QQ病毒wsetdll清除过程

    最早是看到一个人发过来的信息：

今天在网上下了本电子书，书名叫《缘》，写得很不错，而且书作者的名字也很巧，跟你的QQ网名一样，也叫waxdoll。不会就是你写的吧？挺有才的嘛，写得不错，下载看看吧！点击下面这个地址可以下载这本书：http://www.18hi.com/shu.exe

    经常有打包的exe格式的电子书，所以迷惑性比较大。然后就中招了。症状为：打开浏览器，自动从about:blank跳转到http://www.19ku.com/index.html，并弹出XP SP2无法拦截的弹出窗口，弹出窗口的地址为http://www.soft-down.com/21.htm。

    QQ也会向别人自动发信息：

你好啊mac，这两天我没怎么上网
今天一上网朋友传给我一段ｑｑ视频，一看那人的ｑｑ昵称跟你的一样，也叫mac，不会是你吧？表演得也太露骨了一点吧？希望不是你。你最好看看吧！点击下面地址可以下载http://www.18hi.com/321.exe

    任务管理器有可疑进程"wsetdll.exe"，注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下增加了"wsetdll.exe"="%SystemDrive%:\WINDOWS\system\wsetdll.exe"项。%SystemDrive%:\WINDOWS\system\下有隐藏的系统文件wsetdll.exe。

    清除方法：
            1、停止进程wsetdll
            2、%SystemDrive%下搜索NotePad*和wsetdll*，删除所有修改时间为感染日期、大小为18.5KB的系统隐藏文件（只清除%SystemDrive%\Windows\system\wsetdll.exe是不够的）。我删除的文件有：
                        %SystemDrive%\Windows\notepad.exe
                        %SystemDrive%\Windows\system\wsetdll.exe
                        %SystemDrive%\Windows\system\notepad.exe
                        %SystemDrive%\Windows\system32\notepad.exe
            还有两个文件是%SystemDrive%\Windows\prefetch\WSETDLL.EXE-243B2282.pf和%SystemDrive%\Windows\prefetch\NOTEPAD.EXE-3A18C50F.pf（“Prefetch”是指预先提取的意思，它的作用是让Windows XP操作系统全面检查启动过程和所有运行程序，使系统能够预先提取下一笔非常态的资料，好处是使运行时的速度加快。）
            3、删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下的"wsetdll.exe"项目
            4、重启
            5、发现txt文件没有关联到NotePad，关联之。

    OK!