1.首先刪除病毒文件,然後到HKEY_LOCAL_MACHINE\Software\Micrsoft\Windows\CurrentVersion\Run中查找,發現和此OICQPASS病毒有關的兩個啟動項,一個是病毒文件所在的地址,另一個為C:\WinNT\System32\OICQPASS.EXE,於是分別刪除這兩個字符串;然後再到C:\WinNT\System32目錄下去刪除OICQPASS這個文件,但怎麼查找也沒發現這個文件,筆者以為病毒已經清除掉。重新啟動機器,在任務管理器中竟然還有一個SMTP在運行,看來病毒還沒有完全清除掉,馬上停止了此進程繼續查找病毒所在。tW.wiNgWIt.cOm
2.到注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中一看,C:\WinNT\System32\OICQPASS.EXE這個啟動項仍然存在,看來OICQPASS這個文件一定還存在,但為什麼找不到它呢?
3.在C:\WinNT\System32中又進行了篩選過濾,發現Winserver這個文件的圖標是個小企鵝,這引起了筆者的懷疑,Winserver好像是系統文件但怎麼戴個企鵝的帽子?刪除這個文件後重新啟動機器,機器提示“無法加載或運行注冊表指定的Winserver.EXE,請確認文件是否存在你的計算機上,或者刪除注冊表中對它的引用”。再到任務管理器中檢查,一切正常了。
這個病毒挺狡猾,還會用假像迷惑人,它不但在啟動項中放了一個煙霧彈,而且生成了一個貌似系統文件的“Winserver”文件。至此手工清除木馬病毒過程宣告結束,筆者也長舒一口氣,希望這個方法可以幫助有同樣問題的朋友。
From:http://tw.wingwit.com/Article/Software/201309/3725.html