瑞星卡卡安全论坛

1、结束bmnss.exe进程。
2、删除C:\WINDOWS\system32\bmnss.exe。
3、清理注册表：

展开：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\，删除Critical Runtime Indexer
展开HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\，删除Critical Runtime Indexer
展开HKLM\SOFTWARE\Microsoft\Ole\，删除Critical Runtime Indexer
展开HKLM\System\CurrentControlSet\Control\Lsa\，删除Critical Runtime Indexer
展开HKCU\Software\Microsoft\Windows\CurrentVersion\Run\，删除Critical Runtime Indexer
展开HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\，删除Critical Runtime Indexer
展开HKCU\Software\Microsoft\OLE\，删除Critical Runtime Indexer
展开HKCU\SYSTEM\CurrentControlSet\Control\Lsa\，删除Critical Runtime Indexer
4、修复hosts文件。
删除下列内容，然后保存hosts。
0.0.0.0    www.symantec.com
0.0.0.0    securityresponse.symantec.com
0.0.0.0    symantec.com
0.0.0.0    www.sophos.com
0.0.0.0    sophos.com
0.0.0.0    www.mcafee.com
0.0.0.0    mcafee.com
0.0.0.0    liveupdate.symantecliveupdate.com
0.0.0.0    www.viruslist.com
0.0.0.0    viruslist.com
0.0.0.0    viruslist.com
0.0.0.0    f-secure.com
0.0.0.0    www.f-secure.com
0.0.0.0    kaspersky.com
0.0.0.0    kaspersky-labs.com
0.0.0.0    www.avp.com
0.0.0.0    www.kaspersky.com
0.0.0.0    avp.com
0.0.0.0    www.networkassociates.com
0.0.0.0    networkassociates.com
0.0.0.0    www.ca.com
0.0.0.0    ca.com
0.0.0.0    mast.mcafee.com
0.0.0.0    my-etrust.com
0.0.0.0    www.my-etrust.com
0.0.0.0    download.mcafee.com
0.0.0.0    dispatch.mcafee.com
0.0.0.0    secure.nai.com
0.0.0.0    nai.com
0.0.0.0    www.nai.com
0.0.0.0    update.symantec.com
0.0.0.0    updates.symantec.com
0.0.0.0    us.mcafee.com
0.0.0.0    liveupdate.symantec.com
0.0.0.0    customer.symantec.com
0.0.0.0    rads.mcafee.com
0.0.0.0    trendmicro.com
0.0.0.0    pandasoftware.com
0.0.0.0    www.pandasoftware.com
0.0.0.0    www.trendmicro.com
0.0.0.0    www.grisoft.com
0.0.0.0    www.microsoft.com
0.0.0.0    microsoft.com
0.0.0.0    www.virustotal.com
0.0.0.0    virustotal.com
0.0.0.0    www.zango.com
0.0.0.0    zango.com

5、运行windows update，去微软打补丁。

baohe大叔终于露面了
我 说呢
原来研究病毒去了
可是版主，你给出的迷底只有“庞龙”知道呀
给透点迷面吧！

强

引用:

【友好人士的贴子】baohe大叔终于露面了 我 说呢 原来研究病毒去了 可是版主，你给出的迷底只有“庞龙”知道呀 给透点迷面吧！ ...........................

同感。版主把来龙去脉都说清楚呀。

【回复“轩辕小聪”的帖子】
这是那个网友通过邮箱发给我的一个.exe文件。我没用杀软查过，因此不知道具体的病毒名。
从注册表改动以及hosts文件被篡改推测——这可能是个bot类后门。中这类后门的系统缺少补丁。

病毒名叫 backdoor.ircbot.aze 中毒后WORD反映巨慢.