设为首页收藏本站

 找回密码
 注册账户
网络实验室»论坛 ≡ CnLabs 资源区 ≡ 软件资源共享 winmer.exe病毒清除方法
返回列表 发新帖
查看: 516|回复: 0

winmer.exe病毒清除方法

[复制链接]
水煮鱼 发表于 2008-4-14 01:19:26 | 显示全部楼层 |阅读模式



<BR>&nbsp; &nbsp;
<P>  病毒名称:msime.exe:Trojan-PSW.Win32.Lmir.ate(AVP)</P>
<P>  winmer.exe:N/A(AVP)</P>
<P>  传播方式:通过恶意网站传播,其它病毒下载。</P>
<P>  清除步骤</P>
<P>  ==========</P>
<P>  1. 结束病毒进程:(找不到文件的,请直接使用搜索功能)</P>
<P>  %System%\msime.exe</P>
<P>  %System%\winmer.exe</P>
<P>  2. 删除病毒文件:</P>
<P>  %Windows%\cq.exe</P>
<P>  %Windows%\update.exe</P>
<P>  %Windows%\vbarun.dll</P>
<P>  %System%\msime.exe</P>
<P>  %System%\winmer.exe</P>
<P>  3. 删除启动项:</P>
<P>  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]</P>
<P>  "KernelFaultCheck"="%System%\msime.exe"</P>
<P>  "KernelCheck"="%System%\winmer.exe"</P>
<P>  4. 删除关机脚本:</P>
<P>  %System%\GroupPolicy\Machine\Scripts\scripts.ini</P>
<P>  也可以从“开始”&gt;&gt;“运行”,输入“gpedit.msc”,打开“组策略”编辑器,依次到“计算机配置”&gt;&gt;“Windows 设置”&gt;&gt;“脚本(启动/关闭)”,双击右边框里“关机”,打开“关机属性”,删除里面的关机脚本。</P>
<P>  5. 恢复被修改的HOSTS文件,删除被添加的信息:</P>
<P>  218.85.132.38 www.bastong.com</P>
<P>  218.85.132.38 cool889987.bigwww.com</P>
<P>  127.0.0.1 www.3721see.com</P>
<P>  218.85.132.38 ert0003.e76.163ns.com</P>
<P>  218.85.132.38 www.mir5173.com</P>
<P>  218.85.132.38 www.se911.com</P>
<P>  新手朋友,可能不知道如何操作。推荐使用软件:</P>
<P>  IE插件管理专家Upiea V2 beta 8 <A href="http://down.ddvip.com/view/114986685443.html">http://down.ddvip.com/view/114986685443.html</A></P>
<P>  6. 删除其它注册表信息:</P>
<P>  [HKEY_LOCAL_MACHINE\SOFTWARE\MSkysoft]</P>
<P>  [HKEY_LOCAL_MACHINE\SOFTWARE\wSkysoft]</P>
<P>  7. 修复或重新安装被破坏的安全软件。(重新安装)</P>
<P>  到此,病毒已经清除了,有兴趣的可以继续往下看:</P>
<P>  技术分析</P>
<P>  ==========</P>
<P>  病毒运行后复制自身到:</P>
<P>  %Windows%\update.exe</P>
<P>  并创建启动项:</P>
<P>  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]</P>
<P>  "ScanRegistry"="%Windows%\update.exe"</P>
<P>  尝试访问网络下载并运行木马程序:</P>
<P>http://xxx.6ydy.com/down/muma.exe</P>
<P>  下载后保存为:</P>
<P>  %Windows%\cq.exe</P>
<P>  cq.exe尝试下载:</P>
<P>  http://xxx.6ydy.com/1/host.txt</P>
<P>  host.txt用于覆盖系统HOSTS文件,里面的重定向信息是:</P>
<P>  
  1. 127.0.0.1 localhost</P>
  2. <P>  218.85.132.38 www.bastong.com</P>
  3. <P>  218.85.132.38 cool889987.bigwww.com</P>
  4. <P>  127.0.0.1 www.3721see.com</P>
  5. <P>  218.85.132.38 ert0003.e76.163ns.com</P>
  6. <P>  218.85.132.38 www.mir5173.com</P>
  7. <P>  218.85.132.38 www.se911.com
复制代码
</P>
<P>  尝试下载并运行:</P>
<P>  http://xxx.6ydy.com/1/muma.exe</P>
<P>  下载后保存为:</P>
<P>  %System%\msime.exe</P>
<P>  msime.exe创建启动项:</P>
<P>  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]</P>
<P>  "KernelFaultCheck"="%System%\msime.exe"</P>
<P>  设置注册表信息:</P>
<P>  [HKEY_LOCAL_MACHINE\SOFTWARE\MSkysoft]</P>
<P>  下载并运行:</P>
<P>  http://www.xxxxsee.com/Run.exe</P>
<P>  保存为:</P>
<P>  %System%\winmer.exe</P>
<P>  winmer.exe创建启动项:</P>
<P>  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]</P>
<P>  "KernelCheck"="%System%\winmer.exe"</P>
<P>  设置关机脚本:</P>
<P>  %System%\GroupPolicy\Machine\Scripts\scripts.ini</P>
<P>  scripts.ini内容为:</P>
<P>  
  1. [Shutdown]</P>
  2. <P>  0CmdLine=%System%\winmer.exe</P>
  3. <P>  0Parameters=AVP
复制代码
</P>
<P>  创建配置文件:</P>
<P>  %Windows%\vbarun.dll</P>
<P>  设置注册表信息:</P>
<P>  [HKEY_LOCAL_MACHINE\SOFTWARE\wSkysoft]</P>
<P>  病毒在第一次运行时会尝试结束一些安全相关软件的进程:</P>
<P>  apvxdwin.exe</P>
<P>  assistse.exe</P>
<P>  avengine.exe</P>
<P>  avp.exe</P>
<P>  ccapp.exe</P>
<P>  ccenter.exe</P>
<P>  ccevtmgr.exe</P>
<P>  ccsetmgr.exe</P>
<P>  defwatch.exe</P>
<P>  filmsg.exe</P>
<P>  frogagent.exe</P>
<P>  fygtcleaner.exe</P>
<P>  iparmor.exe</P>
<P>  isafe.exe</P>
<P>  kav.exe</P>
<P>  kavpfw.exe</P>
<P>  kavstart.exe</P>
<P>  kavsvc.exe</P>
<P>  kmailmon.exe</P>
<P>  kpfwsvc.exe</P>
<P>  kregex.exe</P>
<P>  kvmonxp.kxp</P>
<P>  kvsrvxp.exe</P>
<P>  kvxp.kxp</P>
<P>  kwatch.exe</P>
<P>  mantispm.exe</P>
<P>  mcshield.exe</P>
<P>  mcvsescn.exe</P>
<P>  mcdetect.exe</P>
<P>  mcmnhdlr.exe</P>
<P> pavsrv51.exe</P>
<P>  pccguide.exe</P>
<P>  pcclient.exe</P>
<P>  pcctlcom.exe</P>
<P>  psimsvc.exe</P>
<P>  pavprsrv.exe</P>
<P>  pavprsrv.exe</P>
<P>  ravmond.exe</P>
<P>  ravmon.exe</P>
<P>  rfwmain.exe</P>
<P>  rfwsrv.exe</P>
<P>  rtvscan.exe</P>
<P>  srvload.exe</P>
<P>  tmpfw.exe</P>
<P>  tmproxy.exe</P>
<P>  tmntsrv.exe</P>
<P>  tpsrv.exe</P>
<P>  trojanwall.exe</P>
<P>  trojdie.kxp</P>
<P>  vsmon.exe</P>
<P>  webproxy.exe</P>
<P>  xfilter.exe</P>
<P>  zlclient.exe</P>
<P>  删除安全软件的服务信息:</P>
<P>  AVP</P>
<P>  CAISafe</P>
<P>  kavsvc</P>
<P>  KPfwSvc</P>
<P>  KVSrvXP</P>
<P>  KVWSC</P>
<P>  KWatchSvc</P>
<P>  McTskshd.exe</P>
<P>  McDetect.exe</P>
<P>  PAVFNSVR</P>
<P>  PavPrSrv</P>
<P>  PAVSRV</P>
<P>  PcCtlCom</P>
<P>  pmshellsrv</P>
<P>  PNMSRV</P>
<P>  PSIMSVC</P>
<P>  RfwService</P>
<P>  RsCCenter</P>
<P>  Tmntsrv</P>
<P>  TmPfw</P>
<P>  tmproxy</P>
<P>  TPSrv</P>
<P>  vsmon</P>
<P>  关闭窗口:</P>
<P>  Jiangmin Registry Monitor Ex</P>
<P>  KVXP_Monitor</P> <BR>

exe, winmer

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册账户

本版积分规则

存档|黑屋|手机|网络实验室 本站服务器由美国合租以及IDCLayer国际数据提供!!!

GMT+8, 2026-6-13 19:20 , Processed in 0.009791 second(s), 8 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表