分类

search

Tags

图标MUSIC

收藏

最近发表

回复

Aug 15

1月8日twunk32.exe木马事件

posted by 0xC8D8 in ¨★PC_Health 0 comments

早上在网上找GBA游戏.不知道哪个网站挂了马. 江民提示...

于是重启到安全模式..扫注册表. 进C盘删除病毒文件..再用江民杀毒...    查完重启.

进系统后一分钟内桌面就没反映了.不一会蓝屏...

重启.症状还在....应该是有病毒未清完.加载在启动项里...

进安全用江民未知病毒检测扫.(杀毒软件也不是万能的...我装杀毒软件唯一的要求就是能认到病毒就好.管你杀的掉杀不掉...- -)

发现一个可疑文件.C:\WINDOWS\system32\twunk32.exe    原来没见过的..

进那目录.发现是个系统隐藏属性的文件.进MSDOS.去除它的属性.  进注册表.搜索 twunk32.exe ...找到.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"twin"="C:\\WINDOWS\\system32\\twunk32.exe"   删了删了.那个文件也删了删了...

再上网搜索下.发现还生成.%System%\drivers\usbme.sys 这个文件..进去删了删了..

还用病毒文件替换了QQ安装目录中的.TIMPlatform.exe....这个文件本来就没用..删了删了.

发现还生成个名为Windows DHCP Service 的服务....

进注册表.删除服务.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinDHCPsvc

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinDHCPsvc

服务用的文件windhcp.ocx  搜下MS也是生成的.....删掉删掉.....

重启机子.............................................................(启动中.........................................................................................................)

一切正常.............................  

-END-

 

相关文章:

Feedback

:

:

(*)

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。