荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: shsh (shsh), 信区: Virus
标 题: 关于QQ 爱虫(特征之一:wmimgr.exe)
发信站: 荔园晨风BBS站 (2005年06月22日11:22:07 星期三), 站内信件
中毒症状:无法调出“任务管理器”,无法编辑注册表,运行QQ时会自动给好友发送病毒
文件,
1:关了所有程序,升级杀毒软件,开始杀毒。(不要再运行QQ,如果不想把密码暴露的话
),嫌疑文件查出了:
C:\Documents and Settings\33\Local Settings\Temp\~!KqVo4c.exe
C:\WINDOWS\system32\comime.exe
C:\WINDOWS\system32\DHelp.dll
C:\WINDOWS\system32\msinthk.dll
C:\WINDOWS\system32\wbem\DHelp.dll
C:\WINDOWS\system32\wmimgr.exe
上网查看得知是中了“QQ爱虫”,了解了感染过程后,杀它就比较容易了。
1:去下载一个金山毒霸--注册表修复器,解开注册表,将
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Syst
em]
"DisableTaskMgr" = 1
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Syst
em]
"DisableRegistryTools" = 00000001
两项删除,恢复“任务管理器”。
2:重启机器,按F8进入安全模式,终止下列进程
D:\WINNT\system32\wmimgr.exe
D:\WINNT\system32\comime.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint" = comime.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Management Instrumentation" = wmimgr.exe
病毒通过以上两项目开机自动运行,删除它。
3:双击我的电脑--工具---文件夹选项--查看选项卡--单击选取"显示隐藏文件或文件夹"
--清除"隐藏受保护的操作系统文件(推荐)"复选框。在提示您确定更改时,单击“是”-
-单击“确定”。
然后找到如下文件并删除(如果有的话)。
D:\WINNT\system32\wmimgr.exe
D:\WINNT\system32\comime.exe
D:\WINNT\system32\wbem\dhelp.dll
D:\WINNT\system32\dhelp.dll
D:\WINNT\system32\msinthk.dll
D:\WINNT\dhelp.dll
kqvo4c.exe(请用开始菜单中的搜索功能查找)
在QQ的安装目录下查找:DHelp.dll ,删除。(这个千万不要忘记了,不然再开QQ病毒又
会卷土重来)
OK,完全杀掉了。IE越来越容易死掉,最后决定还是GHOST恢复了一份
【 在 yuko (a
routine
life,suck!!!) 的大作中提到: 】: 高手们好!!!! 我有个问题问问大家!谢谢帮忙啊!
: 开始查杀……
: 清除病毒的内存占用………
: 已清除病毒体文件:C:\WINDOWS\SYSTEM32\WMIMGR.EXE
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.39.242]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店