123   2  /  3  页   跳转

中了wmimgr32.exe 病毒

收藏
小眼睛米米
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2005-12-21
  • 来自:
发表于: 2005-12-21 10:51 | 短消息 资料
字号: 11楼

现在主要是结束不了这个进程 这个进程 结束了之后不到1秒自动又启动了
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2005-12-21 10:52 | 短消息 资料
字号: 12楼

下载System Repair Engineer
然后导出日志
gototop
 
小眼睛米米
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2005-12-21
  • 来自:
发表于: 2005-12-21 11:00 | 短消息 资料
字号: 13楼

按照上面和我发生一样问题的人 !他导出了 你看一下怎么解决那
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2005-12-21 11:14 | 短消息 资料
字号: 14楼

引用:
【小眼睛米米的贴子】按照上面和我发生一样问题的人 !他导出了 你看一下怎么解决那
...........................

晕到
你不会导出日志吗
gototop
 
小眼睛米米
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2005-12-21
  • 来自:
发表于: 2005-12-21 11:25 | 短消息 资料
字号: 15楼

因为中病毒的机器不是我的!所以可以的话你可以参照它的日志来解答的
gototop
 
小眼睛米米
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2005-12-21
  • 来自:
发表于: 2005-12-22 09:02 | 短消息 资料
字号: 16楼

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <ctfmon.exe><ctfmon.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <load><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <CnsMin><Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <vptray><C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <WMI Managar 32><C:\WINNT\system32\wmimgr32.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <winsrv><winntui.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <Synchronization Manager><mobsync.exe /logon>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
  <SchedulingAgent><mstask.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <Userinit><C:\WINNT\system32\userinit.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <AppInit_DLLs><>

==================================
启动文件夹
服务
[C-DillaCdaC11BA / C-DillaCdaC11BA]
  <C:\WINNT\system32\drivers\CDAC11BA.EXE><Macrovision>
[C-DillaSrv / C-DillaSrv]
  <C:\WINNT\system32\DRIVERS\CDANTSRV.EXE><C-Dilla Ltd>
[DefWatch / DefWatch]
  <C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe><Symantec Corporation>
[Logical Disk Manager Administrative Service / dmadmin]
  <C:\WINNT\System32\dmadmin.exe /com><VERITAS Software Corp.>
[Symantec AntiVirus Client / Norton AntiVirus Server]
  <C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe><Symantec Corporation>
[NVIDIA Driver Helper Service / NVSvc]
  <C:\WINNT\System32\nvsvc32.exe><NVIDIA Corporation>

==================================
正在运行的进程
[PID: 144][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.00.2195.5382>
[PID: 172][\??\C:\WINNT\system32\csrss.exe]  <Microsoft Corporation><5.00.2195.5265>
[PID: 192][\??\C:\WINNT\system32\winlogon.exe]  <Microsoft Corporation><5.00.2195.6970>
    [C:\WINNT\system32\NavLogon.dll]  <N/A><N/A>
[PID: 220][C:\WINNT\system32\services.exe]  <Microsoft Corporation><5.00.2195.3940>
    [C:\WINNT\system32\dmserver.dll]  <VERITAS Software Corp.><2195.3649.297.3>
[PID: 232][C:\WINNT\system32\lsass.exe]  <Microsoft Corporation><5.00.2195.6902>
[PID: 420][C:\WINNT\system32\svchost.exe]  <Microsoft Corporation><5.00.2134.1>
[PID: 448][C:\WINNT\system32\spoolsv.exe]  <Microsoft Corporation><5.00.2195.4299>
    [C:\WINNT\system32\hpzsnt07.dll]  <HP><2,140,0,0>
    [C:\WINNT\system32\pxc25pm.dll]  <Tracker Software><2.50.0002>
[PID: 480][C:\WINNT\system32\drivers\CDAC11BA.EXE]  <Macrovision><4.20.020>
[PID: 504][C:\WINNT\system32\DRIVERS\CDANTSRV.EXE]  <C-Dilla Ltd><3.25.010>
[PID: 520][C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe]  <Symantec Corporation><8.1.0.821>
[PID: 540][C:\WINNT\System32\svchost.exe]  <Microsoft Corporation><5.00.2134.1>
[PID: 584][C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe]  <Symantec Corporation><8.1.0.821>
    [C:\WINNT\system32\CBA.DLL]  <Intel? Corporation><6.12.0.105 E>
    [C:\WINNT\system32\MsgSys.dll]  <Intel? Corporation><6.12.0.105 E>
    [C:\WINNT\system32\NTS.dll]  <Intel? Corporation><6.12.0.105 E>
    [C:\WINNT\system32\PDS.DLL]  <Intel? Corporation><6.12.0.105 E>
    [C:\PROGRA~1\SYMANT~1\SYMANT~1\NAVLU.dll]  <Symantec Corporation><8.1.0.821>
    [C:\PROGRA~1\SYMANT~1\SYMANT~1\NAVNTUTL.DLL]  <Symantec/Peter Norton Group><1, 0, 0, 1>
    [C:\PROGRA~1\SYMANT~1\SYMANT~1\i2ldvp3.dll]  <Symantec Corporation><8.1.0.821>
    [C:\PROGRA~1\SYMANT~1\SYMANT~1\NAVAPI32.DLL]  <Symantec Corp.><4.2.0.7>
    [C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20051220.009\NAVEX32a.DLL]  <Symantec Corporation><20051.3.1.11>
    [C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20051220.009\NAVENG32.DLL]  <Symantec Corporation><20051.3.1.11>
    [C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\NAVAP32.DLL]  <Symantec Corporation><9.1.0.26>
    [C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vpmsece.dll]  <Symantec Corporation><8.1.0.821>
[PID: 656][C:\WINNT\System32\nvsvc32.exe]  <NVIDIA Corporation><6.13.10.2832>
[PID: 576][C:\WINNT\system32\regsvc.exe]  <Microsoft Corporation><5.00.2195.3649>
[PID: 716][C:\WINNT\system32\MSTask.exe]  <Microsoft Corporation><4.71.2195.6920>
[PID: 824][C:\WINNT\System32\WBEM\WinMgmt.exe]  <Microsoft Corporation><1.50.1085.0070>
[PID: 844][C:\WINNT\System32\mspmspsv.exe]  <Microsoft Corporation><7.10.00.3068>
[PID: 1068][C:\WINNT\system32\wmimgr32.exe]  <Microsoft Corporation><5.01.2600>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
[PID: 1064][C:\WINNT\explorer.exe]  <Microsoft Corporation><5.00.3502.5321>
    [C:\WINNT\system32\AcSignIcon.dll]  <Autodesk><16.0.0.86>
    [C:\Program Files\Common Files\Autodesk Shared\AcSignCore16.dll]  <Autodesk><16.0.0.86>
    [C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll]  <Adobe Systems Incorporated><7.0.0.2004121400>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
    [C:\WINNT\DOWNLO~1\CnsHook.dll]  <北京三七二一科技有限公司><1, 0, 2, 4>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll]  <Yahoo!><2, 0, 1, 1015>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL]  <><1, 2, 6, 1005>
    [C:\PROGRA~1\YiSou\yisoub.dll]  <><1, 2, 5, 1005>
    [C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll]  <Adobe Systems, Inc.><7.0.0.0>
[PID: 1216][C:\WINNT\system32\Rundll32.exe]  <Microsoft Corporation><5.00.2134.1>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
    [C:\WINNT\DOWNLO~1\CnsMinIO.dll]  <北京三七二一科技有限公司><1, 0, 3, 4>
    [C:\WINNT\DOWNLO~1\cnsio.dll]  <北京三七二一科技有限公司><1, 0, 2, 5>
[PID: 1060][C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe]  <Symantec Corporation><8.1.0.821>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
    [C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Cliproxy.dll]  <Symantec Corporation><8.1.0.821>
    [C:\PROGRA~1\SYMANT~1\SYMANT~1\NAVNTUTL.DLL]  <Symantec/Peter Norton Group><1, 0, 0, 1>
    [C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Cliscan.dll]  <Symantec Corporation><8.1.0.821>
[PID: 1292][C:\WINNT\system32\winntui.exe]  <Microsoft Corporation><6.00.2600>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
[PID: 1276][C:\WINNT\system32\ctfmon.exe]  <Microsoft Corporation><1.00.2409.7 built by: Lab06_N>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
[PID: 1248][C:\Program Files\Internet Explorer\iexplore.exe]  <Microsoft Corporation><6.00.2800.1106>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
    [C:\WINNT\DOWNLO~1\CnsHint.dll]  <3721><1, 0, 0, 4>
    [C:\WINNT\DOWNLO~1\cnsplus.dll]  <3721><1, 0, 0, 2>
    [C:\WINNT\system32\AcSignIcon.dll]  <Autodesk><16.0.0.86>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll]  <Yahoo!><2, 0, 1, 1015>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yaswiper.dll]  <Yahoo><1, 0, 1, 1004>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasiesec.dll]  <Yahoo><1, 0, 1, 1000>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasnoad.dll]  <><1, 0, 0, 9>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yzsNetProto.dll]  <Yahoo><1, 0, 0, 1>
    [C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll]  <Adobe Systems Incorporated><7.0.0.2004121400>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL]  <><1, 2, 6, 1005>
    [C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll]  <Microsoft Corporation><01.02.3000.1001>
    [C:\WINNT\DOWNLO~1\CnsHook.dll]  <北京三七二一科技有限公司><1, 0, 2, 4>
    [C:\PROGRA~1\YiSou\yisoub.dll]  <><1, 2, 5, 1005>
    [C:\WINNT\DOWNLO~1\CnsMinIO.dll]  <北京三七二一科技有限公司><1, 0, 3, 4>
    [C:\WINNT\DOWNLO~1\cnsio.dll]  <北京三七二一科技有限公司><1, 0, 2, 5>
    [c:\progra~1\yahoo!\assist~1\assist\yadfil~1.dll]  < ><1, 0, 1, 6>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yoptimum.dll]  <N/A><N/A>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YASSEC~1.DLL]  <Yahoo><1, 0, 0, 9>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrepair.dll]  <Yahoo><1, 0, 4, 1001>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasfsks.dll]  <3721.com><2, 1, 1, 87>
[PID: 1320][F:\共享\sreng2012RC\SREng.exe]  <Smallfrogs Studio><2.0.12.350>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
帮我看看怎么清除病毒啊
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-22 09:07 | 短消息 资料
字号: 17楼

【回复“小眼睛米米”的帖子】

C:\WINDOWS\System32\wmimgr32.exe
C:\WINDOWS\realp1ay.exe
将这两个文件用WINRAR打包,包要加密(解压密码:virus),发到:linbaohe@163.com
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2005-12-22 09:20 | 短消息 资料
字号: 18楼

开机时按F8
可以不停地按动
进入安全模式
按CTRL+ALT+DEL
打开任务管理器
结束wmimgr32.exe和winntui.exe的进程

开始--运行
输入regedit
按确定
进入注册表
删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<WMI Managar 32><C:\WINNT\system32\wmimgr32.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<winsrv><winntui.exe>

然后删除C:\WINNT\system32\wmimgr32.exe
winntui.exe

另外建议卸载QQ
清理注册表
再重装QQ
gototop
 
小眼睛米米
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2005-12-21
  • 来自:
发表于: 2005-12-22 09:35 | 短消息 资料
字号: 19楼

你这个问题我尝试过不可以!主要是进程结束之后不到1秒 他就重新启动了 来不及清除病毒文件,而且郁闷的是在安全模式下也自动加载
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2005-12-22 09:40 | 短消息 资料
字号: 20楼

开机时按F8
可以不停地按动
进入安全模式
按CTRL+ALT+DEL
打开任务管理器
结束wmimgr32.exe和winntui.exe的进程

开始--运行
输入regedit
按确定
进入注册表
删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<WMI Managar 32><C:\WINNT\system32\wmimgr32.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<winsrv><winntui.exe>

然后删除C:\WINNT\system32\wmimgr32.exe
winntui.exe

另外建议卸载QQ
清理注册表
再重装QQ
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT