百度空间 | 百度首页 
               
 
查看文章
  
twunk32.exe木马的清除指南(出现N个IEXPLORE.EXE进程)
2006年12月29日 星期五 10:28

----------------------------------
teYqiu【天下无毒】原创文章,转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。   『转载请保留此申明!』
----------------------------------

Trojan-Downloader.Win32.Small.czl分析

病毒标签:

病毒名称: Trojan-Downloader.Win32.Small.czl

病毒类型: 木马

文件 MD52D747C2BAC72A1E87F4DA7F8E7C1E985

公开范围: 完全公开

危害等级: 4

文件长度: 24,576 字节

感染系统: windows98以上版本

加壳类型: PE-Armor 0.46

本文的:最近发现,twunk32.exe的案例很多。有时会伴随注册一个Windows DHCP Service / WinDHCPsvc的服务(但并非所有的案例都如此)。其症状是系统速度变慢,在任务管理器中可以看到很多个(N个)用户名为SYSTEM的大写的IEXPLORE.exe进程。如下图。

特写此清除指南。对号入座一下。

1 用强制删除工具 PowerRMV 下载地址 http://post.baidu.com/f?kz=158203765
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【如果提示找不到,请忽略该提示】
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\system32\ctfnom.exe
C:\WINDOWS\system32\windhcp.ocx

以下的操作都要求安全模式下进行。
[安全模式?重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
2 用工具 SREng 删除如下各项
下载及其使用方法看下面的链接,看懂再下手操作!
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
【如下操作有风险,必须看懂上面的方法再操作。】

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
     <twin><C:\WINDOWS\system32\twunk32.exe>   [N/A]
     <twin><C:\WINDOWS\system32\ctfnom.exe> [Microsoft Corporation]   最新变种

=================================
服务 这个不一定有。。。
[Windows DHCP Service / WinDHCPsvc]
   <C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>

4、最后要提醒注意的就是 卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。

----------------------------------
teYqiu【天下无毒】原创文章,转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。   『转载请保留此申明!』
----------------------------------


类别:『反病毒笔记』 | 添加到搜藏 | 浏览() | 评论 (76)
 
最近读者:
 
网友评论:
1
2006年12月29日 星期五 10:37
应该和iexpl0re.exe也有关,而且注意xpdhcp,以前你的博客上应是有同一病毒变种的文章了
 
2
2006年12月29日 星期五 10:37
itrose,我完全同意你的分析。
 
3
2006年12月29日 星期五 10:45
大哥偶大清早用你的方法杀了次 还有是IE的进程在 现在用你这个方法去试下 这个病毒捆饶了偶2天了 相信你也在战斗 我的启动项目 中没有这个 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{1A404685-7563-4d02-B0F6-58B308A406A9}> [] 还有我的文件里没有c:\docume~1\admini~1\locals~1\temp\vyvorqfe.dll 这个文件 算正常吗?
 
4
2006年12月29日 星期五 10:50
那个soundman.exe好象也有问题.我遇到过.
 
5
2006年12月29日 星期五 11:10
多谢催老师 现在iexpl0re.exe杀掉了 我想问下 我现在要 用SREng 做个IE修复什么的吗
 
6
2006年12月29日 星期五 12:33
C:\WINDOWS\system32\windhcp.ocx 这个最近很流行的说,疯狂插入进程,甚至包括系统进程。 昨天研究了个下载器,下载了几个木马,就包括这个
 
7
2006年12月29日 星期五 13:36
http://post.baidu.com/f?kz=158691378 崔老师,去看看分析的对么?
 
8
2006年12月29日 星期五 13:38
哎呀!你回答啦!哈哈!才看到!
 
9
2006年12月29日 星期五 15:33
请问崔老师,进程里只有一个iexplore.exe 内存使用38,000K左右正常吗? 要不要删除,谢谢!!!
 
10
2006年12月29日 星期五 17:01
急哦 我的电脑症状一样 可是没有twunk32.exe那两个文件,应该是中了别的木马阿,卡巴斯基,MacFee都查不出来。是在想不通了! 格了重装系统还是这样!
 
11
2006年12月29日 星期五 17:07
9楼,拜托,开一个IE就有一个这个进程,正常的。 10楼,C:\WINDOWS\system32\windhcp.ocx 这个看看在不在?
 
12
2006年12月29日 星期五 17:16
也没有啊~ 我就纳闷了!为什么格了重装还会有这个问题! 到底我中了什么招了! 不知道谁打我也就罢了,可是连打我哪了都不知道 够可悲了。
 
13
2006年12月29日 星期五 17:36
还是没法完全弄好,我是XP用户 C:\WINDOWS\system32\windhcp.ocx 这个没有 用超级兔子查到KB136588M和KB8964115软件,在安全模式都杀不掉
 
14
2006年12月29日 星期五 20:54
还有一个问题 这个病毒把我新建项目改了 我鼠标右键新建 原本是记事本的里变成了 @C:\windows\system32\notepad.exe,-469 点击之后无法新建记事本文件 弹出 无法创建新文件 “新建@C:\windows\system32\notepad.exe,-469txt”参数不正确。 请问怎样才能修复阿?这个错误挺烦人的!
 
15
2006年12月29日 星期五 20:57
用SRENG2修复看看
 
16
2006年12月29日 星期五 21:01
用过这个软件 可是没发现有修复这一项的 是注册表问题吗?
 
17
2006年12月29日 星期五 21:05
太感激你了!真是高手呀!这个病毒折磨我好几天了用了你的方法我终于搞定了!!5555你是我的偶像我会经常来这里的!
 
18
2006年12月30日 星期六 00:30
没有找到C:\WINNT\system32\windhcp.ocx文件,但服务项有,用了你的方法我搞定,现在ok,不知道有没有后遗症。谢谢您。
 
19
2006年12月30日 星期六 00:53
谢谢大虾~ 已经清除~ 不过搞不清病毒源~~ 有没有永远免疫的方法~
 
20
2006年12月30日 星期六 04:05
病毒文件twunk32.exe的创建日期竟然是2005-03-03,我系统文件最早的才是05-08-24,一时疏忽开始没发现。 这个病毒要彻底删除好像还要注意一点。就是使用Maxthon等其他非IE浏览器的用户,杀毒之前,一定把你这个特别的浏览器删掉。似乎Maxthon都被感染,只要打开就会再次中毒。 所以很多人格了电脑刚重装就中毒,全是因为他用安装在别的驱下的浏览器造成。
 
21
2006年12月30日 星期六 10:08
好文章。。。哈哈。。。
 
22
2006年12月30日 星期六 10:50
你好,我用瑞星杀毒显示有backdoor.gpigeon.lxb的病毒,可以杀掉,但是再杀还是有,我按照你上面说的办法下载了删除工具 PowerRMV ,但是杀毒的时候输入这两个文件c:\WINDOWS\system32\windhcp.ocx C:\WINDOWS\system32\twunk32.exe说没有,怎么办?还有没有好用的办法?很着急,谢谢!
 
23
2006年12月30日 星期六 11:43
你好啊,今天好多人升级了瑞星,都查到一个病毒就是Backdoor.Gpigeon.lxb这要怎么办啊,重装系统还是有,安全模式下杀了还是有啊,9999
 
24
2006年12月30日 星期六 11:55
To 22, 23楼两位,我没有说 c:\WINDOWS\system32\windhcp.ocx 就是 Backdoor.Gpigeon.lxb 啊 我晕。。 具体请参考卡卡论坛的跟综信息,个人以为是误报:http://forum.ikaka.com/topic.asp?board=28&artid=8242112 把你的IE升级至IE7 因为有会员表示 升级后瑞星就不会报毒了 所以强烈怀疑是 瑞星把IE6的某个内存特征定为错误 下载地址http://down4.tech.sina.com.cn/0611/IE7-WindowsXP-x86-chs.exe 由于需要正版验证 公布一下绕过正版验证的升级办法 一定 断网 安装IE7 出来那个正版验证后直接点下一步 如果还不行的话删除C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage这个下面的data 文件夹即可 跟踪贴!! http://forum.ikaka.com/topic.asp?board=28&artid=8241722
 
25
2006年12月30日 星期六 12:25
楼主啊 我没看懂你说的啊? 是不是就把那个DATA删掉就行了啊?你有什么联系方式吗? 我给你打电话咨询下 谢谢了~!!!!!!!!!!
 
26
2006年12月30日 星期六 12:28
早上升了瑞星,也发现了Backdoor.Gpigeon.lxb ,杀了还有,重装后也一样,郁闷ING.......
 
27
2006年12月30日 星期六 12:29
楼主我真的很着急啊,5555555 杀了两天了都没杀死它,我联系方式是13942681201如果可以的话打给我行么?谢谢!!!!!!!!!
 
28
2006年12月30日 星期六 12:54
我疯啦 怎么几天没升级中了42个病毒 看不懂啊 不会杀啊 555555555
 
29
2006年12月30日 星期六 12:58
楼主啊 你说要是没查到 怎么杀啊? 我把那个杀毒软件都下载下来了 但是就是找不到 病毒啊?????你说怎么办 斑竹快支招!!!!!!!!!!!!
 
30
2006年12月30日 星期六 13:06
如上求助的 如果找我 请看这里,发SREng的扫描日志。看日志后分析解决!!!http://hi.baidu.com/teyqiu/blog/item/5f88a0ec26d16f3d26979157.html 前提是百度知道上提问。 百度知道反病毒区知识专家崔衍渠
 
31
2006年12月30日 星期六 14:13
太有难度了 我看迷糊了 5555555555555555
 
32
2006年12月30日 星期六 14:49
All user下没 Application Data\Windows Genuine Advantage这个下面的data 文件, 那要怎么办啊 我要怎么根除 这个病毒那?
 
33
2006年12月30日 星期六 14:50
多谢崔老师,我是只菜鸟,多谢,多谢!!!
 
34
2006年12月30日 星期六 15:24
我升级了瑞星 到了 19.03.51 好象 查不出这种病毒了 我本来还想重装IE的 老师 你觉得还有这必要吗? 谢谢你
 
35
2006年12月30日 星期六 17:09
中毒的症状一样 只是查不到windhcp.ocx 按文章中的方法删除了twunk32.exe IEXPLORE.exe不再出现 谢谢~~~~thx~~~~
 
36
2006年12月30日 星期六 20:34
谢谢LZ啊 我按文章中的方法删除了twunk32.exe和注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] [N/A] IEXPLORE.exe就消失了,不再出现了 今天我弄了1天的东西终于在现在被解决了。太谢谢LZ了
 
37
2006年12月31日 星期日 00:39
方法是可以,但是对一般的新手还是 有一点难度 我们是没问题。 不过这个病毒 windows清理助手 可以成功清除 没那么麻烦
 
39
2007年01月01日 星期一 08:42
我也试了...很多要删的东西都没有.,..(我驱除遮蔽了)..而且从装后也不行...真怀疑病毒绑哪了
 
41
2007年01月02日 星期二 17:01
我也有同样的情况,但是也没有那两个文件 ,是怎么回事呢?
 
42
2007年01月02日 星期二 18:05
有知情人看到请加我QQ....快教教我怎么解决掉... 我都找不到需要删的东西 我的QQ 147505707 大哥 大姐..快来啊
 
43
2007年01月02日 星期二 21:03
THANK YOU !!! IEXPLORE.exe进程没了 闹心的问题终于解决了 希望此类问题不会有什么后遗症......
 
44
2007年01月03日 星期三 11:38
引用:TIMPlatform.exe已被病毒覆盖 说明一下,该文件好像没被覆盖! 详细可看:http://www.20lz.com/Show.asp?id=1821&BoardID=11&TB=1
 
45
2007年01月03日 星期三 11:54
To 44 :你好,我知道这个文件实际上还在,只是被改名了,对一般的人来说操作较为繁琐 因此一并建议 卸载QQ后重装的策略。仍然感谢。
 
46
2007年01月03日 星期三 14:04
真是太感激了.虽然有一个文件没有找到,但是整个流程下来,问题已经解决了.有种又见雷锋的感觉...谢谢.
 
47
2007年01月03日 星期三 14:41
有没浅点的,容易懂的方法,我是小菜鸟,复杂的看不懂哪~我的电脑从网下载东西只能放桌面,放其它地方就不行,这是为什么?
 
74
2007年01月03日 星期三 16:08
[PID: 3384][C:\WINDOWS\system32\taskmgr.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 2928][C:\Documents and Settings\Administrator\桌面\浪人算牌之QQ新升级.exe] [N/A, N/A] [PID: 3224][C:\PROGRA~1\TENCENT\QQGAME\newsj\NEWSJ.EXE] [Tencent, 0, 10, 1, 36] [C:\PROGRA~1\TENCENT\QQGAME\newsj\DebugICE.dll] [, 1, 0, 0, 1] [C:\PROGRA~1\TENCENT\QQGAME\newsj\2DEngineDll.dll] [, 1, 0, 0, 1] [C:\PROGRA~1\TENCENT\QQGAME\newsj\zlib1.dll] [N/A, 1.2.1] [C:\PROGRA~1\TENCENT\QQGAME\HelpDll.dll] [, 1, 0, 0, 1] [C:\PROGRA~1\TENCENT\QQGAME\ResEx.dll] [深圳市腾讯计算机系统有限公司, 0, 10, 0, 0] [C:\PROGRA~1\TENCENT\QQGAME\GameListMenu1.dll] [, 1, 0, 0, 1] [C:\PROGRA~1\TENCENT\QQGAME\newsj\hcq.dll] [, 1, 0, 0, 1] [C:\PROGRA~1\TENCENT\QQGAME\newsj\dlgprj.dll] [, 1, 0, 0, 1]
 
79
2007年01月03日 星期三 16:11
老师,我终于发光了,你抽穿看看哦,谢谢你啦!
 
80
2007年01月03日 星期三 16:23
我不行啊!!!怎么找不到路径了 找不到WINDOWS\system32\windhcp.ocx和C:\WINDOWS\system32\twunk32.exe 不知道怎样办 我用瑞星防火墙看到TWIN运行,在WINDOWS\system32\twunk32.exe 这个位置 但在SYSTEM32搜索不到!!!!!!!!!!怎么办!!~~~~~~~安全模式教我怎么用 怎样选择!!!!!!!!!谢谢了
 
81
2007年01月03日 星期三 16:58
我叫口当口当是不是个SB啊????
 
83
2007年01月03日 星期三 17:28
我叫口当口当 你这样刷屏 我对你很失望啊。
 
[首页] 1 [2] [下一页] 
本篇日志被作者设置为禁止发表新评论

     

©2009 Baidu