文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  Error. [hh.exe %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  Error. [notepad.exe %1]
.INF  Error. [notepad.exe %1]
.VBS  Error. [wscript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
API HOOK
N/A

==================================


[/CODE]

http://forum.ikak.com/topic.asp?board=28&artid=8237996
我按照这里的办法去做了，可就好了一天，第２天又出现了同样的问题！
我是个菜鸟，各位大侠给看看！有什么办法解决？帮忙说的通俗点！
在此谢过！！！

这是啥意思啊？？？[img][/img]不会发图片！
system警告！注册表值ＵserＩnit被修改为非正常值！
请问还要继续吗？

这是个老马。
最近又出来溜达了。
瑞星19.02.42居然查不到（在瑞星眼皮子底下运行twunk32.exe——畅通无阻）。汗！！
估计这马儿的作者可能又加了点儿什么新东东吧。

中招后的典型表现如图所示。


手工查杀流程：

1、点击：“开始”、“运行”。键入regedit，按回车。清理注册表：

（1）展开：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

删除："load"=""

（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

删除："twin"="X:\\windows\\system32\\twunk32.exe"

2、重启。显示隐藏文件。

3、删除X:\windows\system32\twunk32.exe。

4、卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。

注：
1、X为系统盘盘符。
2、如果你觉得TIMPlatform.exe没什么用，就直接删了它。不重新安装QQ，也行。

我就是按照这个办法杀的！ＱＱ也是重装的

安全模式下删除C:\WINDOWS\system32\svch0st.exe
windhcp.ocx
svch0st.exe不让删除！总说另一个正在使用或磁盘未满！
windhcp.ocx是什么没找到啊！