File size: 51283 bytes 
MD5: 1ff52f50f84e4499da5086fa1bcaa089 
SHA1: 99caa4aad89c966980abe81e4ba7ef021d014802 
病毒名称:Trojan-PSW.Win32.OnLineGames.ew <Kaspersky 命名>
         PWS-LegMir <McAfee 命名>
测试时间:2007-03-03
更新时间:暂时解决方法  

 
运行后病毒样本,自动删除病毒本身,自动复制副本到系统目录下
%system32%\norton.sys     该病毒自动删除本身
%program files%\eset\rund1132.exe
%windows%\iexpl0re.exe
C:\DOCUME~1\MIB\LOCALS~1\Temp\spolive.exe
C:\DOCUME~1\MIB\LOCALS~1\Temp\1.exe
C:\DOCUME~1\MIB\LOCALS~1\Temp\10.exe
%windows%\cmdbcs.exe
%system%\twunk32.exe
%system%\drivers\npf.sys

创建启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
<avptask><program files%\Eset\rund1132.exe> 
<u7qwvk2d0k><%windows%\iexpl0re.exe>  
<svc><C:\DOCUME~1\MIB\LOCALS~1\Temp\spolive.exe> 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\DOCUME~1\MIB\LOCALS~1\Temp\1.exe>  
<cmdbcs><%windows%\cmdbcs.exe>  

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<twin><%system%\twunk32.exe>  

创建驱动程序
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services   
<NPF><%system%\drivers\npf.sys>

解决方法:

1.
第一步
开始---运行---regedit----依次展开:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
删除:
<avptask> 
<u7qwvk2d0k> 
<svc> 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
删除:
<upxdnd>
<cmdbcs>

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
删除:
<twin>  

第二步
删除驱动服务:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 
删除:  
<NPF>

2.重启计算机

3.删除
%program files\eset\rund1132.exe
%windows%\iexpl0re.exe
C:\DOCUME~1\MIB\LOCALS~1\Temp\清空目录下所有的文件
%windows%\cmdbcs.exe
%system%\twunk32.exe
%system%\drivers\npf.sys

盗QQ木马twunk32.exe解决方法

中此病毒的朋友请小心,修复完上面的病毒项后,准备登录QQ的,SSM提示重新计算效验和

该木马主要盗QQ,小心保管财务呀!
该病毒不会破坏QQ密保,从而达到了真正的无色无味.

%system%\twunk32.exe

释放:
%system%\drivers\usbue.sys
QQ\TIMPlatfrom.exe
并替换了
QQ\TIMPlatform.exe

解决方法:

控制面板---添加删除---卸载掉:QQ

重启计算机

删除:
%system%\twunk32.exe
%system%\drivers\usbue.sys

注:
C代表你电脑中的本地磁盘