twunk32.exe的查杀

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 twunk32.exe的查杀

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-12-23 10:46 \| 显示全部短消息资料字号：小中大 1楼 twunk32.exe的查杀这是个老马。最近又出来溜达了。瑞星19.02.42居然查不到（在瑞星眼皮子底下运行twunk32.exe——畅通无阻）。汗！！估计这马儿的作者可能又加了点儿什么新东东吧。中招后的典型表现如图所示。手工查杀流程： 1、点击：“开始”、“运行”。键入regedit，按回车。清理注册表：（1）展开：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 删除："load"="" （2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 删除："twin"="X:\\windows\\system32\\twunk32.exe" 2、重启。显示隐藏文件。 3、删除X:\windows\system32\twunk32.exe。 4、卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。注： 1、X为系统盘盘符。 2、如果你觉得TIMPlatform.exe没什么用，就直接删了它。不重新安装QQ，也行。附件: 文件名:15584720061223103743.jpg 下载次数:1252 文件类型:image/pjpeg 文件大小: 上传时间:2006-12-23 10:46:39 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2007-02-02 12:07:07
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-12-23 11:13 | 显示全部 短消息资料

字号：小中大 2楼

引用:

【skyshine的贴子】baoge,大哥，跟你学习中。。呵呵~
对了，请问，如果要检测一个病毒，在系统中生成了什么文件或做了那些改动，使用什么工具监视呢?
谢谢！
………………

俺是菜鸟。不懂编程。更看不懂程序。
我一般是在“影子”模式下运行病毒，用Tiny的Track'nReverse监控。
搞清基本情况后，实机运行观察。
当然，要先将Tiny的设置以及有关分区的保护搞好（系统盘以外的分区，只在根目录下留一个包含各类文件的文件夹用作蠕虫感染的“试验田”。其它文件夹一律用Tiny保护起来——不许任何程序做改动）。否则，遇到恶性蠕虫，就麻烦了。
我不建议别人用这种观测方式。因为Tiny的设置较复杂。搞不好，有点儿什么疏漏，就会把自己玩儿了。
注：我有系统的光盘GHOST备份。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-12-23 11:29 | 显示全部 短消息资料

字号：小中大 3楼

引用:

【水树雨下的贴子】我现在都是用ssm，没有淘汰吧？
………………

SSM用来防毒，还比较满意。
用它来观测病毒，略欠一些（跟踪、记录具体的文件创建过程不够详细）

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-12-23 11:37 | 显示全部 短消息资料

字号：小中大 4楼

引用:

【水树雨下的贴子】
了解了，Tiny设置太复杂了，晕死，哪能找到详细说明啊？
………………

网上可以搜索到部分资料，也不是很全。
至于Tiny的原版说明书，原来的官方网站有（英文的）。但是，现在已经被CA接管，那说明书也没了。

Tiny的原版说明书介绍的也不是很全。

Tiny的使用技巧积累————主要靠用户的实践经验积累。这是个渐进过程。
比较郁闷的是：Tiny的灵活设置，使得用户间的交流也有一定困难。因为每个人的习惯及设置爱好不同。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-12-23 11:46 | 显示全部 短消息资料

字号：小中大 5楼

引用:

【skyshine的贴子】Tiny 是指 Tiny Firewall吗？
官网是这个http://www.tinysoftware.com/ 不？
………………

是指 Tiny Firewall
http://www.tinysoftware.com/已经不存在。你输入这个地址，会自动转到CA。
CA似乎还没把Tiny的精髓吃透。
CA自己搞那个2007————鄙视！

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-12-23 16:38 | 显示全部 短消息资料

字号：小中大 6楼

引用:

【UFO不幸外人的贴子】斑竹就是强，对了斑竹是使用虚拟机测试的吧。能不能介绍一点虚拟机测试经验。
………………

我没用过虚拟机
用影子

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-12-23 17:12 | 显示全部 短消息资料

字号：小中大 7楼

引用:

【UFO不幸外人的贴子】有什么不一样么？虚拟机和影子？
没有听说过影子，不太懂
虚拟机我现在正在使用它试验病毒，我自己的病毒，主要为了写一写文章投稿。已经发表4篇了

………………

这东东——褒贬不一（主要是因为它将其注册信息写入引导区）。
用不用——自己决定。
影子的网址：http://www.powershadow.com/cn/

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-12-23 17:20 | 显示全部 短消息资料

字号：小中大 8楼

引用:

【deadmanzj的贴子】猫叔...你设置了保护没，我tiny设置好后，IS就开不起来，监控发现启动时，会临时产生2个驱动，一个还是随机名。。。痛苦，开IS要把tiny 关了

还有，猫叔，对系统进程要不要文件名和效验和文件完整保护吖。。。
………………

1、Tiny与IS并不冲突。你将IS录入Trust组即可（又是设置问题）。慢慢熟悉吧。
2、“文件名与效验和的完整保护”问题：酌情处理。例如：瑞星的升级程序等不宜做“MD5保护”，因为其MD5常常随着升级改变（最近尤其频繁）。如果一定要设置校验保护，每次升级后，右键运行一下Tiny的Update Known Applications，将新的MD5录入即可。各程序的新MD5可以选择录入（注意：别眼花了，将病毒改过的程序也重录MD5！）

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-01-08 12:18 | 显示全部 短消息资料

字号：小中大 9楼

引用:

【野人阿宽的贴子】猫叔这个病毒还有个驱动把
………………

有人提到：这个病毒还释放一个驱动：%System%\drivers\usbme.sys
但我运行这个样本时没发现usbme.sys释放。
用IceSword检查%System%\drivers\文件夹，也没usbme.sys这个文件。可能是样本不同吧。

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-02-01 15:22 \| 显示全部短消息资料字号：小中大 10楼【回复“luckyxian”的帖子】 C:\WINDOWS\system32\twunk32.exe 将这个文件打包，加密（密码用123），发给我：baohelin@yahoo.com.cn
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

<<上一主题|下一主题>>

1 / 1 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-12-23 10:46 \| 显示全部短消息资料字号：小中大 1楼 twunk32.exe的查杀这是个老马。最近又出来溜达了。瑞星19.02.42居然查不到（在瑞星眼皮子底下运行twunk32.exe——畅通无阻）。汗！！估计这马儿的作者可能又加了点儿什么新东东吧。中招后的典型表现如图所示。手工查杀流程： 1、点击：“开始”、“运行”。键入regedit，按回车。清理注册表：（1）展开：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 删除："load"="" （2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 删除："twin"="X:\\windows\\system32\\twunk32.exe" 2、重启。显示隐藏文件。 3、删除X:\windows\system32\twunk32.exe。 4、卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。注： 1、X为系统盘盘符。 2、如果你觉得TIMPlatform.exe没什么用，就直接删了它。不重新安装QQ，也行。附件: 文件名:15584720061223103743.jpg 下载次数:1252 文件类型:image/pjpeg 文件大小: 上传时间:2006-12-23 10:46:39 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2007-02-02 12:07:07
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 twunk32.exe的查杀

twunk32.exe的查杀

twunk32.exe的查杀

附件:

文件名:15584720061223103743.jpg 下载次数:1252 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(147869); 上传时间:2006-12-23 10:46:39 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

文件名:15584720061223103743.jpg

下载次数:1252

文件类型:image/pjpeg

文件大小:

上传时间:2006-12-23 10:46:39

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01