win32.small.czl

   

   这个木马最近比较流行，通过修改QQ相关程序增加了清除的难度。木马运行后复制自身到系统目录下：
%System%\twunk32.exe
注入进程……

释放文件：
%System%\drivers\usbme.sys

创建启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"twin"="%System%\twunk32.exe"


病毒简介：

名称： Win32.Small.czl

类型：Trojan 木马

文件长度： 27,476 字节

具体症状：

　　任务管理器中可以看到多个用户名为大写SYSTEM的IEXPLORE.EXE进程．系统速度会变慢（有时IEXPLORE.EXE进程会占用很高的CPU使用率），

解决办法：

        1、先强制删除以下路径中的两个文件（注：windhcp.ocx有的有，有的没有。），可在DOS下用Attrib命令结合Del命令删除，也可以用强制删除工具：PowerRMV来删除。

C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\system32\windhcp.ocx


        2、重启[F5、F8]进入安全模式，利用 SREng工具来：
    （1）删除：启动项目—注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <twin><C:\WINDOWS\system32\twunk32.exe>

     （2）删除（停止）：启动项目—服务
[Windows DHCP Service / WinDHCPsvc]
         

        3、卸载QQ。重新安装。或直接删除（卸载）QQ文件夹中的TIMPlatform文件。因为TIMPlatform.exe已被病毒覆盖。