瑞星卡卡安全论坛

前些天发现系统启动以后自动开启N个conime.exe.

先尝试使用所谓的病毒、流氓清理软件和某些木马清理软件扫描系统,无发现,使用瑞星,江民,360杀毒,无发现.

卡巴斯基无发现.

今晚无聊,用SRENG2扫描日志 居然扫不出这个进程.

使用任务管理器终止此进程运行以后过一会又自动开启N个.

忒奇怪了.

SRENG2和HJ都没有发现可疑启动项和服务项.

好奇怪好奇怪..

大家看看日志...

附件: SREngLOG.log (2010-7-29 22:01:11, 69.79 K)
该附件被下载次数 222

P.S.
用杀软等软件扫描的时候某外挂程序是开启的，conime.exe进程出现着.

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; Maxthon 2.0)

再附个HJ的日志.

我想应该和外挂无关的吧.

附件: hijackthis.log (2010-7-29 22:08:12, 7.59 K)
该附件被下载次数 294

日志中未发现多个conime.exe

把你那些外挂都卸掉，补丁打全，然后看有没有恢复正常

日志看不到多个进程，把外挂先卸了看看吧

[ltsj / ltsj][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\lt.sys><N/A>
这个是什么东西

启动项什么都没有问题，应该是外挂惹的祸

应该是外挂搞的鬼。日志没发现什么问题，你把外挂删了试试！:kaka12:

1）首先尝试卸载外挂，再查看是否还有N个conime.exe
2）步骤1）失败的情况下，重新考虑是conime.exe病毒存在，建议你：1.开始菜单－运行－输入“msconfig”－确定－打开“系统配置实用程序”－“启动”选项卡－去掉conime.exe选项前的“勾”，点击确定。 
2.打开任务管理器（ctrl＋alt＋del），结束conime.exe进程，然后在system32中找到conime.exe将其删除（建议使用系统自带的搜索工具，搜索该文件，把查找到的全部删除即可。不用担心正常的输入法conime.exe被删除，重启即可恢复conime.exe，实在不行也可以重新安装的）。 
3.开始菜单—运行—输入regedit—确定－依次打开－HKEY_CURRENT_USER－Console－LoadConIme修改参数为0。（注：最好先备份注册表），再重新尝试打开任务管理器检查是否还存在N个conime.exe 。

如有问题，请站内短信联系我！

conime.exe是输入法编辑器，允许用户使用标准键盘就能输入复杂的字符与符号。但如果 conime.exe的路径不是系统目录，而是其它别的地方的话，则可能是某病毒程序，请楼主谨慎。

conime.exe是输入法编辑器相关程序。允许用户使用标准键盘就能输入复杂的字符与符号，需要注意它同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机，窃取密码和个人数据。conime经常会被病毒利用感染，如果文件位置不在system32，可以删除。可以用冰遁或手动删除（删除前要结束进程）。
手动清除方法：
第一种方法：首先结束conime.exe进程，然后在system32中找到conime.exe将其删除。
第二种方法：修改注册表找到：\"HKEY_CURRENT_USER\\Console\"中的\"LoadConIme\"修改为\"0\"即可