|
| [原创]木马 twunk32.exe usbme.sys 解决方法 |
| 作者 网络vs浪子 查看 2015 发表时间 2007/1/1 05:04 【论坛浏览】 |
|
样本大小: 25536 字节 atwdony MD5: 68222890985de60f12363d8b3fe92519 atwdony SHA1: 9da2a2e7529e8e29356df35551841ddaf5287f4f atwdony 加壳方式: NsPack, FSG atwdony atwdony atwdony 该木马运行后生成:atwdony atwdony atwdony C:\windows\system32\twunk32.exeatwdony C:\windows\system32\drivers\usbme.sysatwdony atwdony atwdony 并重命名QQ目录下的TIMPlatform.exe为TIMPlatfrom.exe,复制自身为TIMPlatform.exe(大小25536 字节,隐藏、系统文件属性)atwdony atwdony atwdony 添加注册表启动项:atwdony HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Runatwdony "twin"="C:\windows\system32\twunk32.exe"atwdony atwdony atwdony 手工清除方法:atwdony atwdony atwdony 1.删除病毒添加的启动项:atwdony HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Runatwdony "twin"="C:\windows\system32\twunk32.exe"atwdony atwdony atwdony 2.重新启动系统!atwdony atwdony atwdony 3.删除病毒文件:atwdony C:\windows\system32\twunk32.exeatwdony C:\windows\system32\drivers\usbme.sysatwdony atwdony atwdony 并删除QQ目录下的TIMPlatform.exe(大小25536 字节,隐藏、系统文件属性)atwdony 重命名TIMPlatfrom.exe为TIMPlatform.exeatwdony atwdony atwdony 这个木马还是比较可恶的,利用了QQ运行后启动TIMPlatform.exe,达到再次感染!atwdony atwdony 原TIMPlatform.exe:atwdony  atwdonyatwdony atwdony atwdony 病毒TIMPlatform.exe:atwdony  atwdonyatwdony |
| 序号 | 评论者 | 共有评论 0 【论坛浏览】 【发表评论】 | 评论时间 |
| 当前无任何评论,或评论已被禁止显示 | |||
共有评论数 0 每页显示 10
|
|||
