女人的村庄第一集:wmimgr.exe 病毒如何删除

来源:百度文库 编辑:高校问答 时间:2024/03/28 17:02:53
看过一些关于这个病毒的杀毒方法,但是现在这个病毒好像有些变化
它的传播不再是.jpg.exe文件的直接发送
传而变成发过一个 .zip的文件 而且文件大小为22K
中毒后,尽管一些杀毒软件可以发现这个病毒
但都杀不掉
而且每次开机后
我注意到explor文件总是被一个dllhost.exe文件控制对注册表进行改写
如果有人知道这个病毒最新的清除办法,请告诉小弟.
在此深表感谢!
如果需要此病毒样本的,请联系我
QQ:56289308
在系统文件夹下没有发现%System%\wmimgr.exe
DHelp.dll
QQDHelp.dll
%USERPROFILE%\Local Settings\Temp\~!KqVo4c.exe
%System%\comime.exe
%System%\msinthk.dll
这些文件

wmimgr.exe

病毒通过QQ发送文件的方式传播,发送的文件名极具诱惑,以<文件名>.jpg.exe的形式发送,图标见附件。

病毒需要接收并运行后才会感染系统,运行后会显示一个错误对话框(见附件)。
病毒在注册表中添加一下信息,禁止用户打开“任务管理器”和“注册表编辑器”:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"="0"
"DisableRegistryTools"=dword:00000001

在注册表中添加标志信息:HKEY_LOCAL_MACHINE\SOFTWARE\TopFox
还会查找瑞星和QQ的信息,据说发现瑞星会删除瑞星的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\rising\Rav

病毒自身复制到系统目录下,文件名为wmimgr.exe。

病毒还会修改一些系统程序文件和QQ程序文件,在文件中加上“TopFox”标志和好像是调用病毒文件DHelp.dll的信息,会被修改的系统文件有:
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe
还有一些QQ程序也会被修改,比如QQGame.exe等。
注:当系统文件被修改时,系统会出现这样的对话框(见附件)。

病毒释放DHelp.dll到以下目录:
%Windows%\
%System%\
%System%\wbem\
QQ目录,如%ProgramFiles%\Tencent\QQGame\
释放QQDHelp.dll到%ProgramFiles%\Tencent\目录。

添加自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Management Instrumentation"="wmimgr.exe"

病毒还会从网站上下载另一个盗密码的病毒程序到系统中:
%USERPROFILE%\Local Settings\Temp\
~!KqVo4c.exe
~H32Jvk.jpg

复制自身到系统目录,文件名为comime.exe,释放msinthk.dll。

建立自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"

清除步骤:
这次的清除不像以前清除一般木马病毒那么简单,因为它还修改了系统文件,所以有几个步骤可能会繁琐一些。

首先,我们还是先把病毒的进程结束掉:
%System%\wmimgr.exe
%System%\comime.exe
然后搜索并删除病毒文件:
%System%\wmimgr.exe
DHelp.dll
QQDHelp.dll
%USERPROFILE%\Local Settings\Temp\~!KqVo4c.exe
%System%\comime.exe
%System%\msinthk.dll

病毒文件删除以后,我们要恢复被病毒禁用“任务管理器”和“注册表编辑器”的设置,方法很多,这里就不一一介绍了,如果不会操作,这里提供了一个REG注册表文件(见附件),直接双击运行后导入注册表即可恢复禁用。

接下来就可以到注册表编辑器删除病毒建立的启动项了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"
"Windows Management Instrumentation"="wmimgr.exe"

注:HKEY_LOCAL_MACHINE\SOFTWARE\TopFox,这个位置应该是病毒建立的“标志”,该位置如果存在,貌似病毒运行后不会进行过多的“动作”,且会自动退出进程。
故可以不删除。

好了,病毒处理掉以后我们再恢复被病毒修改过的三个系统文件explorer.exe、notepad.exe和iexplore.exe。由于病毒同时也修改了%System%\dllcache\下的文件,所以我们先要恢复%System%\dllcache\下的系统文件。

explorer.exe、notepad.exe和iexplore.exe的源文件我们可以从系统安装源里找到,比如安装光盘或ServicePack保存的目录,也可以从其它相同操作系统(相同SP)中复制过来。

如果是从安装盘I386目录下找,可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件,通过expand命令可以解压缩它们,命令类似:

Code: [Copy to clipboard] expand explorer.ex_ explorer.exe

得到正常的源文件后,我们依次进行覆盖操作。
先覆盖:
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
然后再覆盖或删除:
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe

对于被修改的QQ文件,方便的话重装覆盖一下QQ即可。

通过以上操作应该可以解决问题,以后要注意的是多多提高自己的安全防护意识。

另外略带提一下另一个看似“QQ尾巴”的情况,就是“mop朋友圈”。
近日有用户反应在QQ上经常收到来自好友这样的信息:

Quote: 我邀请你进我的朋友圈了,从这里进入 http://friends.mop.com/r.do?a=<号码>&u=<号码>&t=QQ
我在猫扑上建了一个群,从这里加入 http://friends.mop.com/r.do?a=<号码>&u=<号码>&t=QQ

这并不是什么QQ病毒,而是“猫扑mop”一个叫“朋友圈”发送来的信息。如果你登陆“mop朋友圈”并注册用户,且输入过QQ号和密码邀请朋友的话,那么你QQ上的好友就会收到这样的信息。
推测可能是mop使用你输入的号码和密码登陆到QQ服务器,然后搜索好友并发送该信息。邀请过朋友的QQ用户会发现自己的QQ在其它地方登陆过。

接下来再说两个最近几天问得比较多的问题,一个是“Trivial File Transfer Protocol App”的问题,另一个是如何删除rdriv.sys病毒文件。这两个问题都和bot类病毒有关。

“Trivial File Transfer Protocol App”,是TFTP.EXE,系统的一个FTP程序,我们一般不会用到它,但病毒会利用它从被感染机器上下载病毒文件到本地系统,所以如果发现防火墙出现TFTP.EXE要求访问网络的提示,建议永久禁止它访问网络。

说一下rdriv.sys,这是一个RootKit,会被一些病毒、后门程序或木马附带,比较常见的是附带在一些bot类病毒中,用于隐藏病毒文件和相关信息。
如果发现%System%\rdriv.sys删除不了,可以尝试以下操作:
到注册表编辑器,定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv位置,删除rdriv项,重新启动系统后再尝试删除%System%\rdriv.sys文件,应该可以解决。

自己找
http://it.rising.com.cn/service/technology/tool.htm

使用QQ杀毒专杀工具来杀下
QQ爱虫(I-Worm/QQ.Porn)病毒。此病毒为蠕虫病毒,通过在线 QQ 发送病毒文件。病毒运行后会从黑客网站下载另一病毒(Backdoor/Jieba.2004),后者可以捕获 Windows 9X/2000/XP 下的几乎所有普通窗口的登录密码,如:OICQ/QQ、ICQ、 Outlook、Foxmail、网吧上网账号、软件注册码、各种游戏软件、各种财务软件、各种管理软件、拨号上网、共享目录、屏保等等,以及各种在网页的登录密码,如:Web 邮件,江湖论坛,聊天室,密码保护资料等,病毒还会通过修改注册表禁用系统的注册表编辑器和任务管理器。手工清除时首先要解除病毒对注册表和任务管理器的禁用,然后结束病毒进程,再删除 System32\wbem\dhelp.dll、System32\dhelp.dll、System32\msinthk.dll 、System32\wmimgr.exe 和 System32\comime.exe,然在注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 下删除 wmimgr.exe 和 comime.exe 的启动项即可。

用安全模式试试,再到注册表里把文件删了

一个字 杀