瑞星卡卡安全论坛

这是个老马。
最近又出来溜达了。
瑞星19.02.42居然查不到（在瑞星眼皮子底下运行twunk32.exe——畅通无阻）。汗！！
估计这马儿的作者可能又加了点儿什么新东东吧。

中招后的典型表现如图所示。


手工查杀流程：

1、点击：“开始”、“运行”。键入regedit，按回车。清理注册表：

（1）展开：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

删除："load"=""

（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

删除："twin"="X:\\windows\\system32\\twunk32.exe"

2、重启。显示隐藏文件。

3、删除X:\windows\system32\twunk32.exe。

4、卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。

注：
1、X为系统盘盘符。
2、如果你觉得TIMPlatform.exe没什么用，就直接删了它。不重新安装QQ，也行。

附件: 15584720061223103743.jpg

学习ing~

baoge,大哥，跟你学习中。。呵呵~
对了，请问，如果要检测一个病毒，在系统中生成了什么文件或做了那些改动，使用什么工具监视呢?
谢谢！

引用:

【skyshine的贴子】baoge,大哥，跟你学习中。。呵呵~ 对了，请问，如果要检测一个病毒，在系统中生成了什么文件或做了那些改动，使用什么工具监视呢? 谢谢！ ………………

俺是菜鸟。不懂编程。更看不懂程序。
我一般是在“影子”模式下运行病毒，用Tiny的Track'nReverse监控。
搞清基本情况后，实机运行观察。
当然，要先将Tiny的设置以及有关分区的保护搞好（系统盘以外的分区，只在根目录下留一个包含各类文件的文件夹用作蠕虫感染的“试验田”。其它文件夹一律用Tiny保护起来——不许任何程序做改动）。否则，遇到恶性蠕虫，就麻烦了。
我不建议别人用这种观测方式。因为Tiny的设置较复杂。搞不好，有点儿什么疏漏，就会把自己玩儿了。
注：我有系统的光盘GHOST备份。

我现在都是用ssm，没有淘汰吧？

引用:

【水树雨下的贴子】我现在都是用ssm，没有淘汰吧？ ………………

SSM用来防毒，还比较满意。
用它来观测病毒，略欠一些（跟踪、记录具体的文件创建过程不够详细）

引用:

【baohe的贴子】 SSM用来防毒，还比较满意。 用它来观测病毒，略欠一些（跟踪、记录具体的文件创建过程不够详细） ………………

了解了，Tiny设置太复杂了，晕死，哪能找到详细说明啊？

引用:

【水树雨下的贴子】 了解了，Tiny设置太复杂了，晕死，哪能找到详细说明啊？ ………………

网上可以搜索到部分资料，也不是很全。
至于Tiny的原版说明书，原来的官方网站有（英文的）。但是，现在已经被CA接管，那说明书也没了。

Tiny的原版说明书介绍的也不是很全。

Tiny的使用技巧积累————主要靠用户的实践经验积累。这是个渐进过程。
比较郁闷的是：Tiny的灵活设置，使得用户间的交流也有一定困难。因为每个人的习惯及设置爱好不同。

引用:

【baohe的贴子】 比较郁闷的是：Tiny的灵活设置，使得用户间的交流也有一定困难。因为每个人的习惯及设置爱好不同。 ………………

只能慢慢来了

Tiny 是指 Tiny Firewall吗？
官网是这个http://www.tinysoftware.com/ 不？

引用:

【skyshine的贴子】Tiny 是指 Tiny Firewall吗？ 官网是这个http://www.tinysoftware.com/ 不？ ………………

是指 Tiny Firewall
http://www.tinysoftware.com/已经不存在。你输入这个地址，会自动转到CA。
CA似乎还没把Tiny的精髓吃透。
CA自己搞那个2007————鄙视！

哦.猫叔.这就昨昨天那个求助者说的什么粒粒吧.....
呵呵.学习收藏....

学习

学习...->kxzhmc500@sina.com

PS:是那个原来会改QQ文件的木马吧??

瑞星19.02.42居然查不到（在瑞星眼皮子底下运行twunk32.exe——畅通无阻）。`````无语`````学习了`

猫叔...你设置了保护没，我tiny设置好后，IS就开不起来，监控发现启动时，会临时产生2个驱动，一个还是随机名。。。痛苦，开IS要把tiny 关了

CA那个貌似把Tiny的Track'nReverse监控去掉了。。。最重要的东西没了！！鸡肋！！

还有，猫叔，对系统进程要不要文件名和效验和文件完整保护吖。。。

嘘~~
好厉害~!!

斑竹就是强，对了斑竹是使用虚拟机测试的吧。能不能介绍一点虚拟机测试经验。

引用:

【UFO不幸外人的贴子】斑竹就是强，对了斑竹是使用虚拟机测试的吧。能不能介绍一点虚拟机测试经验。 ………………

我没用过虚拟机
用影子

有什么不一样么？虚拟机和影子？
没有听说过影子，不太懂
虚拟机我现在正在使用它试验病毒，我自己的病毒，主要为了写一写文章投稿。已经发表4篇了

E文啊E文

引用:

【UFO不幸外人的贴子】有什么不一样么？虚拟机和影子？ 没有听说过影子，不太懂 虚拟机我现在正在使用它试验病毒，我自己的病毒，主要为了写一写文章投稿。已经发表4篇了 ………………

这东东——褒贬不一（主要是因为它将其注册信息写入引导区）。
用不用——自己决定。
影子的网址：http://www.powershadow.com/cn/

写入引导区，不是太好吧

我先看看

引用:

【deadmanzj的贴子】猫叔...你设置了保护没，我tiny设置好后，IS就开不起来，监控发现启动时，会临时产生2个驱动，一个还是随机名。。。痛苦，开IS要把tiny 关了 还有，猫叔，对系统进程要不要文件名和效验和文件完整保护吖。。。 ………………

1、Tiny与IS并不冲突。你将IS录入Trust组即可（又是设置问题）。慢慢熟悉吧。
2、“文件名与效验和的完整保护”问题：酌情处理。例如：瑞星的升级程序等不宜做“MD5保护”，因为其MD5常常随着升级改变（最近尤其频繁）。如果一定要设置校验保护，每次升级后，右键运行一下Tiny的Update Known Applications，将新的MD5录入即可。各程序的新MD5可以选择录入（注意：别眼花了，将病毒改过的程序也重录MD5！）

确实不错，是款好的系统，就是老要在各种系统间切换，对于编辑工作（存储自己的各种文件）有一定的麻烦，有点像还原卡，但是又不能按照突破还原卡的方法突破，如果使用多了，估计以后会有一种病毒，专门突破

请问--TIMPlatform.exe是什么?好像是QQ的一个文件?

求助:（1）展开：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

删除："load"=""

（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

删除："twin"="X:\\windows\\system32\\twunk32.exe"

这里第一步做了,第2步做不到怎么办?

难道我的又是变种?

前几步按照LZ的办法做了

但是我QQ下没有TIMPlatform.exe，只有一个文件名是TIMPlatfrom的应用程序，删除之后启动QQ，注册表又被改了，而且QQ下又生成了名为TIMPlatfrom的应用程序

把QQ卸载重装之后问题解决

哦,,救命稻草啊，，马上试一下。。