瑞星反病毒中心公布“一次干掉”病毒档案 - CNET科技资讯网
中关村，被称为中国的硅谷，这里除了熙攘的电子卖场，...
剥皮寮是这此次「推荐Google街景三轮车拍摄景点」票选...
话说，某日，祝英台与梁山伯去逛街……
6月22日上午，在大连世界博览广场举办的第八届中国国际...
大部分公司在走向死亡。本文分析了微软之所以处于危险...
苹果发布的最新产品似乎并没有给苹果联合创始人之一的...
瑞星反病毒中心公布“一次干掉”病毒档案
作者： ZDNet China
小心这个通过局域网传播的木马病毒，稍不留神它就会将您的计算机“一次干掉”。
病毒名称：一次干掉（Trojan.Killonce）
病毒类型：木马病毒
发作时间：随机
传播方式：网络
警惕程度：★★★★
病毒介绍：
此病毒运行时会首先将自身藏入系统目录，然后将自身放入自启动项。它具有很强的局域网传播能力，当发现局域网中有完全共享的系统目录时，此病毒就将此系统目录中的rundll32.exe文件改名为run32.exe，同时将自己放入到此系统目录中，并改名为rundll32.exe。利用同样的方法，此病毒还会替换掉注册表编辑器程序，造成注册表编辑器程序无法正常使用。另外此病毒会通过修改注册表产生破坏，导致注册表编辑器被禁用。同时造成打开所有的应用程序与文本文件时，病毒都会自动运行，表现出来的状态就是无法正常打开这些文件，无法正常使用计算机。
解决方案：
首先，查找硬盘，清除病毒体。
(1) 在WINDOWS目录中查找run32.exe文件，如果发现则证明病毒存在，则将同目录下的rundll32.exe文件删除，将run32.exe文件改名为：rundll32.exe。
(2) 在WINDOWS目录中查找regedit.exe.sys 文件，如果找到则证明病毒存在，将同目录下的regedit.exe文件删除，将regedit.exe.sys文件改名为：regedit.exe。
如果无法删除这些文件，可以用启动盘进入DOS模式下，将这些病毒文件删除；如果硬盘分区是NTFS格式的，可以用瑞星DOS版查杀此病毒。）。
其次，修改注册表，清除病毒键值。
(1)查看注册表的HKEY_LOCAL_MACHINE SoftWareMicrosoftWindowsCurrentVersionRun项，看其中是否有上面提到的文件，如果有，则将这些键值删除即可清除病毒键值。
(2)查看注册表的HKEY_CLASSES_ROOTExefileshellopencommand的键值，正确的“默认”项的内容为：“"%1" %*”，如果不是，则修改。
(3)查看注册表的HKEY_CLASSES_ROOTTxtfileshellopencommand的键值，正确的“默认”项的内容为：“%SystemRoot%system32NOTEPAD.EXE %1”，如果不是，则修改。
为避免用户遭受损失，瑞星公司已经进行了软件升级，瑞星杀毒软件14.20及以上的版本可以自动截获并清除此病毒，望广大用户及时升级。目前瑞星用户只需及时升级手中的软件即可彻底查杀“一次干掉”病毒。
如遇到异常情况，可随时拨打瑞星反病毒急救电话：010-或登陆瑞星反病毒网.cn，瑞星反病毒专家将为您提供全方位的技术支持与服务！
独家 | 原创
01/24/2007
01/24/2007
01/23/2007
01/15/2007
01/15/2007
01/15/2007
01/15/2007
01/15/2007
10/14/2013
10/12/2013
10/11/2013
10/10/2013
10/10/2013
10/10/2013
10/09/2013
10/09/2013
09/12/2012
09/04/2012
08/02/2012
07/24/2012
07/17/2012
07/04/2012
05/25/2012
05/09/2012后使用快捷导航没有帐号？
只需一步，快速开始
查看: 1587|回复: 6
急啊,中了个叫MBIme的病毒,怎么干掉它??
UID340814在线时间 小时积分13197帖子离线17300 天注册时间
机器昨天叫同学装游戏结果在应用程序中就有了个MBIme的东西,准确的说是六七个,怎么也结束不掉,到上网查也没查到具体怎样搞定,有人能告诉俺一声怎么干掉它啊....好急现在...
在技术区问都没人理我,郁闷...
[[i] 本帖最后由 South123 于
19:11 编辑 ]
UID299998在线时间 小时积分364帖子离线17300 天注册时间
中级会员, 积分 364, 距离下一级还需 136 积分
我只知道FBI,不过帮楼主顶一下,希望有达人出现
UID321608在线时间 小时积分2793帖子离线17300 天注册时间
银牌会员, 积分 2793, 距离下一级还需 207 积分
格了把`````
UID340814在线时间 小时积分13197帖子离线17300 天注册时间
没搞错吧,1K多的VISTA,只有个系统恢复光盘,碰见一个格一个,那还不累死...
UID113524在线时间 小时积分38525帖子离线17300 天注册时间
装了郑码输入法就有这个现象。搂主难道使用的是Win98？
一个叫“MBIme”的鬼进程
& & 我昨天单位用的电脑硬盘坏了，今天就马上有人重新安装了电脑，本来也没什么事的，新硬盘呀，干干净净的，肯定是没病毒的。可用着搞着就多了个叫“MBIme”的进程，我是有上过网的，而我又不知道这是什么，我怕我所上的网页不干不净就上网查，结果查到是病毒，就删呀搞的，瑞星查不到，又下载个安全卫士也查不到，于是乎手动删除，可这鬼进程还在，真不知是什么病毒呀！忒强了吧！
& & 于是再仔仔细细地看网上的说明，谁知看到一句：这可能是输入法的进程，你把默认输入法改回英文的看看。
& & 我就是把默认的输入法改成五笔的呀！唉，没关系，改回来不就成了，于是改……………不了了，哭也没用，我都手动删除了相关的文件了，唉…………
& & 重新恢复克隆吧，系统都不完全了，瞎捣鼓个啥呀！谁叫我无知扮有知呀，打肿脸来充胖子，这时真觉得无知是个罪过。
& & 这么多年用电脑，单位里就是靠电脑吃饭的，家里也用，可真没试过改默认输入法的，也就是想工作的方便点，今天改了，却搞了这么个霉事来，唉，吃一堑，长一智，以后不改了，因为这个叫“MBIme”的进程是有可能为病毒的，所以一开始就让我犯了错。
& & 这只能怪我无知了，虽然我知道世界上比我无知的人还有许多许多，但这一次就是我无知而且没认真地看说明，无知扮有知，自信地认为这个进程肯定不正常，谁知它就是正常的。
---------------------------------------------------------
每次开机后，电脑后台程序里总会出现两个phonetic，这是将系统默认输入法设置为“智能ABC”而造成的。启动WIN98时， Explorer.exe运行就会自动加载一个phonetic进程。第一个加载的该进程是explorer.exe产生，当按CTRL+ALT+DEL选中它，用“关闭任务”选项关闭该进程时，windows提示关机选项画面而使你无法强行关闭，只能关机。
解决explorer.exe产生phonetic进程的方法很简单，你只要将默认的输入法改成英语输入法重新启动机器就可以了！
经过进一步测试，发现WIN98中的其它输入法也存在着该问题：当将系统默认输入法设置为全拼输入法或王码输入法86/98版时，explorer.exe产生的进程名是WinIme；当设置为郑码输入法时，进程名为MbIme。当explorer.exe出现上述情况时，发现有些应用程序也会象explorer.exe一样产生另外的phonetic或WinIme或MbIme进程。如“虚拟光驱2000”的守护进程（vdtask），不过这些应用程序产生的进程可以按CTRL+ALT+DEL，用“关闭任务”选项关闭该进程。这种情况下，并不是所有的应用程序都出现此现象.
& & 微软拼音输入法上述现象，这说明智能ABC，郑码输入法等一系列出现此现象的中文输入法程序有BUG.
----------------------------------------------------------------------
现象：WIN98启动后，按CTRL+ALT+DEL发现现数个Phonetic程序，用查找命令找不到phonetic相关执行文件，用最新版杀毒软件也查不到病毒，Phonetic是病毒吗？经
过仔细分析并验证，Phonetic肯定不是病毒。
这是你将系统默认输入法设置为“智能ABC”而造成的。启动WIN98时， Explorer.exe运行就会自动加载一个phonetic进程。第一个加载的该进程是explorer.exe产生，当按CTRL+ALT+DEL选中它，用“关闭任务”选项关闭该进程时，windows提示关机选项画面而使你无法强行关闭，只能关机。
解决方法：解决explorer.exe产生phonetic进程的方法很简单，你只要将默认的输入法改成英语输入法重新启动机器就可以了！
经过进一步测试，发现WIN98中的其它输入法也存在着该问题：当将系统默认输入法设置为全拼输入法或王码输入法86/98版时，explorer.exe产生的进程名是WinIme；当设置为郑码输入法时，进程名为MbIme。当explorer.exe出现上述情况时，发现有些应用程序也会象explorer.exe一样产生另外的phonetic或WinIme或MbIme进程。如“虚拟光驱2000”的守护进程（vdtask），不过这些应用程序产生的进程可以按CTRL+ALT+DEL，用“关闭任务”选项关闭该进程。这种情况下，并不是所有的应用程序都出现此现象。
微软拼音输入法上述现象，这说明智能ABC，郑码输入法等一系列出现此现象的中文输入法程序有BUG。
为了验证我的判断，我将默认的输入法改成英语输入法，WIN98启动后，发现explorer.exe确实不产生phonetic等额外进程了。但将输入法由西文转换为智能ABC时，紧接着在开始à运行à运行“虚拟光驱2000”的守护进程（vdtask）, 再按CTRL+ALT+DEL，可发现进程phonetic又产生了。要想彻底解决此类问题，只有参考微软拼音输入法的源程序，修改相关中文输入法程序了，不过那是微软的事。
[[i] 本帖最后由 marvellous 于
19:41 编辑 ]
UID340814在线时间 小时积分13197帖子离线17300 天注册时间
版主转的贴我也看见过,能不能来点实惠点的啊...
UID340814在线时间 小时积分13197帖子离线17300 天注册时间
Powered by今天看啥 热点：
根据我这些日子在杀毒区回答问题可以这样来说，问题大多是IE被捆绑IE主页总被修改，电脑显示被攻击装瑞星防火墙；加载错误windos清理助手自动修复，
电脑的哪个盘打不开把这行代码复制到记事本里，随便起个名，然后把后缀改成.bat，保存后双击执行，重启就好了。 @echo on taskkill /im explorer.exe /f taskkill /im wscript.exe start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f start reg import kill.reg del c:\autorun.* /f /q /as del %SYSTEMROOT%\system32\autorun.* /f /q /as del d:\autorun.* /f /q /as del e:\autorun.* /f /q /as del f:\autorun.* /f /q /as del g:\autorun.* /f /q /as del h:\autorun.* /f /q /as del i:\autorun.* /f /q /as del j:\autorun.* /f /q /as del k:\autorun.* /f /q /as del l:\autorun.* /f /q /as start explorer.exe，中灰鸽子（ http://www.onlinedown.net/soft/43101.htm），特络伊（特络伊木马专杀 http://muma.itzzz.net/）AV终结者(杀毒的软件自动关闭,重要有关病毒的词语都不能打开），瑞星伞变成红色 怎么变绿色（右击绿伞开启所有监控开始-程序-瑞星杀毒软件-添加删除组件-修复或者开始-程序-瑞星杀毒软件-添加删除组件-卸载 ,不行就是中毒了,下个金山清理专家和windos清理助手杀恶意软件和木马!要从安全模式开机按F8!中了AV终结者所有和病毒有关的东西都会别屏蔽，下个AV终结者专杀工具，不过有残留！开机F8安全模式！还不行就是中了AV终结者.一般遇到灰鸽子和AV终结者，我就直接重装系统，因为中这2个毒后会经常复发的，而且是全盘格式化（别舍不得）!没有一个是最好的杀毒软件要靠搭配！ 瑞星卡卡6.0携杀毒软件、防火墙全球免费一年 详情请访问
/ 瑞星杀毒好,金山清理专家杀恶意软件,WINDOS清理助手杀木马好,我的电脑是正版瑞星一套家金山清理专家和WINDOS清理助手,杀毒软件会冲突,但是辅助软件一般不会冲突,每家的杀毒多少都不一样,我这样用辅助软件杀木马和恶意软件!瑞星杀毒就好了,这样确保木马不能进入电脑,这几个辅助软件都很小对机子的的速度不会有太大影响!建议试试吧!金山清理专家（ /soft/10446.html）使用简介及其功能 视频讲解地址： /v_show/id_XMzQ4ODI3MzY=.htmlWINDOS清理助手（ /）用户拥有完全控制权的系统清理工具独有的清理技术，可以彻底清理有驱动保护的恶意软件； 引擎和脚本分离，立场中立，清理操作对用户完全透明自选查杀项，控制权完全由用户掌握； 开放的用户接口，可以满足您的个性化清理需求； 用户自定义脚本文件,实现对一些特殊软件的清理，并可将其共享给所有用户使用； 即时更新脚本库，使您拥有更强劲的清理能力； 这是我对这2个软件是实践得出，这样搭配真的挺OK！谢谢支持！
这个好清除你可以使用腾讯电脑管家查杀一下它的8.0正式版有全新的鹰眼反病毒引擎，含新一代机器智能技术，创新CPU虚拟执行技术，可以清除各种顽固病毒
当将系统默认输入法设置为全拼输入法或王码输入法86/98版时,explorer.exe产生的进程名是WinI当设置为郑码输入法时,进程名为MbIme 我下载过很多极品五笔,但都含病毒,我想你应该先杀杀毒先方案:在任务管理器（Ctrl + Alt + Delete）里面用手动干掉它，就是把进程结束掉
360顽固木马专杀，找出毒后会跳出对话框，点立即重启，重启后再打开360顽固木马专杀，在里面点修复、删除项，让后沟一下点删除
极品五笔是带木马,很多人改用极点五笔了
MBime在进程里自动复制，怎么杀死它自己用杀毒软件杀杀看。。。。还不行的话，就进入安全模式~~继续杀~~还有。。。听说MBime是一种输入法的进程~~可以先把那个输入法卸载了~~~
WIN7系统 出现MBIme自动复制病毒，想问用卡巴能杀死吗？这个问题我还多少知道一点点，首先很高兴的告诉你，这个可能不是病毒，是与Win7的兼容问题，在XP中使用是正常的，我用360安全卫士，和两种杀毒软件全盘扫描（MSE和360杀毒），也没查出安全问题。如果是极品五笔，我也同样用了多年了，一样舍不得卸载，找解决办法，一直没找到，最后只想到用其它五笔替代，其实你不看任务管理器，那个也不碍眼的，也似乎不影响系统速度。如果是要卸载极品五笔，这个还挺难，但我尝试的方法我觉得还是挺完美的：1、右键输入法图标删除极品五笔—&2、卸载程序，此时五笔的文件夹和安装注册表项都被删除了，但你点添加语言中还是能看到它的身影，这时候你要打开注册表删除，开始、运行，输入regedit，右键HKEY_LOCAL_MACHINE，输入E0230804查找，能够看到有好几个E0230804，都是安装的输入法的东西，找到含极品五笔的这个，删了，万事大吉。最后，那东西虽然不影响使用，但想着烦，我说下我找替代的输入法的经验，我试过搜狗五笔、小鸭五笔等，我最后选择了极点，极点输入法的传统界面和纯五笔模式，我很接受，当时就很满意，当时就把极品五笔卸了，我也测试过了极点五笔的卸载，很简单，不留痕……好了，说这些我想很够了，这些可是我探寻良久的结晶提问者评价谢谢！！
你说的是任务管理器中有MBIme这个进程吧，这应该不是病毒，可能是这个输入法异常或者是系统兼容性的问题。如果你不放心，可以把找到这个进程文件然后通过瑞星官网服务与支持中的邮件服务上传这个文件检测。
你的电脑跟我之前遇到的问题是一样的，一开始我也是以为中毒了，因为在任务管理器中有这个MBIme的进程，这是极品五笔自带的，是有点流氓，不过不用担心，没用输入的时候它是不会存在的我个人的感觉是对电脑没有影响，其实你只要装上了这个输入法之后，好像也就不大容易卸载了，我最后是在注册表中把它强行删除的jpwb.MBI和jpwb.ME这两个文件才行，不然你就是删了，也删不了，这个输入法还是存在的，个人观点。公供参考，我对这个也不是太懂，不过是个人使用的体会而已，
不一定 建议重装系统
WIN7系统 出现MBIme自动复制病毒，想问用卡巴能杀死吗？这个问题我还多少知道一点点，首先很高兴的告诉你，这个可能不是病毒，是与Win7的兼容问题，在XP中使用是正常的，我用360安全卫士，和两种杀毒软件全盘扫描（MSE和360杀毒），也没查出安全问题。如果是极品五笔，我也同样用了多年了，一样舍不得卸载，找解决办法，一直没找到，最后只想到用其它五笔替代，其实你不看任务管理器，那个也不碍眼的，也似乎不影响系统速度。如果是要卸载极品五笔，这个还挺难，但我尝试的方法我觉得还是挺完美的：1、右键输入法图标删除极品五笔—&2、卸载程序，此时五笔的文件夹和安装注册表项都被删除了，但你点添加语言中还是能看到它的身影，这时候你要打开注册表删除，开始、运行，输入regedit，右键HKEY_LOCAL_MACHINE，输入E0230804查找，能够看到有好几个E0230804，都是安装的输入法的东西，找到含极品五笔的这个，删了，万事大吉。最后，那东西虽然不影响使用，但想着烦，我说下我找替代的输入法的经验，我试过搜狗五笔、小鸭五笔等，我最后选择了极点，极点输入法的传统界面和纯五笔模式，我很接受，当时就很满意，当时就把极品五笔卸了，我也测试过了极点五笔的卸载，很简单，不留痕……好了，说这些我想很够了，这些可是我探寻良久的结晶提问者评价谢谢！！
你说的是任务管理器中有MBIme这个进程吧，这应该不是病毒，可能是这个输入法异常或者是系统兼容性的问题。如果你不放心，可以把找到这个进程文件然后通过瑞星官网服务与支持中的邮件服务上传这个文件检测。
你的电脑跟我之前遇到的问题是一样的，一开始我也是以为中毒了，因为在任务管理器中有这个MBIme的进程，这是极品五笔自带的，是有点流氓，不过不用担心，没用输入的时候它是不会存在的我个人的感觉是对电脑没有影响，其实你只要装上了这个输入法之后，好像也就不大容易卸载了，我最后是在注册表中把它强行删除的jpwb.MBI和jpwb.ME这两个文件才行，不然你就是删了，也删不了，这个输入法还是存在的，个人观点。公供参考，我对这个也不是太懂，不过是个人使用的体会而已，
不一定 建议重装系统
VISTA任务管理器里面每次开机后有七八个MBIME程序执行，怎么删除啊。急盼，谢！打开输入法设置,删除郑码输入法.提问者评价只为你回了，还是谢谢。我没装郑码。
暂无相关文章
相关搜索：
相关阅读：
相关频道：
电脑安全最近更新}