近日筆者的朋友收到一位網(wǎng)友發(fā)來的文件(計(jì)算機(jī)愛好者,學(xué)習(xí)計(jì)算機(jī)基礎(chǔ),電腦入門,請到本站,我站同時(shí)提供計(jì)算機(jī)基礎(chǔ)知識(shí)教程,計(jì)算機(jī)基礎(chǔ)知識(shí)試題供大家學(xué)習(xí)和使用),,文件名為OICQPASS,圖標(biāo)為一只可愛的小企鵝。那網(wǎng)友告訴他此文件可以增強(qiáng)QQ聊天的保護(hù)功能。結(jié)果雙擊運(yùn)行后卻什么提示也沒有。但是后來發(fā)現(xiàn)任務(wù)管理器中有個(gè)SMTP任務(wù)在運(yùn)行,后來確定是病毒,并最終清除。其實(shí)朋友中的是OICQ密碼殺手病毒,OICQPASS.exe是個(gè)主程序,還有xxc.dll文件,里面填寫了E-mail地址,只要一運(yùn)行OICQPASS.exe就被種上了木馬,OICQ密碼就會(huì)被發(fā)送到那個(gè)xxc.dll文件里面的E-mail中。
筆者利用江民2005和QQ病毒專殺工具查殺,竟然報(bào)告未發(fā)現(xiàn)病毒,那就手工清除吧。
1.首先刪除病毒文件,然后到HKEY_LOCAL_MACHINESoftwareMicrsoftWindowsCurrentVersionRun中查找,發(fā)現(xiàn)和此OICQPASS病毒有關(guān)的兩個(gè)啟動(dòng)項(xiàng),一個(gè)是病毒文件所在的地址,另一個(gè)為C:WinNTSystem32OICQPASS.EXE,于是分別刪除這兩個(gè)字符串;然后再到C:WinNTSystem32目錄下去刪除OICQPASS這個(gè)文件,但怎么查找也沒發(fā)現(xiàn)這個(gè)文件,筆者以為病毒已經(jīng)清除掉。重新啟動(dòng)機(jī)器,在任務(wù)管理器中竟然還有一個(gè)SMTP在運(yùn)行,看來病毒還沒有完全清除掉,馬上停止了此進(jìn)程繼續(xù)查找病毒所在。
2.到注冊表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中一看,C:WinNTSystem32OICQPASS.EXE這個(gè)啟動(dòng)項(xiàng)仍然存在,看來OICQPASS這個(gè)文件一定還存在,但為什么找不到它呢?
3.在C:WinNTSystem32中又進(jìn)行了篩選過濾,發(fā)現(xiàn)Winserver這個(gè)文件的圖標(biāo)是個(gè)小企鵝,這引起了筆者的懷疑,Winserver好像是系統(tǒng)文件但怎么戴個(gè)企鵝的帽子?刪除這個(gè)文件后重新啟動(dòng)機(jī)器,機(jī)器提示“無法加載或運(yùn)行注冊表指定的Winserver.EXE,請確認(rèn)文件是否存在你的計(jì)算機(jī)上,或者刪除注冊表中對它的引用”。再到任務(wù)管理器中檢查,一切正常了。
這個(gè)病毒挺狡猾,還會(huì)用假像迷惑人,它不但在啟動(dòng)項(xiàng)中放了一個(gè)煙霧彈,而且生成了一個(gè)貌似系統(tǒng)文件的“Winserver”文件。至此手工清除木馬病毒過程宣告結(jié)束,筆者也長舒一口氣,希望這個(gè)方法可以幫助有同樣問題的朋友。
上海廣樂網(wǎng)絡(luò)科技有限公司 
滬ICP備14038021號(hào)-2 版權(quán)所有. 上海市市轄區(qū)浦東新區(qū)盛夏路666號(hào)盛銀大廈E棟 13151091625
