立刻加入博客人自己的廣告網(wǎng)

現(xiàn)象:

開機(jī)以后不久,在進(jìn)程里面會出現(xiàn)多個IEXPLORE.EXE進(jìn)程，用戶名都是SYSTEM,殺掉進(jìn)程之后，過一段時間就會重新啟動這個進(jìn)程。而且IEXPLORE.EXE進(jìn)程的cpu占用率常常達(dá)到100%！計(jì)算機(jī)根本就無法使用。在進(jìn)行撥號連網(wǎng)后,系統(tǒng)可能出現(xiàn)重起.甚是惱人!

此病毒自動禁用某些殺毒軟件,看來全面手工殺毒的時代即將來臨!

查殺方法:

此病毒類似灰鴿子病毒,但專殺工具無法殺除,顯然是改后的變種.下面提供幾種手工殺毒的方法.

1.關(guān)于usbme.sys的清除教程

剛才訪問網(wǎng)頁時卡巴提示有病毒,路徑是C:\WINDOWS\system32\drivers\usbme.sys的這個文件,我沒刪它想看看有啥效果,貌似病毒建立了進(jìn)程IEXPLORER.EXE ,用戶名為SYSTEM,之后陸續(xù)建立了幾個為IEXPLORER.EXE 的進(jìn)程,且CPU占有率達(dá)99%,害我差點(diǎn)死機(jī),之后我結(jié)束了該進(jìn)程查殺剛才的目錄,沒找到病毒源文件,我懷疑病毒仍然存在,因?yàn)镮EXPLORER.EXE 進(jìn)程結(jié)束之后依然能再出來,之后我用了procexp找了該進(jìn)程硬盤位置,提示C:\Program Files\Internet Explorer\IEXPLORE,應(yīng)該是微軟的IE,運(yùn)行之后沒發(fā)現(xiàn)問題,之后又陸續(xù)結(jié)束了幾次IEXPLORER.EXE 用戶名為SYSTEM的進(jìn)程,直到其不再出現(xiàn).無病毒反映.但是在打開QQ(別的程序沒試)時顯示病毒C:\WINDOWS\system32\drivers\usbme.sys,且每次刪完下次依然存在,此病毒進(jìn)程不在開機(jī)運(yùn)行里,個人認(rèn)為產(chǎn)生IEXPLORER.EXE 進(jìn)程及其他作用只是其發(fā)作的效果,病毒源文件仍未找到,估計(jì)殺毒軟件應(yīng)該可以清除,我想問問各位學(xué)長的看法以及病毒原理,我有說錯的地方希望給予指點(diǎn),還有個想問的是系統(tǒng)文件里是不是有個后綴為_hook.dll的文件啊,我查的時候找到一個8K的,要么是灰鴿子?不太了解啊~~感謝大家給予指點(diǎn).

經(jīng)過我2個小時的奮戰(zhàn)(有點(diǎn)夸張的說),終于解決了問題,具體刪除我是在安全模式下進(jìn)行的,此病毒分為4部分,1是在注冊表里HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run下的"9"="%System%\vpcrm.exe"(或twunk32.exe)開機(jī)運(yùn)行鍵,刪了,2是%system%\Drivers\usbme.sys這個文件,只能在DOS或安全模式下進(jìn)行刪除.3為QQ安裝目錄下的TIMPlatfrom.exe文件(上面我也提到病毒是將正常的QQ文件TIMPlatform.exe復(fù)制為TIMPlatfrom.exe,并將自身復(fù)制為正常的QQ文件)我首先修改了TIMPlatfrom.exe文件名,可惜和該目錄下的文件名重復(fù),但是我打開隱藏文件也沒能看到那個病毒的文件,我只能先把被病毒修改后的原QQ文件復(fù)制到了別的地方,改名,然后再復(fù)制回來,這時我看到了可以覆蓋病毒的那個25K左右的文件,覆蓋后運(yùn)行QQ,出現(xiàn)正常的TIMPlatform.exe進(jìn)程.4為vpcrm.exe"(或twunk32.exe)文件,網(wǎng)上都說有這個文件的,我沒找到,后來卡巴殺毒時找到了.

2. usbme.sys木馬病毒，名稱：“獵手變種fa”(PSWTroj.Mir.fa)
　　病毒特點(diǎn)：該病毒是一個盜取用戶QQ賬號的木馬，通過獲得QQ游戲窗口的方式獲取用戶賬號信息并發(fā)送到指定網(wǎng)址。
　　發(fā)作現(xiàn)象：病毒運(yùn)行后，將自身復(fù)制為%system%\vpcrm.exe，并釋放文件%system%\Drivers\usbme.sys。將正常的QQ文件TIMPlatform.exe復(fù)制為TIMPlatfrom.exe,并將自身復(fù)制為正常的QQ文件。

改了TIMPlatform.exe進(jìn)程,
把QQ卸載以后清理注冊表臨時文件，殺毒后到官方去下載新QQ

1、點(diǎn)擊：“開始”、“運(yùn)行”。鍵入regedit，按回車。清理注冊表：
（1）展開：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
刪除："load"=""
（2）展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run :
刪除："twin"="X:\\windows\\system32\\twunk32.exe"
2、重啟。顯示隱藏文件。
3、刪除X:\windows\system32\twunk32.exe。

4、卸載QQ。重新安裝。因?yàn)镼Q文件夾中的TIMPlatform.exe已被病毒覆蓋。

相關(guān)文章:

修改權(quán)限防止病毒或木馬等破壞您的系統(tǒng)

都是自動更新惹得禍

徹底查殺維金ViKing病毒

通過對一個病毒源碼的分析，了解VBS腳本語言的應(yīng)用

Hooks（鉤子）監(jiān)聽消息的方法

常見木馬清除法

google_ad_client = "pub-2416224910262877"; google_ad_width = 728; google_ad_height = 90; google_ad_format = "728x90_as"; google_ad_channel = ""; google_color_border = "E1771E"; google_color_bg = "FFFFFF"; google_color_link = "0000FF"; google_color_text = "000000"; google_color_url = "008000";

盜取QQ密碼的頑固的IEXPLORE.EXE病毒