winmer.exe病毒清除方法
<BR>
<P> 病毒名称:msime.exe:Trojan-PSW.Win32.Lmir.ate(AVP)</P>
<P> winmer.exe:N/A(AVP)</P>
<P> 传播方式:通过恶意网站传播,其它病毒下载。</P>
<P> 清除步骤</P>
<P> ==========</P>
<P> 1. 结束病毒进程:(找不到文件的,请直接使用搜索功能)</P>
<P> %System%\msime.exe</P>
<P> %System%\winmer.exe</P>
<P> 2. 删除病毒文件:</P>
<P> %Windows%\cq.exe</P>
<P> %Windows%\update.exe</P>
<P> %Windows%\vbarun.dll</P>
<P> %System%\msime.exe</P>
<P> %System%\winmer.exe</P>
<P> 3. 删除启动项:</P>
<P> </P>
<P> "KernelFaultCheck"="%System%\msime.exe"</P>
<P> "KernelCheck"="%System%\winmer.exe"</P>
<P> 4. 删除关机脚本:</P>
<P> %System%\GroupPolicy\Machine\Scripts\scripts.ini</P>
<P> 也可以从“开始”>>“运行”,输入“gpedit.msc”,打开“组策略”编辑器,依次到“计算机配置”>>“Windows 设置”>>“脚本(启动/关闭)”,双击右边框里“关机”,打开“关机属性”,删除里面的关机脚本。</P>
<P> 5. 恢复被修改的HOSTS文件,删除被添加的信息:</P>
<P> 218.85.132.38 www.bastong.com</P>
<P> 218.85.132.38 cool889987.bigwww.com</P>
<P> 127.0.0.1 www.3721see.com</P>
<P> 218.85.132.38 ert0003.e76.163ns.com</P>
<P> 218.85.132.38 www.mir5173.com</P>
<P> 218.85.132.38 www.se911.com</P>
<P> 新手朋友,可能不知道如何操作。推荐使用软件:</P>
<P> IE插件管理专家Upiea V2 beta 8 <A href="http://down.ddvip.com/view/114986685443.html">http://down.ddvip.com/view/114986685443.html</A></P>
<P> 6. 删除其它注册表信息:</P>
<P> </P>
<P> </P>
<P> 7. 修复或重新安装被破坏的安全软件。(重新安装)</P>
<P> 到此,病毒已经清除了,有兴趣的可以继续往下看:</P>
<P> 技术分析</P>
<P> ==========</P>
<P> 病毒运行后复制自身到:</P>
<P> %Windows%\update.exe</P>
<P> 并创建启动项:</P>
<P> </P>
<P> "ScanRegistry"="%Windows%\update.exe"</P>
<P> 尝试访问网络下载并运行木马程序:</P>
<P>http://xxx.6ydy.com/down/muma.exe</P>
<P> 下载后保存为:</P>
<P> %Windows%\cq.exe</P>
<P> cq.exe尝试下载:</P>
<P> http://xxx.6ydy.com/1/host.txt</P>
<P> host.txt用于覆盖系统HOSTS文件,里面的重定向信息是:</P>
<P> 127.0.0.1 localhost</P>
<P> 218.85.132.38 www.bastong.com</P>
<P> 218.85.132.38 cool889987.bigwww.com</P>
<P> 127.0.0.1 www.3721see.com</P>
<P> 218.85.132.38 ert0003.e76.163ns.com</P>
<P> 218.85.132.38 www.mir5173.com</P>
<P> 218.85.132.38 www.se911.com</P>
<P> 尝试下载并运行:</P>
<P> http://xxx.6ydy.com/1/muma.exe</P>
<P> 下载后保存为:</P>
<P> %System%\msime.exe</P>
<P> msime.exe创建启动项:</P>
<P> </P>
<P> "KernelFaultCheck"="%System%\msime.exe"</P>
<P> 设置注册表信息:</P>
<P> </P>
<P> 下载并运行:</P>
<P> http://www.xxxxsee.com/Run.exe</P>
<P> 保存为:</P>
<P> %System%\winmer.exe</P>
<P> winmer.exe创建启动项:</P>
<P> </P>
<P> "KernelCheck"="%System%\winmer.exe"</P>
<P> 设置关机脚本:</P>
<P> %System%\GroupPolicy\Machine\Scripts\scripts.ini</P>
<P> scripts.ini内容为:</P>
<P> </P>
<P> 0CmdLine=%System%\winmer.exe</P>
<P> 0Parameters=AVP</P>
<P> 创建配置文件:</P>
<P> %Windows%\vbarun.dll</P>
<P> 设置注册表信息:</P>
<P> </P>
<P> 病毒在第一次运行时会尝试结束一些安全相关软件的进程:</P>
<P> apvxdwin.exe</P>
<P> assistse.exe</P>
<P> avengine.exe</P>
<P> avp.exe</P>
<P> ccapp.exe</P>
<P> ccenter.exe</P>
<P> ccevtmgr.exe</P>
<P> ccsetmgr.exe</P>
<P> defwatch.exe</P>
<P> filmsg.exe</P>
<P> frogagent.exe</P>
<P> fygtcleaner.exe</P>
<P> iparmor.exe</P>
<P> isafe.exe</P>
<P> kav.exe</P>
<P> kavpfw.exe</P>
<P> kavstart.exe</P>
<P> kavsvc.exe</P>
<P> kmailmon.exe</P>
<P> kpfwsvc.exe</P>
<P> kregex.exe</P>
<P> kvmonxp.kxp</P>
<P> kvsrvxp.exe</P>
<P> kvxp.kxp</P>
<P> kwatch.exe</P>
<P> mantispm.exe</P>
<P> mcshield.exe</P>
<P> mcvsescn.exe</P>
<P> mcdetect.exe</P>
<P> mcmnhdlr.exe</P>
<P> pavsrv51.exe</P>
<P> pccguide.exe</P>
<P> pcclient.exe</P>
<P> pcctlcom.exe</P>
<P> psimsvc.exe</P>
<P> pavprsrv.exe</P>
<P> pavprsrv.exe</P>
<P> ravmond.exe</P>
<P> ravmon.exe</P>
<P> rfwmain.exe</P>
<P> rfwsrv.exe</P>
<P> rtvscan.exe</P>
<P> srvload.exe</P>
<P> tmpfw.exe</P>
<P> tmproxy.exe</P>
<P> tmntsrv.exe</P>
<P> tpsrv.exe</P>
<P> trojanwall.exe</P>
<P> trojdie.kxp</P>
<P> vsmon.exe</P>
<P> webproxy.exe</P>
<P> xfilter.exe</P>
<P> zlclient.exe</P>
<P> 删除安全软件的服务信息:</P>
<P> AVP</P>
<P> CAISafe</P>
<P> kavsvc</P>
<P> KPfwSvc</P>
<P> KVSrvXP</P>
<P> KVWSC</P>
<P> KWatchSvc</P>
<P> McTskshd.exe</P>
<P> McDetect.exe</P>
<P> PAVFNSVR</P>
<P> PavPrSrv</P>
<P> PAVSRV</P>
<P> PcCtlCom</P>
<P> pmshellsrv</P>
<P> PNMSRV</P>
<P> PSIMSVC</P>
<P> RfwService</P>
<P> RsCCenter</P>
<P> Tmntsrv</P>
<P> TmPfw</P>
<P> tmproxy</P>
<P> TPSrv</P>
<P> vsmon</P>
<P> 关闭窗口:</P>
<P> Jiangmin Registry Monitor Ex</P>
<P> KVXP_Monitor</P> <BR>
页:
[1]