xplatform

估计很多人对 TXP1atform.exe 这个东西恨之入骨，而且这个东西出道时间已经不短了，从去年的10月份就开始在网上滋生蔓延，现在很多盗版的光碟软体里面都已经将他的身影种子播撒在整个网路。TXP1atform.exe 伪造成 TXPlatform.exe 具有讽刺意味，因为TXPlatform.exe 同样是难以彻底删除的，TXP1atform.exe 在进程中的没有固定的PID，每次都能“死而复生”，注册的GDI对象值是8，也就是说是由父系进程生成的，但是8却已经捆绑在了很多核心进程像 svchost.exe 上面，就像一条附在你心脏上面的蠕虫一样。并且很多系统关键性档案被感染了，至于感染的解释可以理解为被病毒替换掉甚至修改代码，这些系统档案大多是用户不容易发现的系统驱动档案，IE快取临时档案，有些电脑的系统还原档案里面都可以找到他可怕的影子，至少现在，TXP1atform.exe 以无处不在，但是你能发现这条毒蛇的仅仅是它的几个爪牙而已。

病毒会在c:\windows\system32\drivers\下建立TXP1atform.exe，在所有的根目录下建立.exe和autorun.inf，在系统分区外的所有资料夹中建立desktop_1.ini（乃至desktop_2、_3），感染扩展名为exe、htm的档案，修改、删除、增加了几百处注册表键值，也可能在c:\documents and settings\下的一些资料夹中建立不少档案

单纯的重灌系统，虽然系统盘得到了净化，而其它驱动器中仍然留有余孽，一旦双击系统盘外的驱动器或资料夹或某个可执行程式，病毒还会死灰复燃，再次感染系统，前面的努力全都白费了。因此在重装前，首先要作一些清理：

（注意：清理过程中，不要双击打开驱动器或资料夹或exe、htm档案，否则清理工作有可能白费）

（一）、打开任务管理器，结束TXP1atform.exe进程（必须先做这一步，否则下面删除分区根目录下的.exe和autorun.inf后，两个档案又在几秒钟内自动生成）

（二）、用winRAR查看每个分区（这里双击是安全的），它会显示出所有的隐藏档案。（複製.exe的档案名称，在某处建立一个资料夹，把複製的.exe的档案名称贴上到这个新建的资料夹的名字处，待会儿有用）。删除所有分区中隐藏的.exe和autorun.inf。如果有移动存储设备，也要删除隐藏其中的这两个档案

（三）、隐藏于系统盘外的desktop_1.ini（乃至desktop_2、_3）数量庞大，手动删除极为麻烦，用搜寻程式也不见它们的蹤影，因此要用批处理。方法是新建一个文本档案，複製以下内容并保存，任意命名，扩展名要改为bat：

@echo off

echo 正在清除，请稍候......

del c:\Desktop_1.ini /f /s /q /a

del D:\Desktop_1.ini /f /s /q /a

del e:\Desktop_1.ini /f /s /q /a

del f:\Desktop_1.ini /f /s /q /a

del g:\Desktop_1.ini /f /s /q /a

del h:\Desktop_1.ini /f /s /q /a

del i:\Desktop_1.ini /f /s /q /a

del c:\Desktop_2.ini /f /s /q /a

del D:\Desktop_2.ini /f /s /q /a

del e:\Desktop_2.ini /f /s /q /a

del f:\Desktop_2.ini /f /s /q /a

del g:\Desktop_2.ini /f /s /q /a

del h:\Desktop_2.ini /f /s /q /a

del i:\Desktop_2.ini /f /s /q /a

del c:\Desktop_3.ini /f /s /q /a

del D:\Desktop_3.ini /f /s /q /a

del e:\Desktop_3.ini /f /s /q /a

del f:\Desktop_3.ini /f /s /q /a

del g:\Desktop_3.ini /f /s /q /a

del h:\Desktop_3.ini /f /s /q /a

del i:\Desktop_3.ini /f /s /q /a

echo 清除完毕

exit

用下面这一个可以免疫一下！

@echo off

echo 正在终止病毒进程并免免疫，请稍等……

taskkill /f /im TXP1atfOrm.exe

del c:\windows\system32\Drivers\txp*.exe /f /s /q /a

md c:\windows\system32\Drivers\www

ren c:\windows\system32\Drivers\www TXP1atfOrm.exe

attrib c:\windows\system32\Drivers\www TXP1atfOrm.exe +R +S +H

echo 正在清除病毒生成的垃圾档案，请稍等……

del C:\WINDOWS\Tasks\*.job /f /s /q /a

del c:\Desktop_1.ini /f /s /q /a

del D:\Desktop_1.ini /f /s /q /a

del e:\Desktop_1.ini /f /s /q /a

del f:\Desktop_1.ini /f /s /q /a

del g:\Desktop_1.ini /f /s /q /a

del h:\Desktop_1.ini /f /s /q /a

del i:\Desktop_1.ini /f /s /q /a

del c:\Desktop_2.ini /f /s /q /a

del D:\Desktop_2.ini /f /s /q /a

del e:\Desktop_2.ini /f /s /q /a

del f:\Desktop_2.ini /f /s /q /a

del g:\Desktop_2.ini /f /s /q /a

del h:\Desktop_2.ini /f /s /q /a

del i:\Desktop_2.ini /f /s /q /a

echo 清除完毕!

（四）、删除那些被感染的exe和htm档案。可以下载360防毒软体，安装后扫描硬碟、移动设备，很可能会发现几乎所有的exe和htm档案都被感染了，只能删除

然后重灌系统，就OK了

把刚才新建的资料夹複製到各分区的根目录下（这个同名的资料夹是无法被病毒替换的，但如果换成同名的档案，就会被病毒替换掉，所以一定要用资料夹）。之后再于每个根目录下建个名为autorun.inf的资料夹。保险起见，还可在c:\windows\system32\drivers\目录下建立一个名为TXP1atform.exe的资料夹

用冰刃或360将c:\windows\system32\drivers\TXP1atform.exe强制删除或者粉碎，然后用清理助手扫描清理，OK