winmen.exe,PWS-legmir分析查杀
找资料之时,居然中了PWS-legmir病毒, 杀毒软件又无法清楚干净(该病毒还会关闭知名的杀毒软件)
ps:执行以下操作前请保证可以查看隐藏文件,包括系统保护文件
(1)一般程序都是exe文件,清除病毒第一步,把exe关联启动关闭。用regedit打开注册表(默认病毒是会在exe文件上加个shell的,把regedit.exe改名为regedit.bat就可以正常使用),找到路径HKEY_CLASSES_ROOT\exefile\shell\open\command,把右边键值清空,然后注销用户,这样一些exe文件的病毒就无法启动了
(2)删除dll文件,该病毒在执行文件的时候加了层壳,会自动调用interapi64.dll或者interapi32.dll,每次执行一个文件(xls,bat等,exe被禁掉了@@),在进程中开启一个svch0st.exe程序(干嘛用得不知道,反正是病毒-_-)
清除:进程中关掉svch0st.exe(看仔细了,病毒把原来的o改成0了,svchost.exe是正常进程),在注册表中搜索interapi64.dll和interapi32.dll,找到后把键值清空。然后注销用户。接着在c:\windows\system32下找到interapi64.dll和interapi32.dll 并删除。
(3)主要病毒程序代码都是在c:\windows\system32\cq0dll.dll 中,不清楚这个,其他都删了还是会有-_-. 经过刚才的操作现在可以把这个直接删除了
(4)下面执行一些清理工作,删除一下文件
del c:\windows\smss.exe
del c:\windows\lsass.exe