QQ病毒的手工清除方法

浪漫猎手

OICQPASS.exe是个主程序，还有xxc.dll文件，里面填写了E-mail地址，只要一运行OICQPASS.exe就被种上了木马，OICQ密码就会被发送到那个xxc.dll文件里面的E-mail中。
    1.首先删除病毒文件，然后到HKEY_LOCAL_MACHINESoftwareMicrsoftWindowsCurrentVersionRun中查找，发现和此OICQPASS病毒有关的两个启动项，一个是病毒文件所在的地址，另一个为C:WinNTSystem32OICQPASS.EXE，于是分别删除这两个字符串；然后再到C:WinNTSystem32目录下去删除OICQPASS这个文件，但怎么查找也没发现这个文件，笔者以为病毒已经清除掉。重新启动机器，在任务管理器中竟然还有一个SMTP在运行，看来病毒还没有完全清除掉，马上停止了此进程继续查找病毒所在。

    2.到注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 中一看，C:WinNTSystem32OICQPASS.EXE这个启动项仍然存在，看来OICQPASS这个文件一定还存在，但为什么找不到它呢？

    3.在C:WinNTSystem32中又进行了筛选过滤，发现Winserver这个文件的图标是个小企鹅，这引起了笔者的怀疑，Winserver好像是系统文件但怎么戴个企鹅的帽子？删除这个文件后重新启动机器，机器提示“无法加载或运行注册表指定的Winserver.EXE，请确认文件是否存在你的计算机上，或者删除注册表中对它的引用”。再到任务管理器中检查，一切正常了。