当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > QQ病毒的手工清除方法

安全基础
黑客攻击行为的特征分析及反攻击技术
Windows 2000中隐患重重的十大“服务”
网页脚本攻击防范全攻略
防患于未然 轻松做好Windows 2000安全策略
用注册表为操作系统砌九堵安全墙
完善网站程序 脚本攻击防范策略完全篇
两步修改XP远程管理默认端口可防止入侵
消除Windows XP自身的安全隐患
保护Windows不受恶意代码攻击
如何关闭和限制电脑不用的端口
修改Windows 2000远程终端默认端口
操作系统被入侵后的修复过程
利用微软基准安全分析器打造你安全的系统
数字签名技术简介
检测和删除系统中的木马
QQ密码破解程序
P2P中保障Windows网络安全
在代码中查找安全性缺陷的专家提示
QQ安全的三大纪律八项注意
如何保证文件夹的绝对安全

安全基础 中的 QQ病毒的手工清除方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 112 ::
收藏到网摘: n/a

        近日笔者的朋友收到一位网友发来的文件,文件名为OICQPASS,图标为一只可爱的小企鹅。那网友告诉他此文件可以增强QQ聊天的保护功能。结果双击运行后却什么提示也没有。但是后来发现任务管理器中有个SMTP任务在运行,后来确定是病毒,并最终清除。

  OICQPASS.exe是个主程序,还有xxc.dll文件,里面填写了E-mail地址,只要一运行OICQPASS.exe就被种上了木马,OICQ密码就会被发送到那个xxc.dll文件里面的E-mail中。

  1.首先删除病毒文件,然后到HKEY_LOCAL_MACHINE\Software\Micrsoft\Windows\CurrentVersion\Run中查找,发现和此OICQPASS病毒有关的两个启动项,一个是病毒文件所在的地址,另一个为C:\WinNT\System32\OICQPASS.EXE,于是分别删除这两个字符串;然后再到C:\WinNT\System32目录下去删除OICQPASS这个文件,但怎么查找也没发现这个文件,笔者以为病毒已经清除掉。重新启动机器,在任务管理器中竟然还有一个SMTP在运行,看来病毒还没有完全清除掉,马上停止了此进程继续查找病毒所在。

  2.到注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中一看,C:\WinNT\System32\OICQPASS.EXE这个启动项仍然存在,看来OICQPASS这个文件一定还存在,但为什么找不到它呢?

  3.在C:\WinNT\System32中又进行了筛选过滤,发现Winserver这个文件的图标是个小企鹅,这引起了笔者的怀疑,Winserver好像是系统文件但怎么戴个企鹅的帽子?删除这个文件后重新启动机器,机器提示“无法加载或运行注册表指定的Winserver.EXE,请确认文件是否存在你的计算机上,或者删除注册表中对它的引用”。再到任务管理器中检查,一切正常了。