前几天我的电脑被感染了twin 病毒,开始不知道,只是机了使用不对劲了,越来越慢了,后来经检查是感染了twin病毒。
木马 twunk32.exe TIMPlatform.exe TIMPlatfrom.exe
档案编号:CISRT2006092
病毒名称:Trojan-Downloader.Win32.Small.czl(Kaspersky)
病毒别名:
病毒大小:24,576 字节
加壳方式:PE-Armor
样本MD5:d4fa99030af46864425560e07f052b50
样本SHA1:e60199bd1406ad11c022c7f8356f3bd6b7b40c6a
发现时间:2006.12
更新时间:2006.12
关联病毒:
传播方式:恶意网页、其它病毒下载
技术分析
==========
这个木马最近比较流行,通过修改QQ相关程序增加了清除的难度。木马运行
后复制自身到系统目录下:
%System%\\twunk32.exe
注入进程……
释放文件:
%System%\\drivers\\usbme.sys
创建启动项:
CODE:[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run]
\"twin\"=\"%System%\\twunk32.exe\"
修改QQ目录下的TIMPlatform.exe文件,使用病毒副本替换TIMPlatform.exe,原TIMPlatform.exe被改名为TIMPlatfrom.exe。
一.清除步骤
==========
1. 删除QQ目录下被木马替换的TIMPlatform.exe:
%QQ%\\TIMPlatform.exe
2. 重命名TIMPlatfrom.exe文件:
将%QQ%\\TIMPlatfrom.exe重命名为TIMPlatform.exe
3. 删除木马启动项:
CODE:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run]
\"twin\"=\"%System%\\twunk32.exe\"
4. 重新启动计算机
5. 删除木马文件:
%System%\\twunk32.exe
%System%\\drivers\\usbme.sys
二.清除步骤
==========
和上面大致相同,我觉得就是简单明了一点
1、点击:“开始”、“运行”。键入regedit,按回车。清理注册表:
(1)展开:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows
删除:\"load\"=\"\"
(2)展开:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run
删除:\"twin\"=\"X:\\\\windows\\\\system32\\\\twunk32.exe\"
2、重启。显示隐藏文件。
3、删除X:\\windows\\system32\\twunk32.exe。
4、卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。
注:
1、X为系统盘盘符。
2、如果你觉得TIMPlatform.exe没什么用,就直接删了它。不重新安装QQ,也行。
祝您不要染上病毒,如有错误的地方请您指出![s:30] |
发表于 2007-4-21 16:22:34
