TIMHost.exe TIMHost.dll病毒的查杀及防范

病毒名称：Backdoor.Win32.Delf.ash [exe]（Kaspersky）, Trojan-PSW.Win32.OnLineGames.yn [dll]（Kaspersky）
病毒别名：Trojan.PSW.Win32.RocOnline.m [exe]（瑞星）, Trojan.PSW.Win32.RocOnline.b [dll]（瑞星）
　　　　　 Win32.Troj.OnlineGames.yn.11770 [exe]（毒霸）, Win32.PSWTroj.OnLineGames.yn.11264 [dll]（毒霸）
病毒大小：11,701 字节
加壳方式：
样本MD5：1cdc43da0ceb139da0d3844ced5024ce
样本SHA1：54fa945fc5a20e67d3fecf0c428db3b7b591806b
发现时间：2007.6
更新时间：2007.7.4
关联病毒：
传播方式：通过恶意网站传播，其它木马下载

技术分析

木马运行后复制自身到系统目录下：
%Windows%\TIMHost.exe
释放dll注入进程：
%System%\TIMHost.dll

创建启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TIMHost"="%Windows%\TIMHost.exe"

清除步骤
==========

1. 删除启动项(开始菜单－运行－输入“regedit”依次打开以下选项,然后删除)：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TIMHost"="%Windows%\TIMHost.exe"

2. 重新启动计算机

3. 删除文件：
%Windows%\TIMHost.exe
%System%\TIMHost.dll

工具清除及疫苗

若对系统操作不熟练，无法实施手工清除，可以下载方舟广谱病毒疫苗，运行arksafe1.bat后，按1键即可清除。若此病毒变种，可以按9在线升级病毒库，若

病毒库也不没有此病毒名，可以参考方舟广谱病毒疫苗中的说明readme.txt，自定义加入病毒名。并给本站留言，我们将及时升级病毒包。完成后，用360安全卫士，扫描一次，将病毒残留文件清除。

方舟广谱病毒疫苗下载地址：www.fz49.com/view-398.html

360安全卫士下载地址：www.safe360.com