winmer.exe病毒清除方法

　　6. 删除其它注册表信息：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\MSkysoft]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\wSkysoft]

　　7. 修复或重新安装被破坏的安全软件。（重新安装）

　　到此，病毒已经清除了，有兴趣的可以继续往下看：

　　技术分析

　　==========

　　病毒运行后复制自身到：

　　%Windows%\update.exe

　　并创建启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"ScanRegistry"="%Windows%\update.exe"

　　尝试访问网络下载并运行木马程序：

　　http://xxx.6ydy.com/down/muma.exe

　　下载后保存为：

　　%Windows%\cq.exe

　　cq.exe尝试下载：

　　http://xxx.6ydy.com/1/host.txt

　　host.txt用于覆盖系统HOSTS文件，里面的重定向信息是：

　　[code]127.0.0.1 localhost

　　218.85.132.38 www.bastong.com

　　218.85.132.38 cool889987.bigwww.com

　　127.0.0.1 www.3721see.com

　　218.85.132.38 ert0003.e76.163ns.com

　　218.85.132.38 www.mir5173.com

　　218.85.132.38 www.se911.com[/code]

　　尝试下载并运行：

　　http://xxx.6ydy.com/1/muma.exe

　　下载后保存为：

　　%System%\msime.exe

　　msime.exe创建启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

　　"KernelFaultCheck"="%System%\msime.exe"

　　设置注册表信息：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\MSkysoft]

　　下载并运行：

　　http://www.xxxxsee.com/Run.exe

　　保存为：