win32.small.czl

这个木马最近比较流行，通过修改QQ相关程序增加了清除的难度。木马运行后复制自身到系统目录下：

%System%\\twunk32.exe

注入进程……

释放文件：

%System%\\drivers\\usbme.sys

创建启动项：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run]

"twin"="%System%\\twunk32.exe"

病毒简介：

名称： Win32.Small.czl

类型：Trojan 木马

文件长度： 27,476 字节

具体症状：

任务管理器中可以看到多个用户名为大写SYSTEM的IEXPLORE.EXE进程．系统速度会变慢（有时IEXPLORE.EXE进程会占用很高的CPU使用率），

解决办法：

1、先强制删除以下路径中的两个文件（注：windhcp.ocx有的有，有的没有。），可在DOS下用Attrib命令结合Del命令删除，也可以用强制删除工具：PowerRMV来删除。

C:\\WINDOWS\\system32\\twunk32.exe

C:\\WINDOWS\\system32\\windhcp.ocx

2、重启[F5、F8]进入安全模式，利用 SREng工具来：

（1）删除：启动项目—注册表

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run]

<twin><C:\\WINDOWS\\system32\\twunk32.exe>

（2）删除（停止）：启动项目—服务

[Windows DHCP Service / WinDHCPsvc]

3、卸载QQ。重新安装。或直接删除（卸载）QQ文件夹中的TIMPlatform文件。因为TIMPlatform.exe已被病毒覆盖。