打败特洛伊木马幽灵—— usbinite

接上文：

和特洛伊“勇士”战斗了三天后，我又遇到了两位特洛伊“英雄”，都是很难杀死的“幽灵”，第一个复活了三次后我到网上查了查，有人说可以改变一个WINDOWS启动项就能杀掉它，我试试果然好用！

      可是那个需要关机才能杀掉，但是登陆QQ就会复活的usbinite就很让我头疼了。我这个上网才一个月的菜鸟三天至少杀过它五六次，可是它好象是拥有了哪位希腊女神的魔力，总是会一次次重生复活,我上网查了查，和我一样“为情所困”在那跪求指教的人原来很多很多！上面也有少数人留言介绍多种查杀它的方法,我找了两条:

找到usbinite文件,把它剪切到U盘,然后对U盘格式化.最后删除所有QQ软件(因为RootKit.Win32.Callgate.f会在打开QQ后被激活),重装QQ软件

中TIMPlatform.exe木马，产生usbinite.sys病毒的清除办法

瑞星提示发现usbinite.sys病毒，提示重启后删除，可是重启之后呢，依然存在，依然是重启后删除，试了好多的办法，解决办法如下：
TIMPlatform.exe木马这个木马没有进程，如果你的进程TIMPlatform.exe被改名为TIMPlatfrom.exe(注意两个文件字母的排序)就可能中招了

木马运行后进驻内存调用IE（iexplore.exe）访问远程信息下载木马或其它恶意程序。
运行后复制自身到系统目录System32/visin.exe，并改名QQ目录下TIMPlatform.exe为TIMPlatfrom.exe，
复制自身为TIMPlatform.exe，使得QQ运行时也会调用运行病毒文件，此外，和之前的一些变种一样，
它也释放了驱动文件System32/drivers/usbinite.sys。
创建的启动项是：
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run]
"9"="System32是/visin.exe"
清除步骤
1. 删除病毒文件：
System32/visin.exe
QQ/TIMPlatform.exe
System32/drivers/usbinite.sys（如果删除不了，直接进行下一步骤）
2. 改名QQ目录下TIMPlatfrom.exe为TIMPlatform.exe
3. 删除启动项：
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run]
"9"="System32/visin.exe"
4. 重新启动计算机
注意：病毒文件名不一定是visin.exe、usbinite.sys也不一定在System32目录下
但QQ目录下一定有TIMPlatfrom.exe和TIMPlatform.exe两个文件（有可能是隐藏的）

我这个菜鸟看过许多贴子后，决定还是自己研究方法去查杀她：我先重启电脑用360安全卫士残忍杀掉了她的“美丽生命”，然后去C盘按如下顺序找到她的“病毒尸体”文件WINDOWS/system32 .sys /drivers. sys /Usbinite.sys/然后毫不“怜香惜玉”愤恨地把她删除！又马上痛心地卸载了腾讯QQ、QQ医生、QQ游戏，再到D盘删除了所有残存的QQ文件，彻底地毁掉了她的“灵魂”。当我又重新下载上更好的2008腾讯QQ后，惊喜地发现：特洛伊木马幽灵—— usbinite真的不再来“狂恋”我了！

     晚上和一位电脑大虾朋友聊天，他说我那些特洛伊木马勇士都是我用迅雷下载安装软件时太粗心，没有勾掉那些捆绑病毒插件网址文件而来的。他又向我推荐安装了费尔防火墙和一款国际上最好的专杀木马工具AVG，现在，我终于有本领能彻底打败众多的神使——特洛伊木马勇士们了！