圣诞小魔怪

简介威胁级别

★★

病毒特征

这是一个借“圣诞”人气通过QQ传播的蠕虫病毒。

发作症状病毒在系统目录下释放病毒文件：%Windows%NIW.exe、%System%impai.exe，并添加启动项使其能随开机启动。病毒通过监控QQ发送窗口状态，向QQ好友以“圣诞”名义发送带有病毒链接的消息，诱使好友下载病毒。该病毒一旦运行后，修改TXT文件关联，可随时打开文本文件启动；修改浏览器主页，结束大量安全软件进程；下载并安装破解还原精灵，使其网吧、机房受到严重损失，同时，该病毒还将不停写注册表添加启动项，使用户根本无法用手工删除。

防范1.经常升级安全补丁。大多数网络病毒是通过系统漏洞进行传播，像冲击波、震荡波等，建议用户应该定期到微软网站去下载最新的安全补丁，切实做好防范工作。

2.目前窃取用户游戏、即时通讯工具等密码信息的病毒频繁出现，请用户一定要加强安全防范措施，避免给您造成损失。[1]

杀毒XP系统不需要借助任何软件,98系统则需要借助进程结束工具,

98系统的:

先使用任意一个结束进程的工具,把 NIW.EXE 进程结束掉(这时候千万别再打开记事本,因为病毒文件与修改了记事本的关联,打开记事本就会再次启动NIW.EXE进程),然后把C:WindowsSystemimpai.exe 删掉,然后再把 C:windowsNIW.EXE 删掉,这时候差不多了!再试试打开记事本看看,已经是打不开的了!最后是修复注册表的文件关联,先打开regedit.exe注册表,展开到 HKEY_LOCAL_MACHINESOFTWAREClassesxtfileshellopencommand

把右边的 "默认"字符串值改为: c:windows

otepad.exe

最后.分别展开到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

把 NIW.EXE 删除,到这里完全清除了,最后重新启动系统.

XP系统的和98差不多,可以用自带的任务管理器结束掉NIW.EXE进程.前面要删除的病毒文件 impai.exe 可能文件夹位置不同,如果不在 %system% 下就在%system32%下,下面的方法是一样.[2]