系统进程--伪装的病毒 iexplore.exe
Trojan.PowerSpider.ac 破坏方法:密码解霸V8.10。又称“密码结巴”。偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
这个木马没有进程,运行后进驻内存调用IE(iexplore.exe)访问远程信息下载木马或其它恶意程序。
运行后复制自身到系统目录%System%/vpcrm.exe,并改名QQ目录下TIMPlatform.exe为TIMPlatfrom.exe,复制自身为TIMPlatform.exe,使得QQ运行时也会调用运行病毒文件,此外,和之前的一些变种一样,它也释放了驱动文件%System%/drivers/moduleusb.sys。
创建的启动项是:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run]
"9"="%System%/vpcrm.exe"
"9"="%System%/vpcrm.exe"
清除步骤
==========
1. 删除病毒文件:
%System%/vpcrm.exe
%QQ%/TIMPlatform.exe
%System%/drivers/moduleusb.sys
2. 改名QQ目录下TIMPlatfrom.exe为TIMPlatform.exe
3. 删除启动项:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run]
"9"="%System%/vpcrm.exe"
"9"="%System%/vpcrm.exe"
4. 重新启动计算机