求救,关于c:/windows/system32/drivers/txplatform.exe bbs.ikaka.com

oooper - 2008-12-30 7:33:00

各位高手：
小弟求救：
系统环境： windows xp sp2系统
病毒现象：1.各个分区都生成autorun.inf和(空格).exe；
2.在c:/windows/system32/drivers下生成txplatform.exe且强制加入开机启动项伪装成explorer.exe，用sreng2强制删除该启动项后，开机后一会儿又自动启动 txplatform.exe进程；
3.本机共享文件夹下生成cool_gamesetup.exe
4.(空格).exe、cool_gamesetup.exe以及c:/windows/system32/drivers/txplatform.exe图标显示最近一次本机执行的可执行程序的图标
5.本机执行可执行程序，会自动生成该可执行程序.exe.exe如：qq.exe运行后无响应，且生成qq.exe.exe
6.大多安全软件无法通过系统托盘正常启动，从开始-程序启动提示：无效个快捷方式。

小弟，曾试着winpe启动后，到各分区删除autorun.inf、(空格).exe、cool_gamesetup.exe以及c:/windows/system32/drivers/txplatform.exe，然后进入安全模式利用sreng2强制删除启动项explorer.exe（screng2显示该启动项的路径为c:/windows/system32/drivers/txplatform.exe），用杀毒软件查杀病毒，无异常后，重启进入正常模式，一连上网络，提示各分区根目录下有autorun.inf病毒，只有金山的清理助手提示：c:/windows/system32/drivers/txplatform.exe正在加入启动项，提示允许还是禁止。其他杀毒软件对该c:/windows/system32/drivers/txplatform.exe都无提示。好多帖子提示用大蜘蛛，但大蜘蛛只能查出autorun.inf、(空格).exe。

请教各位版主、达人，感激涕零!!
用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

附件: SREngLOG.log

天月来了 - 2008-12-30 8:49:00

将autorun.exe和(空格).exe，以及cool_gamesetup.exe文件压缩发来

然后再扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志，就原贴接贴发日志即可。

oooper - 2008-12-30 10:44:00

不敢联网，一连上迅速传播；我发现在windows/system32/drivers/下有个TXPlatform.exe，图标是本机某可执行程序的图标

oooper - 2008-12-30 10:55:00

我已经上传了扫描报告，请版主天月查看

byxxdrls - 2008-12-30 11:03:00

不是在360看过的么？似乎是“山寨版熊猫烧香”，感染型的。

oooper - 2008-12-30 11:05:00

可是怎么杀这个毒呢？？？请各位帮忙

byxxdrls - 2008-12-30 11:12:00

用抑制生成的方法删除c:\windows\system32\drivers\txplatform.exe试试。
清除IE缓存。此毒感染网页类型的文件还有可执行文件。
下载大蜘蛛全盘扫描。

byxxdrls - 2008-12-30 11:13:00

参考http://bbs.duba.net/thread-22002427-1-1.html

oooper - 2008-12-30 12:06:00

引用:

原帖由 天月来了 于 2008-12-30 8:49:00 发表
将autorun.exe和(空格).exe，以及cool_gamesetup.exe文件压缩发来

然后再扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：[url]http://bbs.ikaka.com/showtopic-844281

天月版主，报告我已附上，等待您的指点；急！！！

咸蛋仔 - 2008-12-30 13:05:00

和我的情况一样。。

oooper - 2008-12-30 15:16:00

最新发现：感染病毒的机器启动项里面多了一个explorer开机启动项，禁止不了，他的文件路径是：c:/windows/system32/drivers/Txplatform.exe；有没有知道如何处理的大哥。。。

jingwei4487 - 2009-1-12 19:22:00

和楼主的情况一样，也是没有解决，把帖子顶上去

aaccbbdd - 2009-1-12 19:26:00

单独发日志

该病毒是感染型病毒

夲號ヱ被ジ盜 - 2009-1-12 19:31:00

两位真是知音。。。。。
删除启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Explorer><C:\WINDOWS\system32\drivers\TXPlatform.exe> [File is missing]
删除文件
C:\WINDOWS\system32\drivers\TXPlatform.exe
这两个驱动没用了
[662765 / 662765][Running/]
<2 - 系统找不到指定的文件。
><N/A>
[360FkAdv / 360FkAdv][Running/]
<2 - 系统找不到指定的文件。
><N/A>
日志显示没AUTORUN了
试试这个工具
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

aaccbbdd - 2009-1-12 19:34:00

怕是没那么简单
这是伪金山清理专家图标病毒
感染
%programfiles%下的EXE文件

夲號ヱ被ジ盜 - 2009-1-12 19:44:00

引用:

原帖由 aaccbbdd 于 2009-1-12 19:34:00 发表
怕是没那么简单
这是伪金山清理专家图标病毒
感染
%programfiles%下的EXE文件

事到如今
只能用这个了
下载在WINDOWS下运行
[url=http://cu003.www.duba.net/duba/tools/dubatools/install.exe[/url]
警告：
能清除但不保证系统之外的软件正常使用和系统的稳定性

瑞星卡卡安全论坛