1,在啟動到桌面的時候以system為用戶名建立iexplore.exe或是IEXPLORE.EXE進程,不僅占用大量內存,而且每過幾秒種就自動復制一個!
2,具有很深的隱藏性,不容易被用戶所發現。通過定位該進程始終指向正常的C:\Program Files\Internet Explorer\IEXPLORE.EXE
經過確認其實這個進程是和twunk32.exe 有著某種的關系。
手工查殺twunk32.exe:
1、點擊:“開始”、“運行”。鍵入regedit,按回車。清理注冊表:
(1)展開:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
刪除:"load"="" 這項中招主要表現為圖片
(2)展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
刪除:"twin"="c:\\windows\\system32\\twunk32.exe"
2、重啟。TW.Wingwit.cOm顯示隱藏文件。
3、刪除c:\windows\system32\twunk32.exe。
4、卸載QQ。重新安裝。因為QQ文件夾中的TIMPlatform.exe已被病毒覆蓋,或是刪除TIMPlatform.exe也行,這點很重要!
為什麼要這樣做呢?原因是該病毒監控並修改注冊表,還把自己設置為啟動加載項,其他木馬殺客 惡意軟件清理 360安全 黃山等都不能徹底的殺掉。此病毒寄存在騰訊公司的聊天軟件QQ裡面,就算你重裝或還原了系統,如果沒有刪除QQ,是沒用的。因為病毒在QQ裡頭,有個隱藏文件,一運行QQ就感染。重裝QQ也是無效的,必須將整個QQ目錄包全部刪了。所以:步驟如下:
1、重裝或還原系統
2、直接刪除整個QQ目錄包
還原後再重新安裝無毒的QQ原程序,OK
From:http://tw.wingwit.com/Article/Network/201309/933.html