盗取QQ密码的顽固的IEXPLORE.EXE病毒
盗取QQ密码的顽固的IEXPLORE.EXE病毒
大家好,又见面了,我是你们的朋友全栈君。
现象:
开机以后不久,在进程里面会出现多个IEXPLORE.EXE进程,用户名都是SYSTEM,杀掉进程之后,过一段时间就会重新启动这个进程。而且IEXPLORE.EXE进程的cpu占用率常常达到100%!计算机根本就无法使用。在进行拨号连网后,系统可能出现重起.甚是恼人!
此病毒自动禁用某些杀毒软件,看来全面手工杀毒的时代即将来临!
查杀方法:
此病毒类似灰鸽子病毒,但专杀工具无法杀除,显然是改后的变种.下面提供几种手工杀毒的方法.
1.关于usbme.sys的清除教程 刚才访问网页时卡巴提示有病毒,路径是C:/WINDOWS/system32/drivers/usbme.sys的这个文件,我没删它想看看有啥效果,貌似病毒建立了进程IEXPLORER.EXE ,用户名为SYSTEM,之后陆续建立了几个为IEXPLORER.EXE 的进程,且CPU占有率达99%,害我差点死机,之后我结束了该进程查杀刚才的目录,没找到病毒源文件,我怀疑病毒仍然存在,因为IEXPLORER.EXE 进程结束之后依然能再出来,之后我用了procexp找了该进程硬盘位置,提示C:/Program Files/Internet Explorer/IEXPLORE,应该是微软的IE,运行之后没发现问题,之后又陆续结束了几次IEXPLORER.EXE 用户名为SYSTEM的进程,直到其不再出现.无病毒反映.但是在打开QQ(别的程序没试)时显示病毒C:/WINDOWS/system32/drivers/usbme.sys,且每次删完下次依然存在,此病毒进程不在开机运行里,个人认为产生IEXPLORER.EXE 进程及其他作用只是其发作的效果,病毒源文件仍未找到,估计杀毒软件应该可以清除,我想问问各位学长的看法以及病毒原理,我有说错的地方希望给予指点,还有个想问的是系统文件里是不是有个后缀为_hook.dll的文件啊,我查的时候找到一个8K的,要么是灰鸽子?不太了解啊~~感谢大家给予指点.
经过我2个小时的奋战(有点夸张的说),终于解决了问题,具体删除我是在安全模式下进行的,此病毒分为4部分,1是在注册表里HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run下的”9″=”%System%/vpcrm.exe”(或twunk32.exe)开机运行键,删了,2是%system%/Drivers/usbme.sys这个文件,只能在DOS或安全模式下进行删除.3为QQ安装目录下的TIMPlatfrom.exe文件(上面我也提到病毒是将正常的QQ文件TIMPlatform.exe复制为TIMPlatfrom.exe,并将自身复制为正常的QQ文件)我首先修改了TIMPlatfrom.exe文件名,可惜和该目录下的文件名重复,但是我打开隐藏文件也没能看到那个病毒的文件,我只能先把被病毒修改后的原QQ文件复制到了别的地方,改名,然后再复制回来,这时我看到了可以覆盖病毒的那个25K左右的文件,覆盖后运行QQ,出现正常的TIMPlatform.exe进程.4为vpcrm.exe”(或twunk32.exe)文件,网上都说有这个文件的,我没找到,后来卡巴杀毒时找到了.
2. usbme.sys木马病毒,名称:“猎手变种fa”(PSWTroj.Mir.fa) 病毒特点:该病毒是一个盗取用户QQ账号的木马,通过获得QQ游戏窗口的方式获取用户账号信息并发送到指定网址。 发作现象:病毒运行后,将自身复制为%system%/vpcrm.exe,并释放文件%system%/Drivers/usbme.sys。将正常的QQ文件TIMPlatform.exe复制为TIMPlatfrom.exe,并将自身复制为正常的QQ文件。
改了TIMPlatform.exe进程, 把QQ卸载以后清理注册表临时文件,杀毒后到官方去下载新QQ
1、点击:“开始”、“运行”。键入regedit,按回车。清理注册表: (1)展开:HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows 删除:”load”=”” (2)展开:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run : 删除:”twin”=”X://windows//system32//twunk32.exe” 2、重启。显示隐藏文件。 3、删除X:/windows/system32/twunk32.exe。
4、卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。
相关文章:
<script type=”text/javascript”> google_ad_client = “pub-2416224910262877”; google_ad_width = 728; google_ad_height = 90; google_ad_format = “728x90_as”; google_ad_channel = “”; google_color_border = “E1771E”; google_color_bg = “FFFFFF”; google_color_link = “0000FF”; google_color_text = “000000”; google_color_url = “008000”; </script><script type=”text/javascript” src=”http://pagead2.googlesyndication.com/pagead/show_ads.js”> </script>
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/162185.html原文链接:https://javaforall.cn
![[系统安全] 十一.那些年的熊猫烧香及PE病毒行为机理分析](https://ask.qcloudimg.com/http-save/yehe-8243071/844ac8e5d0f464797fd76128771b1fa3.png)
腾讯云开发者
