在桌面打开运行后,这个wdm.exe释放下列文件: C:\WINDOWS\system32\wdm.exe C:\WINDOWS\system32\drivers\ksld.sys C:\Program Files\Tencent\QQ\TIMPlatfrom.exe C:\Program Files\Tencent\QQ\TIMPlatform.exe 添加注册表项: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] [Microsoft Corporation] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] <> []
重启系统后发现ksld.sys通过wdm.exe加载;ADSL虚拟拨号程序自动运行。此后,用户每进行一步操作,进程列表中增加一个iexplore.exe进程(尽管此时并未打开IE浏览器)。用SSM禁止iexplore.exe运行,无效!(图3)。
查看MD5发现:wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe是同一个程序。原来QQ里面的正常TIMPlatform.exe已不复存在!(图4)。
杀毒流程: 1、用SSM禁止wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe加载。 2、重启。删除上述文件。清理注册表。 3、卸载QQ重新安装。 |