|
前些天公司电脑中了病毒了,发现了一个TXP1atform.exe进程,在百度搜了一下 ,才对此有所了解。
在此引用其原文:伪造 TXPlatform.exe 的进程名字,而TXPlatform.exe 是腾讯QQ自带的一个注入绑定到系统随系统运行而运行的不受欢迎程序,功能是给腾讯提供进入用户计算机取得权限远程后台控制用户计算机,就如美国的FBI可以得到任何使用微软用户的电脑资料一样。
TXP1atform.exe 伪造成 TXPlatform.exe 具有讽刺意味,因为TXPlatform.exe 同样是难以彻底删除的,TXP1atform.exe 在进程中的没有固定的PID,每次都能“死而复生”,注册的GDI对象值是8,也就是说是由父系进程生成的,但是8却已经捆绑在了很多核心进程像 svchost.exe 上面,就像一条附在你心脏上面的蠕虫一样。并且很多系统关键性文件被感染了,至于感染的解释可以理解为被病毒替换掉甚至修改代码,这些系统文件大多是用户不容易发现的系统驱动文件,IE缓存临时文件,有些电脑的系统还原文件里面都可以找到他可怕的影子,至少现在,TXP1atform.exe 以无处不在,但是你能发现这条毒蛇的仅仅是它的几个爪牙而已。
中此病毒会有这些现象: 杀毒软件无法运行,像超级兔子,安全卫士之类的软件都无法运行,用瑞星,卡巴都杀不出来,有些应用程序打不开,双击它没有任何反应和提示。到底怎么解决了?我怀疑是应用程序被病毒映像劫持了,打开注册表,发现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下,有很多注册表值被修改了,我就把“ImageFileExecutionOptions”项删除,杀软也立马启动了。 之后我重启进入PE,全盘杀毒。OK!就这样搞定了。在这里提醒一下,如果没有把病毒杀干净的话,重启之后还会是老样子的。 仅在此抛砖引玉,还请高手多多指点! |
|