解决常见的QQ病毒word.doc

解决常见的QQ病毒

Trojan.PSW.QQPass及其变种窃取OICQ帐号密码的木马病毒症状：

病毒文件发送给其他的OICQ用户，文件名有以下可能：

"好漂亮的动画哦，你打开看看吧.exe"

"一个对你目前工作很有帮助的好东东.exe"

"你一定需要的工作资料（网上找到的）.exe"

"接啊，快接啊，推荐给你看看.exe"

"QQTalk（QQ聊天秘籍，给你看看吧）.exe"

"网上电视（20个CCTV频道+36个省台+50个英文台，极力推荐）.exe"

"啊哈，网友发的超级搞笑FLASH，你看得懂吗.exe"

"笑死我了，你看过这个FLASH吗.exe"

"今年过年不收礼，收礼只收白骨精（搞笑版广告）.exe"

"超级MM，超级FLASH，请你笑纳.exe"

"腾讯QQ特殊使用技巧之动画教程（对你一定很有用的）.exe" "网上听收音机（调到第5个频道，我们边聊边听吧）.exe"

"在线收音机（我们一起听听第6个频道吧，来探讨这个话题）.exe" "看看我的高清晰视频图像，比QQ自带的强10倍.exe"

"你先看看我用静态照片制作成的MTV吧，我马上回来.exe"

"给你推荐一个周末好去处，打开看看就知道了.exe"

"本周末有什么打算？给你推荐一个好去处！.exe"

处理方法一:

OICQPASS.exe是个主程序，还有xxc.dll文件，里面填写了E-mail地址，只要一运行OICQPASS.exe就被种上了木马，OICQ 密码就会被发送到那个xxc.dll文件里面的E-mail中。

1.首先删除病毒文件，然后到HKEY_LOCAL_MACHINE\Software\Micrsoft\Windows\Current Version\Run中查找，发现和此OICQPASS病毒有关的两个启动项，一个是病毒文件所在的地址，另一个为C:\WinNT\System32\OICQPASS.EXE，于是分别删除这两个字符串；然后再到C:\WinNT\System32目录下去删除OICQPASS这个文件，但怎么查找也没发现这个文件，笔者以为病毒已经清除掉。重

新启动机器，在任务管理器中竟然还有一个SMTP在运行，看来病毒还没有完全清除掉，马上停止了此进程继续查找病毒所在。

2.到注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curren tVersi

on\Run 中一看，C:\WinNT\System32\OICQPASS.EXE这个启动项仍然存在，看来OICQPASS这个文件一定还存在，但为什么找不到它呢？

3.在C:\WinNT\System32中又进行了筛选过滤，发现Winserver这个文件的图标是个小企鹅，这引起了笔者的怀疑，Winserver好像是系统文件但怎么戴个企鹅的帽子？删除这个文件后重新启动机器，机器提示“无法加载或运行注册表指定的Winserver.EXE，请确认文件是否存在你的计算机上，或者删除注册表中对它的引用”。

再到任务管理器中检查，一切正常了。

处理方法二:

由Rickcard网友提供,针对目前的QQ通行证病毒，本人试着用手工清除，具体措施如下：

一：在江民和瑞星的网站上来次免费在线查毒，记录下病毒的文件名以及所在目录

二：将所有文件夹，文件属性设置成显示，包括系统文件

三：找到病毒所在的位置，删除掉。

四：有的病毒可能正在运行，删不掉，先打开任务管理，再打开qq ，看看多了哪个程序，结束掉，就可以杀了

五：用江民和瑞星分别在线免费查毒，看看还有没有病毒。

处理方法三:

用QQK***结束Rundll32.exe进程，删除以下文件：

SYSTEM32/notepad.exe （文件大小：217KB）

SYSTEM32/.EXE （文件大小：217KB）

SYSTEM/Rundll32.exe （文件大小：220KB）

最后在QQK***“恢复设置”中恢复EXE文件关联。

特别提醒：如果您使用的QQ是珊瑚虫版本，此病毒还会把QQ安装目录下的TIMPlatform.exe（珊瑚虫外挂程序）改名为TIMP1atform.exe，就算是杀完了，也会在下次重启QQ时重新使

病毒复活!按以上步骤查杀完毕后，需要将QQ安装目录下的TIMPlatform.exe（如果为127KB，则为病毒文件）删除。把TIMP1atform.exe（正常文件是68KB）改名为TIMPlatform.exe 即可。这样才能完全彻底清除，并正常使用珊瑚虫版本的显IP功能。