呵呵,这个问题真新鲜啊,这么多人来顶了
我转发一下网友的处理方法,希望楼主用得着
************************************
vpcrm.exe是病毒!!
是在QQ目录下有一个有一个叫TIMPlatform.exe的隐藏文件,和QQ自带的文件TIMPlatfrom.exe名很像没,只要运行QQ这个就自动运行,在system32文件夹下生成vpcrm.exe的文件,并建立RUN下9的键值。中着的症状是系统用户不停的在后台打开IE,而且会进行远程连接,还有数据包自动发送。估计是木马。
这个木马没有进程,运行后进驻内存调用IE(iexplore.exe)访问远程信息下载木马或其它恶意程序。
运行后复制自身到系统目录%System%\vpcrm.exe,并改名QQ目录下TIMPlatform.exe为TIMPlatfrom.exe,复制自身为TIMPlatform.exe,使得QQ运行时也会调用运行病毒文件,此外,和之前的一些变种一样,它也释放了驱动文件%System%\drivers\moduleusb.sys。
创建的启动项是:
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"9"="%System%\vpcrm.exe"
清除步骤
==========
1. 删除病毒文件:
%System%\vpcrm.exe
%QQ%\TIMPlatform.exe
%System%\drivers\moduleusb.sys
2. 改名QQ目录下TIMPlatfrom.exe为TIMPlatform.exe
3. 删除启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"9"="%System%\vpcrm.exe"
4. 重新启动计算机
*************************
