前天瑞星老师提示发现usbinte.sys病毒,提示重启后删除,可是重启之后呢,依然存在,依然是重启后删除,试了好多的办法,请教过瑞星的工程师,还是没有解决,不过,最后在网上找到了解决办法,
先转载如下: TIMPlatform.exe木马这个木马没有进程,如果你的进程TIMPlatform.exe被改名为TIMPlatfrom.exe(注意两个文件字母的排序)就可能中招了木马运行后进驻内存调用IE(iexplore.exe)访问远程信息下载木马或其它恶意程序。 运行后复制自身到系统目录%System32%\visin.exe,并改名QQ目录下TIMPlatform.exe为TIMPlatfrom.exe,复制自身为TIMPlatform.exe,使得QQ运行时也会调用运行病毒文件,此外,和之前的一些变种一样,它也释放了驱动文件%System32%\drivers\usbinte.sys。
创建的启动项是: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "9"="%System32是%\visin.exe"
清除步骤 ==========
1. 删除病毒文件: %System32%\visin.exe %QQ%\TIMPlatform.exe %System32%\drivers\usbinte.sys(如果删除不了,直接进行下一步骤)
2. 改名QQ目录下TIMPlatfrom.exe为TIMPlatform.exe
3. 删除启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "9"="%System32%\visin.exe"
4. 重新启动计算机
注意:病毒文件名不一定是visin.exe、usbinte.sys也不一定在System32目录下但QQ目录下一定有TIMPlatfrom.exe和TIMPlatform.exe两个文件(有可能是隐藏的)
- 评论:(0)
发表评论 点击这里获取该日志的TrackBack引用地址