发新帖

这个杀手不可怕 QQ病毒的手工清除方法

[复制链接]
692 4 打印 上一主题 下一主题

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
近日笔者的朋友收到一位网友发来的文件,文件名为OICQPA ,图标为一只可爱的小企鹅。那网友告诉他此文件可以增强QQ聊天的保护功能。结果双击运行后却什么提示也没有。但是后来发现任务管理器中有个SMTP任务在运行,后来确定是病毒,并最终清除。
  其实朋友中的是QQ密码杀手病毒,OICQPA .exe是个主程序,还有xxc.dll文件,里面填写了E-mail地址,只要一运行OICQPA .exe就被种上了木马,OICQ密码就会被发送到那个xxc.dll文件里面的E-mail中。
  笔者利用江民005和QQ病毒专杀工具查杀,竟然报告未发现病毒,那就手工清除吧。
  .首先删除病毒文件,然后到HKEY_LOCAL_MACHINE\Software\Micrsoft\Windows\CurrentVersion\Run中查找,发现和此OICQPA 病毒有关的两个启动项,一个是病毒文件所在的地址,另一个为C:\Wi T\System\OICQPA .EXE,于是分别删除这两个字符串;然后再到C:\Wi T\System目录下去删除OICQPA 这个文件,但怎么查找也没发现这个文件,笔者以为病毒已经清除掉。重新启动机器,在任务管理器中竟然还有一个SMTP在运行,看来病毒还没有完全清除掉,马上停止了此进程继续查找病毒所在。
  .到注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中一看,C:\Wi T\System\OICQPA .EXE这个启动项仍然存在,看来OICQPA 这个文件一定还存在,但为什么找不到它呢?
  .在C:\Wi T\System中又进行了筛选过滤,发现Wi erver这个文件的图标是个小企鹅,这引起了笔者的怀疑,Wi erver好像是系统文件但怎么戴个企鹅的帽子?删除这个文件后重新启动机器,机器提示“无法加载或运行注册表指定的Wi erver.EXE,请确认文件是否存在你的计算机上,或者删除注册表中对它的引用”。再到任务管理器中检查,一切正常了。
  这个病毒挺狡猾,还会用假像迷惑人,它不但在启动项中放了一个烟雾弹,而且生成了一个貌似系统文件的“Wi erver”文件。至此手工清除木马病毒过程宣告结束,笔者也长舒一口气,希望这个方法可以帮助有同样问题的朋友。

精彩评论4

5
玉雪·风君  乞丐  发表于 2013-12-20 06:56:45 | 只看该作者
有竞争才有进步嘛
3
似乎我知道  新手上路  发表于 2012-12-7 18:55:26 | 只看该作者
恩,我觉得值得学习啊,顶你
沙发
万妍之歌  新手上路  发表于 2012-12-7 10:06:20 | 只看该作者
这个问题很有用,不错
楼主
花藤六月  新手上路  发表于 2012-12-7 02:21:53 | 只看该作者
好好学习了,真的不错哦
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表