TxoMoU.Exe木马清除手记

　　我平时上网一向颇为谨慎，所以尽管用的是防毒功能相对没那么强的金山毒霸6，也很少中招。但这两天中了个名叫“TxoMoU.Exe”的新木马，却着实给折腾了几天。
　　上周刚新买了台电脑，把原来老掉牙的机子淘汰掉，刚把两个系统装好，把一大堆常用的软件给安上，还没找到什么新感觉，就猝不及防中招了。

　　那天我是在浏览一个每天必逛的碟报网站www.hdd**.net.cn时中招的。这个网站的主页以前也曾有过不止一次被挂木马、挂病毒的前科，但总的来说，之前那些木马、病毒还不至于造成太大的破坏，所以基本一直无视。但这次被挂的这个TxoMoU.Exe，貌似比之前那些凶悍多了。
　　这次只要打开那个碟报网的主页，TxoMoU.Exe即自动下载。中招后，金山网镖6才作出提示：“是否允许TxoMoU.Exe访问网络？”但这个时候已经迟了，木马已经发作，已经修改了系统时间到2000年，已经修改了浏览器主页，已经修改了注册表，禁用任务管理器，禁止文件夹选项“查看”选项卡中的“显示所有文件和文件夹”，已经在每个分区（包括U盘）的根目录下生成了两个隐藏文件sos.exe和另一个auto开头的文件（具体名称没记下来，貌似叫AutoRun.inf？），还在C:\WINDOWS\system32、C:\WINDOWS等文件夹下生成一堆相关病毒文件，甚至还把刚备份的系统还原的备份文件给废掉。
　　如果当时插了U盘什么的更糟，U盘感染了那是肯定的了；最令人防不胜防的是，当主机上的操作系统清理完毕后，插上U盘，准备清除U盘上的木马时，木马又会瞬间发作，把清理完毕的主机操作系统又全感染一遍。
　　而且，这个木马通过网页快照也能感染。本来昨晚我已经把包括U盘在内的木马给清理掉了，上网查一个碟报，没留意百度的网页快照就是来自那个网站的，一转眼包括U盘在内又全中招，而且貌似还是变种，在桌面还生成木马文件（原来那个版本没改动桌面）。
　　这个木马貌似是这两三天才冒出来的，在网上没搜索到什么系统介绍的清理方法，更没有见到有什么专杀工具。

　　下面说说我的清理过程。
　　首先，我会赶紧断网（拔掉网线），关机，重启，进入另一个备用系统——我一般装机都会装两个XP系统，一个作主系统用，一个作备用系统用，一旦其中一个系统中招，可以随时进入另一个系统进行杀毒操作。这是因为，在中毒之后，不少的病毒、木马文件都在运行中，根本删除不掉，或者删除后马上又恢复，即使是在安全模式下也一样；而用另一个系统去操作，则一般不会出现这种情况。
　　但是这个TxoMoU.Exe却比较凶悍，中招时就在每个分区的根目录下生成相关文件，进到另一个系统也很可能会随即被感染上——我的就是这样。不过，由于备用系统不是其最初发作的系统，故没发作得没那么猖狂。

　　进备用系统后，首先看看桌面右下角时间的年份是不是正常。如果年份变成2000年的话，那么备用系统也中招了。
　　第一步，把年份改回来。
　　第二步，打开“我的电脑”的“文件夹选项”的“查看”选项卡，把“显示系统文件夹的内容”前打上√，把“隐藏受保护的操作系统文件（推荐）”前的√去掉，点上“显示所有文件和文件夹”，“隐藏已知文件类型的扩展名”前的√去掉，然后“应用”，“确定”。再进一遍“查看”选项卡，看看“显示所有文件和文件夹”选上了没有。如果选上了那还好，如果那个点还是在“不显示隐藏的文件和文件夹”上面的话，那么就需要修改注册表了。
　　第三步，打开注册表（开始—→运行—→regedit），依次展开至：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支，观察右边的窗口中的CheckedValue键值项，看其小图案是不是紫褐色的“ab”。如果是的话，那就需要作如下操作：
　　按右键，选“重命名”，把这个键值名复制下来后，把这个键值名字改掉，如后面加个1；然后在空白处点右键，然后“新建”—→“DWORD值”，然后把这个新建的DWORD值重命名为“CheckedValue”，再把其值改为1，把刚才那个“CheckedValue1”删掉。

　现在再重新打开“文件夹选项”的“查看”选项卡，就可以把“显示所有文件和文件夹”选上了。
　　第四步，打开我的电脑，进入硬盘分区，右键选择“排列图标”中的“修改时间”，即选按“修改时间”的顺序排列文件，并在“文件夹选项”中的“查看”选择“应用到所有文件夹”。
　　第五步，打开每个分区的根目录，如C:/、D:/、E:/等，找到隐藏文件sos.exe和另一个貌似以auto开头的隐藏文件，分别删除。删除时，最好能先用unlocker解除锁定，因为我发现如果不先解锁的话，有可能貌似被删除了但却删除不干净——unlocker是一个不错的常备小工具，可以把一些正在运行中的文件给解锁。
　　第六步，打开主系统和备用系统的WINDOWS\system32文件夹，仔细察看文件修改的时间，把中毒那个时候生成可疑文件辨别清楚后，给咔嚓掉。其中一个就是那个TxoMoU.Exe，如果文件是按时间顺序排列的话，那几个病毒文件就在它的前后。
　　第七步，在同样的WINDOWS\system32文件夹，再寻找2000年同一天同一个时间生成其他几个可疑文件，仔细辨别并确认后，一并清除。如中毒时间是2007年11月22日17时47分的话，那么就寻找2000年11月22日17时47分左右生成的文件。
　　第八步，进入主系统和备用系统的WINDOWS\system32\drivers的文件夹，看看最新生成的文件是什么时候生成的。如果有中毒当天生成的，咔嚓掉。
　　第九步，打开主系统和备用系统的WINDOWS文件夹，具体操作与第七步相同。顺便把该文件夹下的Temp文件夹里的内容清空掉。
　　第十步，打开主系统和备用系统的Program Files\Internet Explorer\PLUGINS文件夹，看看有没最近生成的文件，有的话咔嚓掉。
　　第十一步，打开注册表，选“编辑”—→“查找”，分别用“sos.exe”和“TxoMoU”搜索，只要搜到的全给咔嚓掉。
　　第十二步，按下ctrl＋alt＋del，看看任务管理器是否能打开，如果提示被禁用，则打开注册表，依次展开至：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System，找到DisableTaskmgr键值项，把dword值设置为0。
　　第十三步，打开收藏夹，看看有没有木马留下的网页链接，如有则删除。
　　第十四步，准备删除U盘里的木马。如果用的是卡巴斯基，貌似插上后就会有提示是否允许运行，这时当然要选择否，并删除U盘里的病毒文件。
　　第十五步，如果不是卡巴斯基，那么保险起见，建议操作如下：先接上网线，上网，找一个叫“禁止运行指定文件”的小工具（压缩包约有0.97M），确认后下载，解压运行后，把“sos.exe”和“TxoMoU.exe”分别添加入禁止运行的文件名中，“免疫”，重启电脑。
　　第十六步，重启电脑后，打开“我的电脑”，插入U盘，系统读取U盘后，直接双击U盘盘符，或者用右键菜单中的“打开”，是打不开U盘的。这时，右键单击桌面上的“我的电脑”图标，选“资源管理器”，从左边的“文件夹”中打开U盘，删除病毒文件。
　　然后重启电脑，病毒基本清除完毕。最好用优化软件优化一下电脑，把垃圾文件再删除掉。

　　以上是本人关于清除TxoMoU.Exe木马的一些基本做法和心得，谨供各位朋友参考；有说得不全的地方，还请高手斧正~~~~

最新相关文章

• ·认识映象劫持技术原理与解决办法
• ·大水牛下载者分析及手工清除办法
• ·计算机病毒中毒症状、预防和系统恢复
• ·mdm.exe专杀以及处理方法
• ·手工清除病毒mdm.exe和RavMon.exe
• ·mdm.exe病毒的解决方法
• ·不再草木皆兵 三招对付捆绑木马！
• ·如何清除Taskmgr.exe病毒
• ·taskmgr.exe进程CPU占用率高的原因
• ·taskmgr.exe系统进程及相关病毒介绍
• ·QQ“缘”病毒taskmgr.exe狂占CPU内存
• ·警惕伪SoundMan.exe病毒 SoundMan.exe病毒清除办
• ·巧治Vista下U盘自动运行病毒方法
• ·计算机病毒的说明、预防和恢复
• ·病毒反抗杀毒软件主要手段
• ·经典九招 防止自动播放引来病毒