1. 運行"一生有你.exe"之后出現的圖片

　　看得出來，這個就是利用了大家喜歡看網友照片或者某些圖片的好奇心，把木馬文件和圖片捆綁起來運行的。

　　2. 運行"qq信使功能客戶端生成器"出現的界面；

　　這個很顯然是讓用戶刻意運行的--難道還有人會傻到自己運行木馬么？沒錯，在網吧等公共環境中，存在這這樣一類人，故意在所用的機器上啟用qq密碼盜取木馬，然后立即下機，后來的上網者就都成了該木馬的受害者--這樣獲取它人的qq以便謀利。我還是生成并運行了它。

　　4．運行Trojan.PSW.QQPass之后的無任何界面
　　我想是同上類型的，值得一提的是該病毒是一個典型的delphi程序的圖標，而且運行方式有點特別，后面我詳細說說；

　　5．運行qqinfo.exe 之后無任何界面；
　　但查看了一下它文件夾中的選項，有供替換用的internat.exe文件，不知為何在我機器上它替換失敗，哈哈。看了一下那個internat.exe文件的屬性，其版本號是5.0，猜測是對應win2k和winxp的，我這里是win98，所以無法替換吧？？

　　ok，該運行的病毒我全都運行起來了，現在看看到底這些病毒在我們系統中做了哪些手腳吧？？

　　一般來說，qq病毒都是獨立的程序，通過啟動的時候自動加載，檢查qq的登陸窗口句柄，通過控件id獲得用戶的id號和密碼值。也就是說，木馬的成功分為2個部分：1.硬盤上存在盜取密碼的程序；2.該程序被成功執行。明白了這點后，我們就可以分2步來分析這些盜取號碼的軟件：

　　首先我們來看看這些病毒在硬盤上的位置，根據天緣的經驗，木馬程序最喜歡在系統盤的根目錄下，在windows的目錄下（包括system和system32目錄）和qq所在的盤/目錄里最有可能隱藏病毒文件，讓我們去以上各個目錄看看。

　　首先，進入c盤的根目錄，使用資源瀏覽器將文件按修改時間排序，發現無故多了張名字為dream.jpg，大小為48k的圖片，打開一開，正是名為"一生有你.exe"這個病毒執行后出現的那張圖片，看來該qq病毒應該是利用了捆綁工具，將jpg文件和病毒文件捆綁到了一起，這類病毒專門針對喜歡看網友照片的朋友而設計的，哈哈。除了這文件外，沒發現其他文件被改變。 ok，接下來到c:\windows 目錄下來看看（天緣裝的操作系統是win98，如果在2k中就該是winnt目錄哦），同樣將文件按照時間排序看看。

　　發現增加了一個名為qqinfo.exe文件，
　　增加了一個名為intren0t.exe的程序，
　　增加了一個名為intrenat.exe的程序

　　接下來到system目錄下去看看：

　　發現該目錄下增加了一個名為explorer.exe的程序（這個程序跟資源管理器同名，不少的病毒/木馬都喜歡取一些跟系統本身固有程序類似的名字來混轄視聽，從下圖可以看出，圖標也是完全不同的）；

　　增加了一個名為：winms.exe的程序

　　增加了一個uhqq.dll的程序

　　系統盤就找到這么多，接著到其他盤去看看

　　來到d盤根目錄，發現增加了一個autorun.inf文件。

　　是個文本文件，打開一看，原來是指向D:\Program Files\FNYP.EXE。autorun.inf本來的作用是訪問該分區的時候自動執行某些任務，例如光驅自動讀盤就是用它實現的，但現在很多病毒也喜歡玩這個。Ok，不用說了，這個也是病毒干的，至于是哪個病毒呢？我猜測是Trojan.PSW.QQPass這個，因為圖標同樣是delphi的程序圖標。

　　先在一處找到了一個名為qqinfo的鍵值，在上面點鼠標右鍵，將其刪除；

　　接著按f3，繼續查找

　　在這里又發現幾處可疑的（蘭色標注的部分為病毒在注冊表里的項）

　　好了，之后就沒有再查找到可疑程序，到這里就查找完整了。。。接下來，就是先記錄下來這些可疑文件的文件名字（有位置的順便把文件位置也記錄下來），然后將上面說的可疑鍵值全部刪除掉。其中有一個比較特別的是rundll32.exe文件，這個本是windows的自帶文件，但是病毒文件將其替換掉了，恢復方法見后。

　　Ok，關閉regedit，等待個幾分鐘，然后再打開regedit看看，重復一下上面的操作，看看剛才在注冊表里的鍵值是否真的刪除掉了。因為利用改寫系統system i/o操作，可以作到令刪除指定文件/注冊表項目的操作無效--該技術目前只看到3721用到過。我查了一下，的確都刪除了，看來這些木馬技術含量還真不是一般的低，真好殺。

　　現在讓我們運行一下scanregw，重新備份注冊表

　　為什么這里要重新備份一次呢？？因為windows有個習慣，就是如果是非法關機，那么此次的注冊表操作都不保存--我曾經遇到過不少病毒利用這點來刻意令windows無法正常關機，達到用戶即使清理了注冊表也無效的效果。因此為了預防這點，我們重新備份一次注冊表--這時候的注冊表中已經是沒有木馬選項的了。

　　好了，重新啟動計算機，開機按f8，進入到安全模式中。這時候因為不運行注冊表里的啟動程序，所以所有的木馬都成了一匹死馬--除了d盤下的利用autorun.inf的那個。等下特別關照它。

　　按照剛才記錄下來的程序位置，依次進入到該目錄中將該病毒文件刪除；上面提到過，除了一個特殊的木馬外，其他的都在c盤，所以直接進到相應目錄里，刪除文件即可。

　　接下來，在"我點電腦中"，在d盤上點右鍵，選擇"打開"方式打開d盤（如下圖），注意，這一步不可以直接雙擊d盤圖標打開，那樣會導致d盤根目錄下的autorun.inf自動執行，別忘記了d盤的木馬還沒刪除掉呢。

　　在 開始--運行 中輸入"sfc"，打開系統文件檢查器
　　然后選擇"從安裝軟盤提取一個文件"，在下面的輸入欄中輸入rundll32.exe 接著點"開始"，彈出如下界面

　　將"還原自"那里輸入你的windows安裝盤位置，然后點"確定"就行了。到這里為止--運行的所有qq密碼盜竊病毒都被我們刪除干凈了。

　　接下來，再重新啟動一次計算機，您就可以放心上網聊qq去了。其實qq軟件木馬的功能相當單一，殺除也相當容易，但是大多數用戶是在發現被盜后才察覺到，屬于亡羊補牢。最好的辦法就是預防中毒，盡量不要接受陌生人的文件，在網吧上網的時候在下機前修改qq密碼，另外最為重要的就是認真填寫密碼保護資料--如果qq被盜，而密碼保護資料是亂填的，或者太簡單或者根本就沒密碼保護，那么qq號大概是很難尋回了。