|
| [原创]木马 twunk32.exe usbme.sys 解决方法 |
| 作者 网络vs浪子 查看 1928 发表时间 2007/1/1 05:04 【论坛浏览】 |
|
样本大小: 25536 字节 uqttrdqbwx MD5: 68222890985de60f12363d8b3fe92519 uqttrdqbwx SHA1: 9da2a2e7529e8e29356df35551841ddaf5287f4f uqttrdqbwx 加壳方式: NsPack, FSG uqttrdqbwx uqttrdqbwx uqttrdqbwx 该木马运行后生成:uqttrdqbwx uqttrdqbwx uqttrdqbwx C:\windows\system32\twunk32.exeuqttrdqbwx C:\windows\system32\drivers\usbme.sysuqttrdqbwx uqttrdqbwx uqttrdqbwx 并重命名QQ目录下的TIMPlatform.exe为TIMPlatfrom.exe,复制自身为TIMPlatform.exe(大小25536 字节,隐藏、系统文件属性)uqttrdqbwx uqttrdqbwx uqttrdqbwx 添加注册表启动项:uqttrdqbwx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Runuqttrdqbwx "twin"="C:\windows\system32\twunk32.exe"uqttrdqbwx uqttrdqbwx uqttrdqbwx 手工清除方法:uqttrdqbwx uqttrdqbwx uqttrdqbwx 1.删除病毒添加的启动项:uqttrdqbwx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Runuqttrdqbwx "twin"="C:\windows\system32\twunk32.exe"uqttrdqbwx uqttrdqbwx uqttrdqbwx 2.重新启动系统!uqttrdqbwx uqttrdqbwx uqttrdqbwx 3.删除病毒文件:uqttrdqbwx C:\windows\system32\twunk32.exeuqttrdqbwx C:\windows\system32\drivers\usbme.sysuqttrdqbwx uqttrdqbwx uqttrdqbwx 并删除QQ目录下的TIMPlatform.exe(大小25536 字节,隐藏、系统文件属性)uqttrdqbwx 重命名TIMPlatfrom.exe为TIMPlatform.exeuqttrdqbwx uqttrdqbwx uqttrdqbwx 这个木马还是比较可恶的,利用了QQ运行后启动TIMPlatform.exe,达到再次感染!uqttrdqbwx uqttrdqbwx 原TIMPlatform.exe:uqttrdqbwx  uqttrdqbwxuqttrdqbwx uqttrdqbwx uqttrdqbwx 病毒TIMPlatform.exe:uqttrdqbwx  uqttrdqbwxuqttrdqbwx |
| 序号 | 评论者 | 共有评论 0 【论坛浏览】 【发表评论】 | 评论时间 |
| 当前无任何评论,或评论已被禁止显示 | |||
共有评论数 0 每页显示 10
|
|||
