12345   1  /  5  页   跳转

twunk32.exe的查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-12-23 10:46 | 只看楼主 短消息 资料
字号: 1楼

twunk32.exe的查杀



这是个老马。
最近又出来溜达了。
瑞星19.02.42居然查不到(在瑞星眼皮子底下运行twunk32.exe——畅通无阻)。汗!!
估计这马儿的作者可能又加了点儿什么新东东吧。

中招后的典型表现如图所示。


手工查杀流程:

1、点击:“开始”、“运行”。键入regedit,按回车。清理注册表:

(1)展开:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

删除:"load"=""

(2)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

删除:"twin"="X:\\windows\\system32\\twunk32.exe"

2、重启。显示隐藏文件。

3、删除X:\windows\system32\twunk32.exe。

4、卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。

注:
1、X为系统盘盘符。
2、如果你觉得TIMPlatform.exe没什么用,就直接删了它。不重新安装QQ,也行。

附件附件:

下载次数:1251
文件类型:image/pjpeg
文件大小:
上传时间:2006-12-23 10:46:39
描述:
预览信息:EXIF信息



最后编辑2007-02-02 12:07:07
分享到:
gototop
 
拉风的高手
头像
快乐黄口狮
  • 帖子:229
  • 注册: 2006-10-13
  • 来自:
发表于: 2006-12-23 10:48 | 短消息 资料
字号: 2楼

学习ing~
gototop
 
skyshine
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2006-12-23
  • 来自:
发表于: 2006-12-23 11:11 | 短消息 资料
字号: 3楼

baoge,大哥,跟你学习中。。呵呵~
对了,请问,如果要检测一个病毒,在系统中生成了什么文件或做了那些改动,使用什么工具监视呢?
谢谢!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-12-23 11:13 | 只看楼主 短消息 资料
字号: 4楼

引用:
【skyshine的贴子】baoge,大哥,跟你学习中。。呵呵~
对了,请问,如果要检测一个病毒,在系统中生成了什么文件或做了那些改动,使用什么工具监视呢?
谢谢!
………………

俺是菜鸟。不懂编程。更看不懂程序。
我一般是在“影子”模式下运行病毒,用Tiny的Track'nReverse监控。
搞清基本情况后,实机运行观察。
当然,要先将Tiny的设置以及有关分区的保护搞好(系统盘以外的分区,只在根目录下留一个包含各类文件的文件夹用作蠕虫感染的“试验田”。其它文件夹一律用Tiny保护起来——不许任何程序做改动)。否则,遇到恶性蠕虫,就麻烦了。
我不建议别人用这种观测方式。因为Tiny的设置较复杂。搞不好,有点儿什么疏漏,就会把自己玩儿了。
注:我有系统的光盘GHOST备份。
gototop
 
水树雨下
头像
横据古稀狮
  • 帖子:8397
  • 注册: 2006-07-26
  • 来自:
发表于: 2006-12-23 11:27 | 短消息 资料
字号: 5楼

我现在都是用ssm,没有淘汰吧?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-12-23 11:29 | 只看楼主 短消息 资料
字号: 6楼

引用:
【水树雨下的贴子】我现在都是用ssm,没有淘汰吧?
………………

SSM用来防毒,还比较满意。
用它来观测病毒,略欠一些(跟踪、记录具体的文件创建过程不够详细)
gototop
 
水树雨下
头像
横据古稀狮
  • 帖子:8397
  • 注册: 2006-07-26
  • 来自:
发表于: 2006-12-23 11:32 | 短消息 资料
字号: 7楼

引用:
【baohe的贴子】
SSM用来防毒,还比较满意。
用它来观测病毒,略欠一些(跟踪、记录具体的文件创建过程不够详细)
………………

了解了,Tiny设置太复杂了,晕死,哪能找到详细说明啊?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-12-23 11:37 | 只看楼主 短消息 资料
字号: 8楼

引用:
【水树雨下的贴子】
了解了,Tiny设置太复杂了,晕死,哪能找到详细说明啊?
………………

网上可以搜索到部分资料,也不是很全。
至于Tiny的原版说明书,原来的官方网站有(英文的)。但是,现在已经被CA接管,那说明书也没了。

Tiny的原版说明书介绍的也不是很全。

Tiny的使用技巧积累————主要靠用户的实践经验积累。这是个渐进过程。
比较郁闷的是:Tiny的灵活设置,使得用户间的交流也有一定困难。因为每个人的习惯及设置爱好不同。
gototop
 
水树雨下
头像
横据古稀狮
  • 帖子:8397
  • 注册: 2006-07-26
  • 来自:
发表于: 2006-12-23 11:39 | 短消息 资料
字号: 9楼

引用:
【baohe的贴子】
比较郁闷的是:Tiny的灵活设置,使得用户间的交流也有一定困难。因为每个人的习惯及设置爱好不同。
………………

只能慢慢来了
gototop
 
skyshine
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2006-12-23
  • 来自:
发表于: 2006-12-23 11:42 | 短消息 资料
字号: 10楼

Tiny 是指 Tiny Firewall吗?
官网是这个http://www.tinysoftware.com/ 不?
gototop
 
<<上一主题|下一主题>>
12345   1  /  5  页   跳转
页面顶部
Powered by Discuz!NT