douces 2007-4-12 17:59
伪TIMPlatform.exe木马解决方案
伪TIMPlatform.exe木马解决方案
这个木马没有进程,运行后进驻内存调用IE(iexplore.exe)访问远程信息下载木马或其它恶意程序,会不断弹出IE窗口。
运行后复制自身到系统目录%System%\vpcrm.exe,并改名QQ目录下TIMPlatform.exe为TIMPlatfrom.exe,复制自身为TIMPlatform.exe,使得QQ运行时也会调用运行病毒文件,此外,和之前的一些变种一样,它也释放了驱动文件%System%\drivers\moduleusb.sys。
创建的启动项是:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"9"="%System%\vpcrm.exe"
清除步骤
==========
1. 删除病毒文件:
%System%\vpcrm.exe-----系统目录
%QQ%\TIMPlatform.exe------QQ目录下--建议先卸载QQ
%System%\drivers\moduleusb.sys-----系统目录
2. 改名QQ目录下TIMPlatfrom.exe为TIMPlatform.exe
3. 删除启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"9"="%System%\vpcrm.exe"
4. 重新启动计算机
[[i] 本帖最后由 douces 于 2007-4-13 08:51 编辑 [/i]]
admfantasy 2007-6-23 13:47
【该内容已被自动屏蔽】
[[i] 本帖最后由 douces 于 2007-6-30 18:26 编辑 [/i]]