Question

电脑中毒了帮忙看一下吧

我用卡巴基斯扫描出来trojan-downloader.win32.small.czl这个木马但是把它杀了之后过一会就又检测出来了怎么办呀
c:\windows\system32\drivers\usbine.sys这个病毒可是在电脑上找找不到这个文件呀显示所有文件也不行

Answer 1

清除步骤
==========

1. 删除QQ目录下被木马替换的TIMPlatform.exe：
%QQ%\TIMPlatform.exe

2. 重命名TIMPlatfrom.exe文件：
将%QQ%\TIMPlatfrom.exe重命名为TIMPlatform.exe

3. 删除木马启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"twin"="%System%\twunk32.exe"

4. 重新启动计算机

5. 删除木马文件：
%System%\twunk32.exe
%System%\drivers\usbme.sys

twunk32.exe木马的清除指南(出现N个IEXPLORE.EXE进程）

最近发现，twunk32.exe的案例很多。有时会伴随注册一个Windows DHCP Service / WinDHCPsvc的服务。其症状是系统速度变慢，在任务管理器中可以看到N个IEXPLORE.exe进程。
1 用强制删除工具 PowerRMV ***地址 http://post.baidu.com/f?kz=158203765
分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭
C:\WINDOWS\system32\windhcp.ocx
C:\WINDOWS\system32\twunk32.exe

以下的操作都要求安全模式下进行。
[安全模式？重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
2 用工具 SREng 删除如下各项
【如下操作有风险，必须看懂方法再操作。】

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<twin><C:\WINDOWS\system32\twunk32.exe> [N/A]

=================================
服务
[Windows DHCP Service / WinDHCPsvc]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>

4、最后要提醒注意的就是 卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。

用msdconfig看你的起动项有没有乱码，有的话删掉regedit ,hkey local machine>software>microsoft>shared tools>msconfig>startupreg项，在安全模杀下毒。
这也是我看的一些评论照着做的。可能没用哦，不要失望，这种毒重装也没用，我试过。

先打开SREng2->点启动项目->点 注册表
1、查看里面是不是有 名字 为: '9' 数据为: 'c:\windows\system32\ravdm.exe' 键路径为: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run的启动项.
如果有，到注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run下删除对应的键值
2、再到 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows下找到load键删除
3、找到TIMPLatform.exe删除，在QQ 文件夹里(可能隐藏，注意：不是TIMPLatfrom.exe )
4、找到ravdm.exe删除，在系统文件里\system32(可能隐藏)
5、找到rinld.sys删除，在系统文件里\system32\drivers(可能隐藏)
重启系统

SREng2.3 下载：
System Repair Engineer (SREng) 2.3 简体中文绿色版

手工查杀流程：

1、点击：“开始”、“运行”。键入regedit，按回车。清理注册表：
（1）展开：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

删除："load"=""

（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

删除："twin"="X:\\windows\\system32\\twunk32.exe"

2、重启。显示隐藏文件。

3、删除X:\windows\system32\twunk32.exe。

4、卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。

注：
1、X为系统盘盘符。
2、如果你觉得TIMPlatform.exe没什么用，就直接删了它。不重新安装QQ，也行。

Answer 2

你可以用这个软件到安全模式下去处理试试：
按杀毒软件提供的路径，记下来 （这种类型的病毒，杀软查杀时一般会报Windows/system32/drivers文件夹下的一个****.sys文件是病毒文件的）
1.下载一个软件：冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件，下载解压缩后即可使用。

2.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件。

3.通过按钮“创建时间”对这个文件夹下的文件进行排序，仔细查看与这个文件在创建时间是同一天的所有文件（但是不是都是与它一样是病毒文件，需要你判断）。右击它们一一删除。用同样的方法排查下system32文件夹，看看有没有同名的.dll文件存在，有的话，一并删除。

4.搜索注册表里这个文件的键值，删除搜索到的－－如果有的话。
如果在system32文件夹下搜索到有.dll文件并且也删除了，在注册表中也搜索一下，看看有没有相关的键值，有的话也删除它。

5.重启电脑，这个东西应该清除干净了。

特别要注意第3步，搜索下System32这个文件夹下是否存在同名或同时间创建的dll文件。

Answer 3

建议您安装瑞星杀毒软件V16版本升级到最新病毒库后进行病毒扫描查杀，下载地址：http://pc.rising.com.cn/

Answer 4

你是不是用卡巴杀过了~杀过以后他会没有可是下次启动又有了要两个一起删才可以

用冰刃把c:\windows\system32\drivers\usbine.sys和c:\windows\system32\usbine.DLL删了就可以了
冰刃下载http://www.crsky.com/soft/6947.html

Answer 5

开机按f8进入安全模式，然后再用卡巴查杀

Answer 6

用ewido