基本信息
xplatform
估計很多人對 TXP1atform.exe 這個東西恨之入骨,而且這個東西出道時間已經不短了,從去年的10月份就開始在網上滋生蔓延,現在很多盜版的光碟軟體裡面都已經將他的身影種子播撒在整個網路。TXP1atform.exe 偽造成 TXPlatform.exe 具有諷刺意味,因為TXPlatform.exe 同樣是難以徹底刪除的,TXP1atform.exe 在進程中的沒有固定的PID,每次都能“死而復生”,註冊的GDI對象值是8,也就是說是由父系進程生成的,但是8卻已經捆綁在了很多核心進程像 svchost.exe 上面,就像一條附在你心臟上面的蠕蟲一樣。並且很多系統關鍵性檔案被感染了,至於感染的解釋可以理解為被病毒替換掉甚至修改代碼,這些系統檔案大多是用戶不容易發現的系統驅動檔案,IE快取臨時檔案,有些電腦的系統還原檔案裡面都可以找到他可怕的影子,至少現在,TXP1atform.exe 以無處不在,但是你能發現這條毒蛇的僅僅是它的幾個爪牙而已。
病理分析
病毒會在c:\windows\system32\drivers\下建立TXP1atform.exe,在所有的根目錄下建立.exe和autorun.inf,在系統分區外的所有資料夾中建立desktop_1.ini(乃至desktop_2、_3),感染擴展名為exe、htm的檔案,修改、刪除、增加了幾百處註冊表鍵值,也可能在c:\documents and settings\下的一些資料夾中建立不少檔案
辦法步驟
單純的重灌系統,雖然系統盤得到了淨化,而其它驅動器中仍然留有餘孽,一旦雙擊系統盤外的驅動器或資料夾或某個可執行程式,病毒還會死灰復燃,再次感染系統,前面的努力全都白費了。因此在重裝前,首先要作一些清理:
(注意:清理過程中,不要雙擊打開驅動器或資料夾或exe、htm檔案,否則清理工作有可能白費)
(一)、打開任務管理器,結束TXP1atform.exe進程(必須先做這一步,否則下面刪除分區根目錄下的.exe和autorun.inf後,兩個檔案又在幾秒鐘內自動生成)
(二)、用winRAR查看每個分區(這裡雙擊是安全的),它會顯示出所有的隱藏檔案。(複製.exe的檔案名稱,在某處建立一個資料夾,把複製的.exe的檔案名稱貼上到這個新建的資料夾的名字處,待會兒有用)。刪除所有分區中隱藏的.exe和autorun.inf。如果有移動存儲設備,也要刪除隱藏其中的這兩個檔案
(三)、隱藏於系統盤外的desktop_1.ini(乃至desktop_2、_3)數量龐大,手動刪除極為麻煩,用搜尋程式也不見它們的蹤影,因此要用批處理。方法是新建一個文本檔案,複製以下內容並保存,任意命名,擴展名要改為bat:
@echo off
echo 正在清除,請稍候......
del c:\Desktop_1.ini /f /s /q /a
del D:\Desktop_1.ini /f /s /q /a
del e:\Desktop_1.ini /f /s /q /a
del f:\Desktop_1.ini /f /s /q /a
del g:\Desktop_1.ini /f /s /q /a
del h:\Desktop_1.ini /f /s /q /a
del i:\Desktop_1.ini /f /s /q /a
del c:\Desktop_2.ini /f /s /q /a
del D:\Desktop_2.ini /f /s /q /a
del e:\Desktop_2.ini /f /s /q /a
del f:\Desktop_2.ini /f /s /q /a
del g:\Desktop_2.ini /f /s /q /a
del h:\Desktop_2.ini /f /s /q /a
del i:\Desktop_2.ini /f /s /q /a
del c:\Desktop_3.ini /f /s /q /a
del D:\Desktop_3.ini /f /s /q /a
del e:\Desktop_3.ini /f /s /q /a
del f:\Desktop_3.ini /f /s /q /a
del g:\Desktop_3.ini /f /s /q /a
del h:\Desktop_3.ini /f /s /q /a
del i:\Desktop_3.ini /f /s /q /a
echo 清除完畢
exit
用下面這一個可以免疫一下!
@echo off
echo 正在終止病毒進程並免免疫,請稍等……
taskkill /f /im TXP1atfOrm.exe
del c:\windows\system32\Drivers\txp*.exe /f /s /q /a
md c:\windows\system32\Drivers\www
ren c:\windows\system32\Drivers\www TXP1atfOrm.exe
attrib c:\windows\system32\Drivers\www TXP1atfOrm.exe +R +S +H
echo 正在清除病毒生成的垃圾檔案,請稍等……
del C:\WINDOWS\Tasks\*.job /f /s /q /a
del c:\Desktop_1.ini /f /s /q /a
del D:\Desktop_1.ini /f /s /q /a
del e:\Desktop_1.ini /f /s /q /a
del f:\Desktop_1.ini /f /s /q /a
del g:\Desktop_1.ini /f /s /q /a
del h:\Desktop_1.ini /f /s /q /a
del i:\Desktop_1.ini /f /s /q /a
del c:\Desktop_2.ini /f /s /q /a
del D:\Desktop_2.ini /f /s /q /a
del e:\Desktop_2.ini /f /s /q /a
del f:\Desktop_2.ini /f /s /q /a
del g:\Desktop_2.ini /f /s /q /a
del h:\Desktop_2.ini /f /s /q /a
del i:\Desktop_2.ini /f /s /q /a
echo 清除完畢!
(四)、刪除那些被感染的exe和htm檔案。可以下載360防毒軟體,安裝後掃描硬碟、移動設備,很可能會發現幾乎所有的exe和htm檔案都被感染了,只能刪除
然後重灌系統,就OK了
為了防止再次感染,需要:
把剛才新建的資料夾複製到各分區的根目錄下(這個同名的資料夾是無法被病毒替換的,但如果換成同名的檔案,就會被病毒替換掉,所以一定要用資料夾)。之後再於每個根目錄下建個名為autorun.inf的資料夾。保險起見,還可在c:\windows\system32\drivers\目錄下建立一個名為TXP1atform.exe的資料夾
簡單的清理方法
用冰刃或360將c:\windows\system32\drivers\TXP1atform.exe強制刪除或者粉碎,然後用清理助手掃描清理,OK
