解决conime.exe被木马利用的方法

jxfaiu

解决conime.exe被木马利用的方法
1.打开任务管理器（ctrl+alt+del），结束conime.exe进程，然后在C:\WINDOWS\system32中找到conime.exe将
其删除。不用担心正常的输入法conime.exe被删除，重启即可恢复conime.exe。版主，哪有呀，我这样设置用的好好的，怎么可能。我的任意切换正常，conime.exe被删除，重启即可恢复,二楼不是按我方法搞得不能切换的，我以人格担保此方法安全。
　　2.开始菜单—运行—输入regedit—确定－依次打开－HKEY_CURRENT_USER－Console－LoadConIme修
改参数为0即可。

mao0819

xp系统！我的输入法不能切换！用修复工具修复也没有用！这是为什么

lpj123456

楼主辛苦,谢谢分享!

明月丶舞白衣

mao0819 发表于 2012-6-4 11:38
xp系统！我的输入法不能切换！用修复工具修复也没有用！这是为什么

因为这个就是输入法切换的功能，你删除了，这个帖子误人。。。。。。。。

明月丶舞白衣

conime到底是什么？看看别人看法！由于经常浏览一些病毒论坛，所以看到了一个有意思的事。很多人问conime.exe是什么进程，而大部分人会参照国内外网上的进程描述，说是病毒并教他们怎么结束他。

　　大家都知道在运行cmd.exe之后进程中会出现一个conime.exe的进程。 网上的关于进程的描述不管是国内还是国外都说他是个病毒…… 当然也许病毒和他重名，但是不能一概而论吧？ 有人说conime.exe是cmd.exe的子进程。 我现在来仔细查看一下conime。

　　在这里sunwear用的是kd，察看一下conime.exe的eprocess的inheritedfromuniqueprocessid 是否是cmd.exe的eprocess的uniqueprocessid 如果是的话，那能说明conime.exe是cmd.exe的子进程。那我们来看看。

process 817217c0 sessionid: 0 cid: 04dc peb: 7ffdf000 parentcid: 032c
dirbase: 1558f000 objecttable: 8170d168 tablesize: 18.
image: conime.exe

process 81733460 sessionid: 0 cid: 038c peb: 7ffdf000 parentcid: 02f8
dirbase: 056a1000 objecttable: 81692288 tablesize: 22.
image: cmd.exe

然后察看一下conime.exe的eprocess

nt!_eprocess
..................
+0x09c uniqueprocessid : 0x000004dc
..................
+0x1c8 inheritedfromuniqueprocessid : 0x0000032c
..................
conime.exe的进程id是0x000004dc。父进程是0x0000032c

我们在来看看cmd.exe

nt!_eprocess
..............
+0x09c uniqueprocessid : 0x0000038c
..............
也就是说conime.exe并不是cmd.exe的子进程。而conime.exe的父进程id 并没有在任务管理器中从名字上看conime.exe是跟输入法有关的。的确他就是处理控制台输入法相关的一个程序。

　　我们可以做个试验。首先我们运行cmd.exe，然后用ctrl+shift切换输入法，可以切换吧？

　　我们用任务管理器把conime结束掉，然后在试试？结果如何？

　　我觉得如果要写解释的话 一定要给出ms的原始程序的作用.它是windows操作系统的中的正常进程。可以在附加解释中说明有些病毒与他同名。

　　就像service explorer svchost 等等一样。如果他们被病毒付身（屡见不鲜）。那么进程描述该写什么呢？写service explorer svchost 都是病毒么？在这里真要为conime.exe喊冤了。

　　conime.exe是console ime的缩写 也就是ime控制台

　　本身是正常的 启动cmd的时候他会跟着启动 他的作用最典型的一个就是就控制命令行下的输入法你可以先启动cmd 然后在命令行窗口下 按ctrl+space就会看见命令行下的中文输入发被调了出来，现在你在任务管理器里结束conime.exe进程 再想使用命令行下的中文输入法看看...

　　另外 目前来看conime.exe必须有cmd或者其他程序执行 直接执行conime.exe是不会成功的 比如如果你杀掉后再次执行conime.exe后 查看任务管理器 会发现根本没有conime.exe进程

　　在正常的文件没被替换的情况下 随便臆测它已经是病毒或者是特络伊服务端是完全是不科学的

　　为什么有的人把他说成是后门 木马 病毒呢？他们的说法也很主观，因为黑客之门1.0的测试中 在例子里有这么一步

rundll32 hkdoordll,dllregisterserver conime.exe 1

　　但是也只是只感染进程 而不感染系统文件 机器重启或进程退出后门也就退出了 但是上述仅仅是作者提供的例子 事实上1.0版的黑客之门默认感染进程是services.exe

　　综合上面的资料 conime.exe是系统自己的进程 如果被感染了木马 也是使用者自己用机不当造成的

  如我的引用，如果删除该程序，极易造成系统不稳定，所以关闭，当然，楼主的分享精神还是值得肯定的，但是由于这个是关乎系统稳定性的，所以我关闭此贴。给您带来不便，尽情谅解。

jxfaiu

明月丶舞白衣 发表于 2012-6-4 18:05
如我的引用，如果删除该程序，极易造成系统不稳定，所以关闭，当然，楼主的分享精神还是值得肯定的，但 ...

conime.exe在没感染木马前，按我的方法设置后，任务管理器再不会有conime.exe进程，且不会被木马所利用，删除C:\WINDOWS\system32下的conime.exe文件，重启即可恢复，我这样设置，从来没有出现过输入法异常；以前就是烦恼conime.exe进程一直挂着，考虑不安全才用此方法的。这样设置我确认安全才敢发的。

jxfaiu

mao0819 发表于 2012-6-4 11:38
xp系统！我的输入法不能切换！用修复工具修复也没有用！这是为什么

兄弟呀，你这样误导版主啦，以为是我的设置方法害得你不能切换的。

明月丶舞白衣

jxfaiu 发表于 2012-6-4 18:22
conime.exe在没感染木马前，按我的方法设置后，任务管理器再不会有conime.exe进程，且不会被木马所利用， ...

你确认这样不会导致输入法不能切换？

jxfaiu

明月丶舞白衣 发表于 2012-6-4 18:34
你确认这样不会导致输入法不能切换？

确认没问题，我用得时间长啦。我用的是系统自带的王码五笔与智能ABC；从不用第三方输入。

明月丶舞白衣

jxfaiu 发表于 2012-6-4 19:03
确认没问题，我用得时间长啦。我用的是系统自带的王码五笔与智能ABC；从不用第三方输入。

那这个适合的是少数人