winmen.exe,PWS-legmir分析查杀

winmen.exe,PWS-legmir分析查杀

找资料之时,居然中了PWS-legmir病毒, 杀毒软件又无法清楚干净（该病毒还会关闭知名的杀毒软件）

ps:执行以下操作前请保证可以查看隐藏文件，包括系统保护文件

（1）一般程序都是exe文件,清除病毒第一步,把exe关联启动关闭。用regedit打开注册表（默认病毒是会在exe文件上加个shell的，把regedit.exe改名为regedit.bat就可以正常使用），找到路径HKEY_CLASSES_ROOT\exefile\shell\open\command，把右边键值清空,然后注销用户,这样一些exe文件的病毒就无法启动了

（2）删除dll文件,该病毒在执行文件的时候加了层壳，会自动调用interapi64.dll或者interapi32.dll,每次执行一个文件（xls,bat等,exe被禁掉了@@）,在进程中开启一个svch0st.exe程序（干嘛用得不知道，反正是病毒-_-）

清除：进程中关掉svch0st.exe(看仔细了,病毒把原来的o改成0了,svchost.exe是正常进程)，在注册表中搜索interapi64.dll和interapi32.dll，找到后把键值清空。然后注销用户。接着在c:\windows\system32下找到interapi64.dll和interapi32.dll 并删除。

（3）主要病毒程序代码都是在c:\windows\system32\cq0dll.dll 中,不清楚这个,其他都删了还是会有-_-. 经过刚才的操作现在可以把这个直接删除了

（4）下面执行一些清理工作，删除一下文件
del c:\windows\smss.exe
del c:\windows\lsass.exe