近日笔者的朋友收到一位网友发来的文件，文件名为OICQPASS，图标为一只可爱的小企鹅。那网友告诉他此文件可以增强QQ聊天的保护功能。结果双击运行后却什么提示也没有。但是后来发现任务管理器中有个SMTP任务在运行，后来确定是病毒，并最终清除。

OICQPASS.exe是个主程序，还有xxc.dll文件，里面填写了E-mail地址，只要一运行OICQPASS.exe就被种上了木马，OICQ密码就会被发送到那个xxc.dll文件里面的E-mail中。

1.首先删除病毒文件，然后到HKEY_LOCAL_MACHINE\Software\Micrsoft\Windows\CurrentVersion\Run中查找，发现和此OICQPASS病毒有关的两个启动项，一个是病毒文件所在的地址，另一个为C:\WinNT\System32\OICQPASS.EXE，于是分别删除这两个字符串；然后再到C:\WinNT\System32目录下去删除OICQPASS这个文件，但怎么查找也没发现这个文件，笔者以为病毒已经清除掉。重新启动机器，在任务管理器中竟然还有一个SMTP在运行，看来病毒还没有完全清除掉，马上停止了此进程继续查找病毒所在。

2.到注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中一看，C:\WinNT\System32\OICQPASS.EXE这个启动项仍然存在，看来OICQPASS这个文件一定还存在，但为什么找不到它呢？

3.在C:\WinNT\System32中又进行了筛选过滤，发现Winserver这个文件的图标是个小企鹅，这引起了笔者的怀疑，Winserver好像是系统文件但怎么戴个企鹅的帽子？删除这个文件后重新启动机器，机器提示“无法加载或运行注册表指定的Winserver.EXE，请确认文件是否存在你的计算机上，或者删除注册表中对它的引用”。再到任务管理器中检查，一切正常了。