1. 運(yùn)行"一生有你.exe"之后出現(xiàn)的圖片

　　看得出來(lái)，這個(gè)就是利用了大家喜歡看網(wǎng)友照片或者某些圖片的好奇心，把木馬文件和圖片捆綁起來(lái)運(yùn)行的。

　　2. 運(yùn)行"qq信使功能客戶(hù)端生成器"出現(xiàn)的界面；

　　這個(gè)很顯然是讓用戶(hù)刻意運(yùn)行的--難道還有人會(huì)傻到自己運(yùn)行木馬么？沒(méi)錯(cuò)，在網(wǎng)吧等公共環(huán)境中，存在這這樣一類(lèi)人，故意在所用的機(jī)器上啟用qq密碼盜取木馬，然后立即下機(jī)，后來(lái)的上網(wǎng)者就都成了該木馬的受害者--這樣獲取它人的qq以便謀利。我還是生成并運(yùn)行了它。

　　4．運(yùn)行Trojan.PSW.QQPass之后的無(wú)任何界面
　　我想是同上類(lèi)型的，值得一提的是該病毒是一個(gè)典型的delphi程序的圖標(biāo)，而且運(yùn)行方式有點(diǎn)特別，后面我詳細(xì)說(shuō)說(shuō)；

　　5．運(yùn)行qqinfo.exe 之后無(wú)任何界面；
　　但查看了一下它文件夾中的選項(xiàng)，有供替換用的internat.exe文件，不知為何在我機(jī)器上它替換失敗，哈哈�？戳艘幌履莻�(gè)internat.exe文件的屬性，其版本號(hào)是5.0，猜測(cè)是對(duì)應(yīng)win2k和winxp的，我這里是win98，所以無(wú)法替換吧？？

　　ok，該運(yùn)行的病毒我全都運(yùn)行起來(lái)了，現(xiàn)在看看到底這些病毒在我們系統(tǒng)中做了哪些手腳吧？？

　　一般來(lái)說(shuō)，qq病毒都是獨(dú)立的程序，通過(guò)啟動(dòng)的時(shí)候自動(dòng)加載，檢查qq的登陸窗口句柄，通過(guò)控件id獲得用戶(hù)的id號(hào)和密碼值。也就是說(shuō)，木馬的成功分為2個(gè)部分：1.硬盤(pán)上存在盜取密碼的程序；2.該程序被成功執(zhí)行。明白了這點(diǎn)后，我們就可以分2步來(lái)分析這些盜取號(hào)碼的軟件：

　　首先我們來(lái)看看這些病毒在硬盤(pán)上的位置，根據(jù)天緣的經(jīng)驗(yàn)，木馬程序最喜歡在系統(tǒng)盤(pán)的根目錄下，在windows的目錄下（包括system和system32目錄）和qq所在的盤(pán)/目錄里最有可能隱藏病毒文件，讓我們?nèi)ヒ陨细鱾�(gè)目錄看看。

　　首先，進(jìn)入c盤(pán)的根目錄，使用資源瀏覽器將文件按修改時(shí)間排序，發(fā)現(xiàn)無(wú)故多了張名字為dream.jpg，大小為48k的圖片，打開(kāi)一開(kāi)，正是名為"一生有你.exe"這個(gè)病毒執(zhí)行后出現(xiàn)的那張圖片，看來(lái)該qq病毒應(yīng)該是利用了捆綁工具，將jpg文件和病毒文件捆綁到了一起，這類(lèi)病毒專(zhuān)門(mén)針對(duì)喜歡看網(wǎng)友照片的朋友而設(shè)計(jì)的，哈哈。除了這文件外，沒(méi)發(fā)現(xiàn)其他文件被改變。 ok，接下來(lái)到c:\windows 目錄下來(lái)看看（天緣裝的操作系統(tǒng)是win98，如果在2k中就該是winnt目錄哦），同樣將文件按照時(shí)間排序看看。

　　發(fā)現(xiàn)增加了一個(gè)名為qqinfo.exe文件，
　　增加了一個(gè)名為intren0t.exe的程序，
　　增加了一個(gè)名為intrenat.exe的程序

　　接下來(lái)到system目錄下去看看：

　　發(fā)現(xiàn)該目錄下增加了一個(gè)名為explorer.exe的程序（這個(gè)程序跟資源管理器同名，不少的病毒/木馬都喜歡取一些跟系統(tǒng)本身固有程序類(lèi)似的名字來(lái)混轄視聽(tīng)，從下圖可以看出，圖標(biāo)也是完全不同的）；

　　增加了一個(gè)名為：winms.exe的程序

　　增加了一個(gè)uhqq.dll的程序

　　系統(tǒng)盤(pán)就找到這么多，接著到其他盤(pán)去看看

　　來(lái)到d盤(pán)根目錄，發(fā)現(xiàn)增加了一個(gè)autorun.inf文件。

　　是個(gè)文本文件，打開(kāi)一看，原來(lái)是指向D:\Program Files\FNYP.EXE。autorun.inf本來(lái)的作用是訪問(wèn)該分區(qū)的時(shí)候自動(dòng)執(zhí)行某些任務(wù)，例如光驅(qū)自動(dòng)讀盤(pán)就是用它實(shí)現(xiàn)的，但現(xiàn)在很多病毒也喜歡玩這個(gè)。Ok，不用說(shuō)了，這個(gè)也是病毒干的，至于是哪個(gè)病毒呢？我猜測(cè)是Trojan.PSW.QQPass這個(gè)，因?yàn)閳D標(biāo)同樣是delphi的程序圖標(biāo)。

　　先在一處找到了一個(gè)名為qqinfo的鍵值，在上面點(diǎn)鼠標(biāo)右鍵，將其刪除；

　　接著按f3，繼續(xù)查找

　　在這里又發(fā)現(xiàn)幾處可疑的（蘭色標(biāo)注的部分為病毒在注冊(cè)表里的項(xiàng)）

　　好了，之后就沒(méi)有再查找到可疑程序，到這里就查找完整了。。。接下來(lái)，就是先記錄下來(lái)這些可疑文件的文件名字（有位置的順便把文件位置也記錄下來(lái)），然后將上面說(shuō)的可疑鍵值全部刪除掉。其中有一個(gè)比較特別的是rundll32.exe文件，這個(gè)本是windows的自帶文件，但是病毒文件將其替換掉了，恢復(fù)方法見(jiàn)后。

　　Ok，關(guān)閉regedit，等待個(gè)幾分鐘，然后再打開(kāi)regedit看看，重復(fù)一下上面的操作，看看剛才在注冊(cè)表里的鍵值是否真的刪除掉了。因?yàn)槔�用改�?xiě)系統(tǒng)system i/o操作，可以作到令刪除指定文件/注冊(cè)表項(xiàng)目的操作無(wú)效--該技術(shù)目前只看到3721用到過(guò)。我查了一下，的確都刪除了，看來(lái)這些木馬技術(shù)含量還真不是一般的低，真好殺。

　　現(xiàn)在讓我們運(yùn)行一下scanregw，重新備份注冊(cè)表

　　為什么這里要重新備份一次呢？？因?yàn)閣indows有個(gè)習(xí)慣，就是如果是非法關(guān)機(jī)，那么此次的注冊(cè)表操作都不保存--我曾經(jīng)遇到過(guò)不少病毒利用這點(diǎn)來(lái)刻意令windows無(wú)法正常關(guān)機(jī)，達(dá)到用戶(hù)即使清理了注冊(cè)表也無(wú)效的效果。因此為了預(yù)防這點(diǎn)，我們重新備份一次注冊(cè)表--這時(shí)候的注冊(cè)表中已經(jīng)是沒(méi)有木馬選項(xiàng)的了。

　　好了，重新啟動(dòng)計(jì)算機(jī)，開(kāi)機(jī)按f8，進(jìn)入到安全模式中。這時(shí)候因?yàn)椴贿\(yùn)行注冊(cè)表里的啟動(dòng)程序，所以所有的木馬都成了一匹死馬--除了d盤(pán)下的利用autorun.inf的那個(gè)。等下特別關(guān)照它。

　　按照剛才記錄下來(lái)的程序位置，依次進(jìn)入到該目錄中將該病毒文件刪除；上面提到過(guò)，除了一個(gè)特殊的木馬外，其他的都在c盤(pán)，所以直接進(jìn)到相應(yīng)目錄里，刪除文件即可。

　　接下來(lái)，在"我點(diǎn)電腦中"，在d盤(pán)上點(diǎn)右鍵，選擇"打開(kāi)"方式打開(kāi)d盤(pán)（如下圖），注意，這一步不可以直接雙擊d盤(pán)圖標(biāo)打開(kāi)，那樣會(huì)導(dǎo)致d盤(pán)根目錄下的autorun.inf自動(dòng)執(zhí)行，別忘記了d盤(pán)的木馬還沒(méi)刪除掉呢。

　　在 開(kāi)始--運(yùn)行 中輸入"sfc"，打開(kāi)系統(tǒng)文件檢查器
　　然后選擇"從安裝軟盤(pán)提取一個(gè)文件"，在下面的輸入欄中輸入rundll32.exe 接著點(diǎn)"開(kāi)始"，彈出如下界面

　　將"還原自"那里輸入你的windows安裝盤(pán)位置，然后點(diǎn)"確定"就行了。到這里為止--運(yùn)行的所有qq密碼盜竊病毒都被我們刪除干凈了。

　　接下來(lái)，再重新啟動(dòng)一次計(jì)算機(jī)，您就可以放心上網(wǎng)聊qq去了。其實(shí)qq軟件木馬的功能相當(dāng)單一，殺除也相當(dāng)容易，但是大多數(shù)用戶(hù)是在發(fā)現(xiàn)被盜后才察覺(jué)到，屬于亡羊補(bǔ)牢。最好的辦法就是預(yù)防中毒，盡量不要接受陌生人的文件，在網(wǎng)吧上網(wǎng)的時(shí)候在下機(jī)前修改qq密碼，另外最為重要的就是認(rèn)真填寫(xiě)密碼保護(hù)資料--如果qq被盜，而密碼保護(hù)資料是亂填的，或者太簡(jiǎn)單或者根本就沒(méi)密碼保護(hù)，那么qq號(hào)大概是很難尋回了。