現象:
開機以后不久,在進程里面會出現多個IEXPLORE.EXE進程,用戶名都是SYSTEM,殺掉進程之后,過一段時間就會重新啟動這個進程。而且IEXPLORE.EXE進程的cpu占用率常常達到100%!計算機根本就無法使用。在進行撥號連網后,系統可能出現重起.甚是惱人!
此病毒自動禁用某些殺毒軟件,看來全面手工殺毒的時代即將來臨!
查殺方法:
此病毒類似灰鴿子病毒,但專殺工具無法殺除,顯然是改后的變種.下面提供幾種手工殺毒的方法.
1.關于usbme.sys的清除教程
剛才訪問網頁時卡巴提示有病毒,路徑是C:\WINDOWS\system32\drivers\usbme.sys的這個文件,我沒刪它想看看有啥效果,貌似病毒建立了進程IEXPLORER.EXE ,用戶名為SYSTEM,之后陸續建立了幾個為IEXPLORER.EXE 的進程,且CPU占有率達99%,害我差點死機,之后我結束了該進程查殺剛才的目錄,沒找到病毒源文件,我懷疑病毒仍然存在,因為IEXPLORER.EXE 進程結束之后依然能再出來,之后我用了procexp找了該進程硬盤位置,提示C:\Program Files\Internet Explorer\IEXPLORE,應該是微軟的IE,運行之后沒發現問題,之后又陸續結束了幾次IEXPLORER.EXE 用戶名為SYSTEM的進程,直到其不再出現.無病毒反映.但是在打開QQ(別的程序沒試)時顯示病毒C:\WINDOWS\system32\drivers\usbme.sys,且每次刪完下次依然存在,此病毒進程不在開機運行里,個人認為產生IEXPLORER.EXE 進程及其他作用只是其發作的效果,病毒源文件仍未找到,估計殺毒軟件應該可以清除,我想問問各位學長的看法以及病毒原理,我有說錯的地方希望給予指點,還有個想問的是系統文件里是不是有個后綴為_hook.dll的文件啊,我查的時候找到一個8K的,要么是灰鴿子?不太了解啊~~感謝大家給予指點.
經過我2個小時的奮戰(有點夸張的說),終于解決了問題,具體刪除我是在安全模式下進行的,此病毒分為4部分,1是在注冊表里HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run下的"9"="%System%\vpcrm.exe"(或twunk32.exe)開機運行鍵,刪了,2是%system%\Drivers\usbme.sys這個文件,只能在DOS或安全模式下進行刪除.3為QQ安裝目錄下的TIMPlatfrom.exe文件(上面我也提到病毒是將正常的QQ文件TIMPlatform.exe復制為TIMPlatfrom.exe,并將自身復制為正常的QQ文件)我首先修改了TIMPlatfrom.exe文件名,可惜和該目錄下的文件名重復,但是我打開隱藏文件也沒能看到那個病毒的文件,我只能先把被病毒修改后的原QQ文件復制到了別的地方,改名,然后再復制回來,這時我看到了可以覆蓋病毒的那個25K左右的文件,覆蓋后運行QQ,出現正常的TIMPlatform.exe進程.4為vpcrm.exe"(或twunk32.exe)文件,網上都說有這個文件的,我沒找到,后來卡巴殺毒時找到了.
2. usbme.sys木馬病毒,名稱:“獵手變種fa”(PSWTroj.Mir.fa)
病毒特點:該病毒是一個盜取用戶QQ賬號的木馬,通過獲得QQ游戲窗口的方式獲取用戶賬號信息并發送到指定網址。
發作現象:病毒運行后,將自身復制為%system%\vpcrm.exe,并釋放文件%system%\Drivers\usbme.sys。將正常的QQ文件TIMPlatform.exe復制為TIMPlatfrom.exe,并將自身復制為正常的QQ文件。
改了TIMPlatform.exe進程,
把QQ卸載以后清理注冊表臨時文件,殺毒后到官方去下載新QQ
1、點擊:“開始”、“運行”。鍵入regedit,按回車。清理注冊表:
(1)展開:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
刪除:"load"=""
(2)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run :
刪除:"twin"="X:\\windows\\system32\\twunk32.exe"
2、重啟。顯示隱藏文件。
3、刪除X:\windows\system32\twunk32.exe。
4、卸載QQ。重新安裝。因為QQ文件夾中的TIMPlatform.exe已被病毒覆蓋。
相關文章:
google_ad_client = "pub-2416224910262877"; google_ad_width = 728; google_ad_height = 90; google_ad_format = "728x90_as"; google_ad_channel = ""; google_color_border = "E1771E"; google_color_bg = "FFFFFF"; google_color_link = "0000FF"; google_color_text = "000000"; google_color_url = "008000";
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
