.Lga510
样本大小: 25536 字节
MD5: 68222890985de60f12363d8b3fe92519
SHA1: 9da2a2e7529e8e29356df35551841ddaf5287f4f
加壳方式: NsPack, FSG
该木马运行后生成:
C:\windows\system32\twunk32.exe
C:\windows\system32\drivers\usbme.sys
并重命名QQ目录下的TIMPlatform.exe为TIMPlatfrom.exe,复制自身为TIMPlatform.exe(大小25536 字节,隐藏、系统文件属性)
添加注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Run(少打了..)
"twin"="C:\windows\system32\twunk32.exe"
手工清除方法:
1.删除病毒添加的启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Run
"twin"="C:\windows\system32\twunk32.exe"
2.重新启动系统!
3.删除病毒文件:
C:\windows\system32\twunk32.exe
C:\windows\system32\drivers\usbme.sys
并删除QQ目录下的TIMPlatform.exe(大小25536 字节,隐藏、系统文件属性)
重命名TIMPlatfrom.exe为TIMPlatform.exe
这个木马还是比较可恶的,利用了QQ运行后启动TIMPlatform.exe,达到再次感染!
原TIMPlatform.exe:
病毒TIMPlatform.exe:
无法删除此项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
"twin"="C:\windows\system32\twunk32.exe"
怎么办?
用Icesword就可以解决了,谢谢楼主!