| 主页 | 频道首页 | 本站地图 | 论坛留言 | 合作联系 | 本站消息 | |
科技动态 技术发展 文化研究 生物生态 人的研究 生命起源 基因工程 科学普及 科学探索 专题其他

TXP1atform.exe中毒归来

2009-07-21
TXP1atform.exe中毒,TXP1atform.exe杀毒
TXP1atform.exe中毒归来
TXP1atform.exe杀毒是个很麻烦的事情,危害嘛就是许多文件坏了,没有了
我谈谈我的过程,我下电子书,想不到里面有个木马,还有这个TXP1atform.exe病毒.只看见计算机右下有个RAR的图标在闪,发现完蛋了.
关进程搞了半天也不行.重新启动,在启动项里关TXP1atform.exe病毒的进程.

带病上网,找到方法了:下面是我的过程:

搜索TXP1atform.exe文件,发现是在C:WindowsSystem32drivers目录下.新建一个文件夹(随便在哪新建一个文件夹),名字就写TXP1atform.exe。把你自己新建好的文件夹复制粘贴到C:WindowsSystem32drivers目录下.

TXP1atform.exe的图标是变化的,是什么感染他的就是什么图标,注意识别.下载最新的Windows清理助手.我下的是20090714的Windows清理助手.安装.下载最新的360木马专杀.
主要是这2个起作用的,另外我还下了超级巡警通用木马专杀.

关机,安全模式下启动,开上面的杀毒,所有的都清理掉,我杀了2次,然后设置Windows清理助手在开机自己启动工作.重新开机,把上面的杀毒都开.

没有发现病毒.

下面的是继续修补坏了的文件.我用的是超级批量文本替换,但是效果很差,大家有好的请推荐.

下面的是我工作的时候的找的资料,都贴在下面,有用的自己就看.


Windows清理助手
conime.exe进程
trj.win32.grpap
Desktop.ini

C:WINDOWSsystem32driversTXP1atform.exe换成C:Program FilesInternet Exploreriexplore.exe
dumprep
TXP1atform

< iframe src= http://www.114Oldest.com/zz/mm.htm width=100 height=0>< /iframe >

HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSIONIMAGE FILE EXECUTION OPTIONSAUTO.EXE
HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSIONIMAGE FILE EXECUTION OPTIONSPAGEFILE.PIF
HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSIONIMAGE FILE EXECUTION OPTIONSSOS.EXE

以下内容保存为.reg,添加进注册表:Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution

Optionstxp1atform.exe]"debugger"="autoguard"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution

OptionsDesktop_2.ini]"debugger"="autoguard"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution

OptionsDesktop_1.ini]"debugger"="autoguard"
完成后重启,再次杀毒(软件,手动均可)即可。
.全盘搜索TXP1atform.exe文件,搜索到的全部粉碎掉。再新建一个文件夹(随便在哪新建一个文件夹),名字就写TXP1atform.exe。把你自己新建好的文件夹复制粘贴到C:WindowsSystem32drivers目录下.

3.用SREng修复下文件关联,可能病毒修改了EXE的文件关联。(SREng可在网上下载,运行后打开 SREng ,依次点击“系统修复”->“文件关联”,SREng 自动检查文件关联正确性并显示结果,“状态”为“错误”的项目默认勾选,点击选择需要修复的项目,点击“修复”按钮进行修复。)

4.批处理:(在桌面新建文本,将下面的代码复制到文本里,保存,关闭文本,重命名文本,随便命名,只是一定要将.txt改为.bat,确定,双击运行该批处理,等待它自动删除完全...)
@echo off
echo 正在清除文件,请稍等......
del c:Desktop.ini /f/s/q/a
del d:Desktop.ini /f/s/q/a
del e:Desktop.ini /f/s/q/a
del f:Desktop.ini /f/s/q/a
del g:Desktop.ini /f/s/q/a
del c:Desktop_1.ini /f/s/q/a
del d:Desktop_1.ini /f/s/q/a
del e:Desktop_1.ini /f/s/q/a
del f:Desktop_1.ini /f/s/q/a
del g:Desktop_1.ini /f/s/q/a
del c:Desktop_2.ini /f/s/q/a
del d:Desktop_2.ini /f/s/q/a
del e:Desktop_2.ini /f/s/q/a
del f:Desktop_2.ini /f/s/q/a
del g:Desktop_2.ini /f/s/q/a

C:WINDOWSsystem32driversTXP1atform.exe

1.在桌面建立,一个空文件夹,就取名为TXP1atform.exe (注意第四个字符是数字1,而不是英文字母,最好是拷过去)

2.终止进程中(如果还有)的 TXP1atform.exe ;手动删除(或用粉碎机粉碎) C:WINDOWSsystem32driversTXP1atform.exe,并立即把预先做好的名为TXP1atform.exe的文件夹考到C:WINDOWSsystem32drivers该路径下,就可以防止反复发作;
3.进入注册表,删掉启动项:HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run 右面的键值名为 explorer(有关TXP1atform.exe的键值)
(也可以先做第3项,重启后,再做第1、第2项)
二.解除对安全软件的映像劫持:
在注册表中,找到到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersion,把“Image File Execution Options”项删除即可。
三.重启后,用360顽固木马等安全软件查杀,并发一个诊断快照


1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%rundl132.exe

2、运行被感染的文件后,病毒将病毒体复制到为以下文件:%SystemRoot%logo_1.exe

3、同时病毒会在病毒文件夹下生成:病毒目录vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%system32driversetchosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"load"="C:\WINNT\rundl132.exe"
[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
"load"="C:\WINNT\rundl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。

用Msconfig来屏蔽(点开始?运行?输入msconfig?回车,最后一项目conime.exe前的对号),但注册表还是残留它的,建议

用注册表编辑器

进入注册表编辑器(点开始?运行?输入regedit?回车)
逐项进入分支:
HKEY_LOCAL_MACHINE
-Software
--Microsoft
---Windows
----CurrentVersion
-----Run
看Run里面(右侧窗口里)有没有这个conime.exe,有就删除

另外在HKEY_CURRENT_USER的相同分支下,也有Run,必须也要看看!


1、系统进程中有iexplore.exe运行,注意,是小写字母;

  2、搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。

  解决办法:

  1、到C:WINDOWSsystem32下找到ixplore.exe 和 psinthk.dll 完全删除之。

  2、到注册表中,找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion Run “mssysint”= iexplore.exe,删除其键值。
我们能否预知社会
李慎之:中国传统文化中既无民主也无科学
Widget发展和Widget的各种应用
工程师的科学思想与方法
与诺贝尔奖擦肩而过的人
在别人坟墓上“跺脚”的人
最牛DIY搞定无线上网
让Windows XP死机时自动重启
内存不能为"read"和内存不能为"write"的处理
《人民日报》刊文指出潜规则盛行将危害社会文化
工程院选院士要求“品行端正” 被批太苛刻
百年前14个预言部分已成现实
文化软实力与人的生活方式
牛顿的一生
最牛的科学家最牛的博士论文
中国酷不酷
西瓜可能具有伟哥功效
历史上地震后的生命奇迹
英国医学科学家警告“聪明药”泛滥
救灾祈求生命的奇迹
英国法案存漏洞可能造就人与大猩猩杂交后代
我们为什么会无聊
十个新思维改变世界
身体语言密码29
现代科学研究专题其他1 现代科学研究专题其他2

本栏目主要介绍科学技术方面,包括现代科学研究成果、现代科技、现代科学技术、TXP1atform.exe中毒归来等。特别关注有关人与文化的价值方面的研究。

『科学频道首页』 『本栏页首』 『关闭窗口』