瑞星卡卡安全论坛

不知道这个病毒文件和以前的那个wmimgr.exe是否一样的，看了很多关于wmimgr32.exe的清楚办法！遇到的问题就是 进程始终结束不了！关闭了wmimgr32.exe不到1秒钟 又被恢复！这样始终都不能停止，也就不能删除原文件了！特别郁闷的是在安全模式下 这个文件也一样被加载！痛苦！
请教高手或者遇到这个问题解决的朋友们！告诉我怎么处理这个问题把！

碰到这样的情况,就去www.micropoint.com.cn上下载微点主动防御软件,它能帮你解决你的问题.

这个软件的功能是什么你怎么那么肯定那？

应该是QQ爱虫的变种

建议下载金山的QQ专杀查杀一下

杀不了！这个变种牛就牛在 进程关闭不了
安全模式下 也自动加载 所以很麻烦 不知道怎么取消掉

建议楼主下载System Repair Engineer
然后导出日志

导出的日志差不多和http://forum.ikaka.com/topic.asp?board=28&artid=7571967差不多的

http://db.kingsoft.com/download/3/34.shtml

不行！它好像不像是尾巴！因为它类似发送一个文件的说
！
用了 那个软件还是不行！

引用:

【不言放弃的贴子】建议楼主下载System Repair Engineer 然后导出日志　 ...........................

我知道你要看我的日志！但是中病毒的机器不是我的机器！所以你可以参考http://forum.ikaka.com/topic.asp?board=28&artid=7571967这个人的日志看看的

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <ctfmon.exe><ctfmon.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <load><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <CnsMin><Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <vptray><C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <WMI Managar 32><C:\WINNT\system32\wmimgr32.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <winsrv><winntui.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <Synchronization Manager><mobsync.exe /logon>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
  <SchedulingAgent><mstask.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <Userinit><C:\WINNT\system32\userinit.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <AppInit_DLLs><>

==================================
启动文件夹
服务
[C-DillaCdaC11BA / C-DillaCdaC11BA]
  <C:\WINNT\system32\drivers\CDAC11BA.EXE><Macrovision>
[C-DillaSrv / C-DillaSrv]
  <C:\WINNT\system32\DRIVERS\CDANTSRV.EXE><C-Dilla Ltd>
[DefWatch / DefWatch]
  <C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe><Symantec Corporation>
[Logical Disk Manager Administrative Service / dmadmin]
  <C:\WINNT\System32\dmadmin.exe /com><VERITAS Software Corp.>
[Symantec AntiVirus Client / Norton AntiVirus Server]
  <C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe><Symantec Corporation>
[NVIDIA Driver Helper Service / NVSvc]
  <C:\WINNT\System32\nvsvc32.exe><NVIDIA Corporation>

==================================
正在运行的进程
[PID: 144][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.00.2195.5382>
[PID: 172][\??\C:\WINNT\system32\csrss.exe]  <Microsoft Corporation><5.00.2195.5265>
[PID: 192][\??\C:\WINNT\system32\winlogon.exe]  <Microsoft Corporation><5.00.2195.6970>
    [C:\WINNT\system32\NavLogon.dll]  <N/A><N/A>
[PID: 220][C:\WINNT\system32\services.exe]  <Microsoft Corporation><5.00.2195.3940>
    [C:\WINNT\system32\dmserver.dll]  <VERITAS Software Corp.><2195.3649.297.3>
[PID: 232][C:\WINNT\system32\lsass.exe]  <Microsoft Corporation><5.00.2195.6902>
[PID: 420][C:\WINNT\system32\svchost.exe]  <Microsoft Corporation><5.00.2134.1>
[PID: 448][C:\WINNT\system32\spoolsv.exe]  <Microsoft Corporation><5.00.2195.4299>
    [C:\WINNT\system32\hpzsnt07.dll]  <HP><2,140,0,0>
    [C:\WINNT\system32\pxc25pm.dll]  <Tracker Software><2.50.0002>
[PID: 480][C:\WINNT\system32\drivers\CDAC11BA.EXE]  <Macrovision><4.20.020>
[PID: 504][C:\WINNT\system32\DRIVERS\CDANTSRV.EXE]  <C-Dilla Ltd><3.25.010>
[PID: 520][C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe]  <Symantec Corporation><8.1.0.821>
[PID: 540][C:\WINNT\System32\svchost.exe]  <Microsoft Corporation><5.00.2134.1>
[PID: 584][C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe]  <Symantec Corporation><8.1.0.821>
    [C:\WINNT\system32\CBA.DLL]  <Intel? Corporation><6.12.0.105 E>
    [C:\WINNT\system32\MsgSys.dll]  <Intel? Corporation><6.12.0.105 E>
    [C:\WINNT\system32\NTS.dll]  <Intel? Corporation><6.12.0.105 E>
    [C:\WINNT\system32\PDS.DLL]  <Intel? Corporation><6.12.0.105 E>
    [C:\PROGRA~1\SYMANT~1\SYMANT~1\NAVLU.dll]  <Symantec Corporation><8.1.0.821>
    [C:\PROGRA~1\SYMANT~1\SYMANT~1\NAVNTUTL.DLL]  <Symantec/Peter Norton Group><1, 0, 0, 1>
    [C:\PROGRA~1\SYMANT~1\SYMANT~1\i2ldvp3.dll]  <Symantec Corporation><8.1.0.821>
    [C:\PROGRA~1\SYMANT~1\SYMANT~1\NAVAPI32.DLL]  <Symantec Corp.><4.2.0.7>
    [C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20051220.009\NAVEX32a.DLL]  <Symantec Corporation><20051.3.1.11>
    [C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20051220.009\NAVENG32.DLL]  <Symantec Corporation><20051.3.1.11>
    [C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\NAVAP32.DLL]  <Symantec Corporation><9.1.0.26>
    [C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vpmsece.dll]  <Symantec Corporation><8.1.0.821>
[PID: 656][C:\WINNT\System32\nvsvc32.exe]  <NVIDIA Corporation><6.13.10.2832>
[PID: 576][C:\WINNT\system32\regsvc.exe]  <Microsoft Corporation><5.00.2195.3649>
[PID: 716][C:\WINNT\system32\MSTask.exe]  <Microsoft Corporation><4.71.2195.6920>
[PID: 824][C:\WINNT\System32\WBEM\WinMgmt.exe]  <Microsoft Corporation><1.50.1085.0070>
[PID: 844][C:\WINNT\System32\mspmspsv.exe]  <Microsoft Corporation><7.10.00.3068>
[PID: 1068][C:\WINNT\system32\wmimgr32.exe]  <Microsoft Corporation><5.01.2600>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
[PID: 1064][C:\WINNT\explorer.exe]  <Microsoft Corporation><5.00.3502.5321>
    [C:\WINNT\system32\AcSignIcon.dll]  <Autodesk><16.0.0.86>
    [C:\Program Files\Common Files\Autodesk Shared\AcSignCore16.dll]  <Autodesk><16.0.0.86>
    [C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll]  <Adobe Systems Incorporated><7.0.0.2004121400>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
    [C:\WINNT\DOWNLO~1\CnsHook.dll]  <北京三七二一科技有限公司><1, 0, 2, 4>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll]  <Yahoo!><2, 0, 1, 1015>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL]  <><1, 2, 6, 1005>
    [C:\PROGRA~1\YiSou\yisoub.dll]  <><1, 2, 5, 1005>
    [C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll]  <Adobe Systems, Inc.><7.0.0.0>
[PID: 1216][C:\WINNT\system32\Rundll32.exe]  <Microsoft Corporation><5.00.2134.1>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
    [C:\WINNT\DOWNLO~1\CnsMinIO.dll]  <北京三七二一科技有限公司><1, 0, 3, 4>
    [C:\WINNT\DOWNLO~1\cnsio.dll]  <北京三七二一科技有限公司><1, 0, 2, 5>
[PID: 1060][C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe]  <Symantec Corporation><8.1.0.821>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
    [C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Cliproxy.dll]  <Symantec Corporation><8.1.0.821>
    [C:\PROGRA~1\SYMANT~1\SYMANT~1\NAVNTUTL.DLL]  <Symantec/Peter Norton Group><1, 0, 0, 1>
    [C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Cliscan.dll]  <Symantec Corporation><8.1.0.821>
[PID: 1292][C:\WINNT\system32\winntui.exe]  <Microsoft Corporation><6.00.2600>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
[PID: 1276][C:\WINNT\system32\ctfmon.exe]  <Microsoft Corporation><1.00.2409.7 built by: Lab06_N>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
[PID: 1248][C:\Program Files\Internet Explorer\iexplore.exe]  <Microsoft Corporation><6.00.2800.1106>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
    [C:\WINNT\DOWNLO~1\CnsHint.dll]  <3721><1, 0, 0, 4>
    [C:\WINNT\DOWNLO~1\cnsplus.dll]  <3721><1, 0, 0, 2>
    [C:\WINNT\system32\AcSignIcon.dll]  <Autodesk><16.0.0.86>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll]  <Yahoo!><2, 0, 1, 1015>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yaswiper.dll]  <Yahoo><1, 0, 1, 1004>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasiesec.dll]  <Yahoo><1, 0, 1, 1000>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasnoad.dll]  <><1, 0, 0, 9>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yzsNetProto.dll]  <Yahoo><1, 0, 0, 1>
    [C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll]  <Adobe Systems Incorporated><7.0.0.2004121400>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL]  <><1, 2, 6, 1005>
    [C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll]  <Microsoft Corporation><01.02.3000.1001>
    [C:\WINNT\DOWNLO~1\CnsHook.dll]  <北京三七二一科技有限公司><1, 0, 2, 4>
    [C:\PROGRA~1\YiSou\yisoub.dll]  <><1, 2, 5, 1005>
    [C:\WINNT\DOWNLO~1\CnsMinIO.dll]  <北京三七二一科技有限公司><1, 0, 3, 4>
    [C:\WINNT\DOWNLO~1\cnsio.dll]  <北京三七二一科技有限公司><1, 0, 2, 5>
    [c:\progra~1\yahoo!\assist~1\assist\yadfil~1.dll]  < ><1, 0, 1, 6>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yoptimum.dll]  <N/A><N/A>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YASSEC~1.DLL]  <Yahoo><1, 0, 0, 9>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrepair.dll]  <Yahoo><1, 0, 4, 1001>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasfsks.dll]  <3721.com><2, 1, 1, 87>
[PID: 1320][F:\共享\sreng2012RC\SREng.exe]  <Smallfrogs Studio><2.0.12.350>
    [C:\WINNT\DOWNLO~1\CnsMin.dll]  <北京三七二一科技有限公司><1, 5, 2, 0>
帮我看看怎么清除把

开机时按F8
可以不停地按动
进入安全模式
按CTRL＋ALT＋DEL
打开任务管理器
结束wmimgr32.exe和winntui.exe的进程

开始－－运行
输入regedit
按确定
进入注册表
删除：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<WMI Managar 32><C:\WINNT\system32\wmimgr32.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<winsrv><winntui.exe>

然后删除C:\WINNT\system32\wmimgr32.exe
C:\WINNT\system32\winntui.exe

另外建议卸载QQ
清理注册表
再重装QQ
－－－－－－－－－－－－－－－－－－－－－－－－
另外结束进程的方法请参考：
开始→运行
在弹出的系统运行框中
运行cmd命令
taskkill /im wmimgr32.exe
回车

开始→运行
在弹出的系统运行框中
运行cmd命令
taskkill /im winntui.exe
回车

或用下面的方法：
开始→运行
在弹出的系统运行框中
运行cmd命令
ntsd -c q -p 1292
回车

开始→运行
在弹出的系统运行框中
运行cmd命令
ntsd -c q -p 1068
回车