愛國心

近日筆者的朋友收到一位網(wǎng)友發(fā)來的文件，文件名為OICQPASS，圖標為一只可愛的小企鵝。那網(wǎng)友告訴他此文件可以增強QQ聊天的保護功能。結(jié)果雙擊運行后卻什么提示也沒有。但是后來發(fā)現(xiàn)任務管理器中有個SMTP任務在運行，后來確定是病毒，并最終清除。

OICQPASS.exe是個主程序，還有xxc.dll文件，里面填寫了E-mail地址，只要一運行OICQ-PASS.exe就被種上了木馬，OICQ密碼就會被發(fā)送到那個xxc.dll文件里面的E-mail中。

(1)首先刪除病毒文件，然后到HKEY_LO-CAL_MACHINE＼Software＼Micrsoft＼Windows＼Cur-rentVersion＼Run中查找，發(fā)現(xiàn)和此OICQPASS病毒有關(guān)的兩個啟動項，一個是病毒文件所在的地址，另一個為C：＼WinNT＼System32＼OICQPASSEXE，于是分別刪除這兩個字符串；然后再到C＼WinNT＼System32目錄下去刪除OICQPASS這個文件，但怎么查找也沒發(fā)現(xiàn)這個文件，筆者以為病毒已經(jīng)清除掉。重新啟動機器，在任務管理器中竟然還有一個SMTP在運行，看來病毒還沒有完全清除掉，馬上停止了此進程繼續(xù)查找病毒所在。

(2)到注冊表HKEY_LOCAL_MACHINE＼Soft-ware＼Microsoft＼Windows＼CurrentVersion＼Run中一看，C：＼WinNT＼System32＼OICQPASS.EXE這個啟動項仍然存在，看來OICQPASS這個文件一定還存在，但為什么找不到它呢?

(3)在C：＼WinNT＼System32中又進行了篩選過濾，發(fā)現(xiàn)Winserver這個文件的圖標是個小企鵝。這引起了筆者的懷疑，Winserver好像是系統(tǒng)文件但怎么戴個企鵝的帽子?刪除這個文件后重新啟動機器，機器提示“無法加載或運行注冊表指定的Winserver.EXE，請確認文件是否存在你的計算機上，或者刪除注冊表中對它的引用”。再到任務管理器中檢查，一切正常了。