最近被www.死他舅舅.com害的不清,多亏论坛一位热心坛友相助,这才揪出了winasse.exe这个大害虫!再次向那位坛友致敬!



  同前不久中标者比较多的盗号码winmer.exe、msime.exe几乎相同，除了添加常见的注册表启动项外，还采取了组策略开关机脚本启动木马的办法，简单描述
释放文件
C:\WINDOWS\system32\winasse.exe
C:\WINDOWS\vbarun.dll
C:\WINDOWS%\system32\GroupPolicy\Machine\Scripts\scripts.ini
添加注册表启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"KernelFaultCheck"="C:\WINDOWS\system32\winasse.exe"
正常运行后，关闭部分安全软件，并卸载掉部分安全软件的服务
可能会修改hosts文件
C:\WINDOWS\system32\drivers\etc\hosts

解决过程

1、打开任务管理器，结束winasse.exe进程，并删除
C:\WINDOWS\vbarun.dll
C:\WINDOWS\system32\winasse.exe

2、删除其添加的注册表启动项

3、删除其组策略开关机脚本
开始-->运行-->gpedit.msc
组策略-->计算机配置-->管理模板-->系统-->脚本 右边的开关机属性
也可以进入如下路径删除
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\scripts.ini

4、修复可能被修改的hosts
找到C:\WINDOWS\system32\drivers\etc\hosts
用记事本打开，将自己未知的IP以及对应的域名删除

印象中，这是最近所遇到的第二个采取组策略开关机脚本启动木马病毒的情况;

还没中，先学习，先谢楼主。

按上述步骤操作后，可能不会完全解决问题，至少我的是这样。
重启后系统依次弹出两个对话框，提示找不到某文件（文件名乱码）。打开系统配置实用程序，发现有这样两个启动项：











禁用后重启，仍旧会弹出提示。这里，还需要删除3个位置的注册表值：　　
　　
①打开 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows ，删除值 Load　













②打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load　，如上删除值 item 和 command

原文：http://www.blogcn.com/User1/hbydlxl/blog/43656319.html