twunk32.exe木马的清除指南(出现N个IEXPLORE.EXE进程)

煎饼

Trojan-Downloader.Win32.Small.czl分析

 病毒标签：

病毒名称： Trojan-Downloader.Win32.Small.czl

病毒类型： 木马

文件 MD5： 2D747C2BAC72A1E87F4DA7F8E7C1E985

公开范围： 完全公开

危害等级： 4

文件长度： 24,576 字节

感染系统： windows98以上版本

加壳类型： PE-Armor 0.46

本文的眼：最近发现，twunk32.exe的案例很多。有时会伴随注册一个Windows DHCP Service / WinDHCPsvc的服务（但并非所有的案例都如此）。其症状是系统速度变慢，在任务管理器中可以看到很多个（N个）用户名为SYSTEM的大写的IEXPLORE.exe进程。如下图。

特写此清除指南。对号入座一下。

1 用强制删除工具 owerRMV 下载地址 http://hi.baidu.com/teyqiu/blog/item/291690efc3f3b5eece1b3e5a.html分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭 【如果提示找不到，请忽略该提示】
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\system32\windhcp.ocx

以下的操作都要求安全模式下进行。
[安全模式？重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
2 用工具 SREng 删除如下各项 
下载及其使用方法看下面的链接，看懂再下手操作！
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
【如下操作有风险，必须看懂上面的方法再操作。】

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <twin><C:\WINDOWS\system32\twunk32.exe>  [N/A]

=================================
服务
[Windows DHCP Service / WinDHCPsvc]
  <C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>

4、最后要提醒注意的就是 卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
teYqiu【天下无毒】原创文章，转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。  『转载请保留此申明！』
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

7 @# F- c- _: x8 V+ X

[此贴子已经被作者于2007-4-4 22:59:29编辑过]

8 _2 ~1 P; ]- V0 u6 y