熱點推薦:
您现在的位置: 電腦知識網 >> 軟件專區 >> 正文

如何手動刪除qq病毒

2013-09-12 17:24:50  來源: 軟件專區 
近日筆者的朋友收到一位網友發來的文件,文件名為OICQPASS,圖標為一只可愛的小企鵝。那網友告訴他此文件可以增強QQ聊天的保護功能。結果雙擊運行後卻什麼提示也沒有。但是後來發現任務管理器中有個SMTP任務在運行,後來確定是病毒,並最終清除。其實朋友中的是OICQ密碼殺手病毒,OICQPASS.exe是個主程序,還有xxc.dll文件,裡面填寫了E-mail地址,只要一運行OICQPASS.exe就被種上了木馬,OICQ密碼就會被發送到那個xxc.dll文件裡面的E-mail中。筆者利用江民2005和QQ病毒專殺工具查殺,竟然報告未發現病毒,那麼就來看看如何手動刪除qq病毒?

  1.首先刪除病毒文件,然後到HKEY_LOCAL_MACHINE\Software\Micrsoft\Windows\CurrentVersion\Run中查找,發現和此OICQPASS病毒有關的兩個啟動項,一個是病毒文件所在的地址,另一個為C:\WinNT\System32\OICQPASS.EXE,於是分別刪除這兩個字符串;然後再到C:\WinNT\System32目錄下去刪除OICQPASS這個文件,但怎麼查找也沒發現這個文件,筆者以為病毒已經清除掉。重新啟動機器,在任務管理器中竟然還有一個SMTP在運行,看來病毒還沒有完全清除掉,馬上停止了此進程繼續查找病毒所在。Tw.wINgwIt.coM

  2.到注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中一看,C:\WinNT\System32\OICQPASS.EXE這個啟動項仍然存在,看來OICQPASS這個文件一定還存在,但為什麼找不到它呢?

  3.在C:\WinNT\System32中又進行了篩選過濾,發現Winserver這個文件的圖標是個小企鵝,這引起了筆者的懷疑,Winserver好像是系統文件但怎麼戴個企鵝的帽子?刪除這個文件後重新啟動機器,機器提示“無法加載或運行注冊表指定的Winserver.EXE,請確認文件是否存在你的計算機上,或者刪除注冊表中對它的引用”。再到任務管理器中檢查,一切正常了。

  這個病毒挺狡猾,還會用假像迷惑人,它不但在啟動項中放了一個煙霧彈,而且生成了一個貌似系統文件的“Winserver”文件。至此手工清除木馬病毒過程宣告結束,筆者也長舒一口氣,希望這個方法可以幫助有同樣問題的朋友。  
From:http://tw.wingwit.com/Article/Software/201309/3725.html
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.