瑞星卡卡安全论坛

本人上个月误中了QQ尾巴木马“缘”"（Trojan/QQMsg.Axela）病毒后，一直没能找到彻底的杀毒方法。病毒发作时，若没有运行浏览器是根本无法察觉的。如果这时正在和qq好友聊天时，就会自动把那些讨厌的携带病毒的信息发出。为此，本人没少挨批！
此变种病毒发作时（操作系统为winxp）：
1、c:\windows 下出现另一个NOTEPAD.EXE文件
2、C:\Windows\System 下出现NOTEPAD.EXE,Win.dll,Windll.dll,Rundl132.dll.
3、进程中杀入Rundl132
4、注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中出现Rundll32项。
把进程kill掉,注册表项值杀掉后删除相关病毒文件后可以中止病毒，却无法根治。
后来在网上看到有关这个病毒的报告文件后。才知道，病毒与文本文件相关联了。所以，一旦但开任何一个记事本文件，病毒就将发作。我一试，果然如此。在注册表中发现，
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command项中值为NOTEPAD 1%,怀疑此NOTEPAD即为病毒产生的NOTEPAD。我试着将它改为“%SystemRoot%\system32\NOTEPAD.EXE  %1”后，病毒就没有再发作过了。

不过，还是有些疑问，比如为什么仅凭注册表项的关联就可以让病毒文件再生？新手初探，欢迎讨论

不知道你这个“缘”病毒是否有变化，原来的的已经是比较老的一个病毒了。

QQ“缘”病毒的病毒特征及清除方法

病毒特征：

该病毒用VB语言编写，采用ASPack压缩，利用QQ消息传播。运行后会将IE默认首页改变为：HTTP://WWW.**115.COM/，如果你发现自己的IE首页被修改成以上网址，就是被该病毒感染了。

病毒通常通过QQ发送一些比较敏感或热门的话题及消息，要你点击其链接的网站。而这些链接都是病毒网站。

　　　清除方法：
　　
　　　找到下列四个文件:

　　C:\windows\system\noteped.exe
　　C:\windows\system\Taskmgr.exe
　　C:\Windows\noteped.exe
　　C:\Windwos\system32\noteped.exe

　　删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉
注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 任务管理器"

      然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"
找到"Taskmgr" 删除

也可以按下面的步骤进行操作:

1.找到上面提到的四个文件。

2. 右键点击任务栏，选择任务管理器

3.选择进程里的Taskmgr.exe，但我后来又测试也进行名称不一定是大写的，也有可能是小写，一般排在上面的一个是。

4.点击开始-运行，输入Regedit进入注册表

5.在注册表中找到

"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run，将Taskmgr"项删除"。

删除后重启计算机，《缘》QQ病毒宣布彻底删除。

另外，为了减少被此病毒侵袭的机率，应更新你的IE到IE6 SP1

这个是“缘”的变种了。没有出现“taskmgr”。用老的方法不管用。