICQPASS,图标为一只可爱的小企鹅。那网友告诉他此文件可以增强QQ聊天的保护功能。结果双击运行后却什么提示也没有。但是后来发现任务管理器中有个SMTP任务在运行,后来确定是病毒,并最终清除。

  OICQPASS.exe是个主程序,还有xxc.dll文件,里面填写了E-mail地址,只要一运行OICQPASS.exe就被种上了木马,OICQ密码就会被发送到那个xxc.dll文件里面的E-mail中。

  1.首先删除病毒文件,然后到HKEY_LOCAL_MACHINE\Software\Micrsoft\Windows\CurrentVersion\Run中查找,发现和此OICQPASS病毒有关的两个启动项,一个是病毒文件所在的地址,另一个为C:\WinNT\System32\OICQPASS.EXE,于是分别删除这两个字符串;然后再到C:\WinNT\System32目录下去删除OICQPASS这个文件,但怎么查找也没发现这个文件,笔者以为病毒已经清除掉。重新启动机器,在任务管理器中竟然还有一个SMTP在运行,看来病毒还没有完全清除掉,马上停止了此进程继续查找病毒所在。

  2.到注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中一看,C:\WinNT\System32\OICQPASS.EXE这个启动项仍然存在,看来OICQPASS这个文件一定还存在,但为什么找不到它呢?

  3.在C:\WinNT\System32中又进行了筛选过滤,发现Winserver这个文件的图标是个小企鹅,这引起了笔者的怀疑,Winserver好像是系统文件但怎么戴个企鹅的帽子?删除这个文件后重新启动机器,机器提示“无法加载或运行注册表指定的Winserver.EXE,请确认文件是否存在你的计算机上,或者删除注册表中对它的引用”。再到任务管理器中检查,一切正常了。