估计很多人对 TXP1atform.exe 这个东西恨之入骨,而且这个东西出道时间已经不短了,从去年的10月份就开始在网上滋生蔓延,现在很多盗版的光碟软件里面都已经将他的身影种子播撒在整个网络。TXP1atform.exe 伪造成 TXPlatform.exe 具有讽刺意味,因为TXPlatform.exe 同样是难以彻底删除的,TXP1atform.exe 在进程中的没有固定的PID,每次都能“死而复生”,注册的GDI对象值是8,也就是说是由父系进程生成的,但是8却已经捆绑在了很多核心进程像 svchost.exe 上面,就像一条附在你心脏上面的蠕虫一样。并且很多系统关键性文件被感染了,至于感染的解释可以理解为被病毒替换掉甚至修改代码,这些系统文件大多是用户不容易发现的系统驱动文件,IE缓存临时文件,有些电脑的系统还原文件里面都可以找到他可怕的影子,至少现在,TXP1atform.exe 以无处不在,但是你能发现这条毒蛇的仅仅是它的几个爪牙而已。 病理分析编辑病毒会在c:\windows\system32\drivers\下建立TXP1atform.exe,在所有的根目录下建立.exe和autorun.inf,在系统分区外的所有文件夹中建立desktop_1.ini(乃至desktop_2、_3),感染扩展名为exe、htm的文件,修改、删除、增加了几百处注册表键值,也可能在c:\documents and settings\下的一些文件夹中建立不少文件 办法步骤编辑单纯的重装系统,虽然系统盘得到了净化,而其它驱动器中仍然留有余孽,一旦双击系统盘外的驱动器或文件夹或某个可执行程序,病毒还会死灰复燃,再次感染系统,前面的努力全都白费了。 因此在重装前,首先要作一些清理: 注意:清理过程中,不要双击打开驱动器或文件夹或exe、htm文件,否则清理工作有可能白费 (一)、打开任务管理器,结束TXP1atform.exe进程(必须先做这一步,否则下面删除分区根目录下的.exe和autorun.inf后,两个文件又在几秒钟内自动生成) (二)、用winRAR查看每个分区(这里双击是安全的),它会显示出所有的隐藏文件。(复制.exe的文件名,在某处建立一个文件夹,把复制的.exe的文件名粘贴到这个新建的文件夹的名字处,待会儿有用)。删除所有分区中隐藏的.exe和autorun.inf。如果有移动存储设备,也要删除隐藏其中的这两个文件 (三)、隐藏于系统盘外的desktop_1.ini(乃至desktop_2、_3)数量庞大,手动删除极为麻烦,用搜索程序也不见它们的踪影,因此要用批处理。 方法是新建一个文本文件,复制以下内容并保存,任意命名,扩展名要改为bat@echo off echo 正在清除,请稍候...... del c:\Desktop_1.ini /f /s /q /a del D:\Desktop_1.ini /f /s /q /a del e:\Desktop_1.ini /f /s /q /a del f:\Desktop_1.ini /f /s /q /a del g:\Desktop_1.ini /f /s /q /a del h:\Desktop_1.ini /f /s /q /a del i:\Desktop_1.ini /f /s /q /a del c:\Desktop_2.ini /f /s /q /a del D:\Desktop_2.ini /f /s /q /a del e:\Desktop_2.ini /f /s /q /a del f:\Desktop_2.ini /f /s /q /a del g:\Desktop_2.ini /f /s /q /a del h:\Desktop_2.ini /f /s /q /a del i:\Desktop_2.ini /f /s /q /a del c:\Desktop_3.ini /f /s /q /a del D:\Desktop_3.ini /f /s /q /a del e:\Desktop_3.ini /f /s /q /a del f:\Desktop_3.ini /f /s /q /a del g:\Desktop_3.ini /f /s /q /a del h:\Desktop_3.ini /f /s /q /a del i:\Desktop_3.ini /f /s /q /a 本文标题:TXP1atform病毒 |
谈谈您对该文章的看