立刻加入博客人自己的廣告網

現象:

開機以后不久,在進程里面會出現多個IEXPLORE.EXE進程，用戶名都是SYSTEM,殺掉進程之后，過一段時間就會重新啟動這個進程。而且IEXPLORE.EXE進程的cpu占用率常常達到100%！計算機根本就無法使用。在進行撥號連網后,系統可能出現重起.甚是惱人!

此病毒自動禁用某些殺毒軟件,看來全面手工殺毒的時代即將來臨!

查殺方法:

此病毒類似灰鴿子病毒,但專殺工具無法殺除,顯然是改后的變種.下面提供幾種手工殺毒的方法.

1.關于usbme.sys的清除教程

剛才訪問網頁時卡巴提示有病毒,路徑是C:\WINDOWS\system32\drivers\usbme.sys的這個文件,我沒刪它想看看有啥效果,貌似病毒建立了進程IEXPLORER.EXE ,用戶名為SYSTEM,之后陸續建立了幾個為IEXPLORER.EXE 的進程,且CPU占有率達99%,害我差點死機,之后我結束了該進程查殺剛才的目錄,沒找到病毒源文件,我懷疑病毒仍然存在,因為IEXPLORER.EXE 進程結束之后依然能再出來,之后我用了procexp找了該進程硬盤位置,提示C:\Program Files\Internet Explorer\IEXPLORE,應該是微軟的IE,運行之后沒發現問題,之后又陸續結束了幾次IEXPLORER.EXE 用戶名為SYSTEM的進程,直到其不再出現.無病毒反映.但是在打開QQ(別的程序沒試)時顯示病毒C:\WINDOWS\system32\drivers\usbme.sys,且每次刪完下次依然存在,此病毒進程不在開機運行里,個人認為產生IEXPLORER.EXE 進程及其他作用只是其發作的效果,病毒源文件仍未找到,估計殺毒軟件應該可以清除,我想問問各位學長的看法以及病毒原理,我有說錯的地方希望給予指點,還有個想問的是系統文件里是不是有個后綴為_hook.dll的文件啊,我查的時候找到一個8K的,要么是灰鴿子?不太了解啊~~感謝大家給予指點.

經過我2個小時的奮戰(有點夸張的說),終于解決了問題,具體刪除我是在安全模式下進行的,此病毒分為4部分,1是在注冊表里HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run下的"9"="%System%\vpcrm.exe"(或twunk32.exe)開機運行鍵,刪了,2是%system%\Drivers\usbme.sys這個文件,只能在DOS或安全模式下進行刪除.3為QQ安裝目錄下的TIMPlatfrom.exe文件(上面我也提到病毒是將正常的QQ文件TIMPlatform.exe復制為TIMPlatfrom.exe,并將自身復制為正常的QQ文件)我首先修改了TIMPlatfrom.exe文件名,可惜和該目錄下的文件名重復,但是我打開隱藏文件也沒能看到那個病毒的文件,我只能先把被病毒修改后的原QQ文件復制到了別的地方,改名,然后再復制回來,這時我看到了可以覆蓋病毒的那個25K左右的文件,覆蓋后運行QQ,出現正常的TIMPlatform.exe進程.4為vpcrm.exe"(或twunk32.exe)文件,網上都說有這個文件的,我沒找到,后來卡巴殺毒時找到了.

2. usbme.sys木馬病毒，名稱：“獵手變種fa”(PSWTroj.Mir.fa)
　　病毒特點：該病毒是一個盜取用戶QQ賬號的木馬，通過獲得QQ游戲窗口的方式獲取用戶賬號信息并發送到指定網址。
　　發作現象：病毒運行后，將自身復制為%system%\vpcrm.exe，并釋放文件%system%\Drivers\usbme.sys。將正常的QQ文件TIMPlatform.exe復制為TIMPlatfrom.exe,并將自身復制為正常的QQ文件。

改了TIMPlatform.exe進程,
把QQ卸載以后清理注冊表臨時文件，殺毒后到官方去下載新QQ

1、點擊：“開始”、“運行”。鍵入regedit，按回車。清理注冊表：
（1）展開：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
刪除："load"=""
（2）展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run :
刪除："twin"="X:\\windows\\system32\\twunk32.exe"
2、重啟。顯示隱藏文件。
3、刪除X:\windows\system32\twunk32.exe。

4、卸載QQ。重新安裝。因為QQ文件夾中的TIMPlatform.exe已被病毒覆蓋。

相關文章:

修改權限防止病毒或木馬等破壞您的系統

都是自動更新惹得禍

徹底查殺維金ViKing病毒

通過對一個病毒源碼的分析，了解VBS腳本語言的應用

Hooks（鉤子）監聽消息的方法

常見木馬清除法

google_ad_client = "pub-2416224910262877"; google_ad_width = 728; google_ad_height = 90; google_ad_format = "728x90_as"; google_ad_channel = ""; google_color_border = "E1771E"; google_color_bg = "FFFFFF"; google_color_link = "0000FF"; google_color_text = "000000"; google_color_url = "008000";

盜取QQ密碼的頑固的IEXPLORE.EXE病毒