我的进程里有好几个conime.exe，删不掉是病毒吗？

风雪

用下面的工具，清理系统临时文件和IE临时文件夹      
http://hzqedison.mm9mm.com/hanhua/ATF-Cleaner-cn.exe
用xdelbox(http://www.i170.com/attach/ACE2E7C9-25BF-4A78-AECC-504D9918F8CD下载)删除下面文件（按住鼠标左键向下拖动，用鼠标从第一行拖动从上往下到最后一行，右键复制，或者（添入“文件路径”点击“添加”路径），在xdelbox窗口空白处点右键-从剪贴板导入,在抑制再生前打钩,在要删除文件上点击右键，选择立刻重启删除,运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等））。
C:\WINDOWS\system32\Drivers\21412921.sys
C:\WINDOWS\system32\npkycryp.sys
C:\PROGRA~1\TENCENT\Adplus\stup.exe
C:\WINDOWS\syshost.exe

运行SREng——启动项目——注册表删除下面的。
    <Simp><; >  [N/A]
    <WeatherAlarmClock><; >  [N/A]
    <zRain><; >  [N/A]
    <osCheck><; >  [N/A]
    <StormCodec_Helper><; >  [N/A]
    <stup.exe><; C:\PROGRA~1\TENCENT\Adplus\stup.exe>  [N/A]
    <syshost><; C:\WINDOWS\syshost.exe>  [N/A]


运行 System Repair Engineer在"启动项目->服务->"驱动程序"选中"隐藏微软服务" 然后将下面名称的服务
"修改启动类型"->"disable"->"设置"
"删除服务"->"设置"->"否" (注意: 按"否"是确认删除服务,按"是"为取消操作)
[21412921 / 21412921][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Drivers\21412921.sys><N/A>

[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>

Windows清理助手升级查一下：
http://www.arswp.com/download/arswp2/arswp2.zip

xpf3727256

1.下面这四个文件不存在的。。
C:\WINDOWS\system32\Drivers\21412921.sys
C:\WINDOWS\system32\npkycryp.sys
C:\PROGRA~1\TENCENT\Adplus\stup.exe
C:\WINDOWS\syshost.exe

2.我不懂下面是什么意思？
运行SREng——启动项目——注册表删除下面的。
    <Simp><; >  [N/A]
    <WeatherAlarmClock><; >  [N/A]
    <zRain><; >  [N/A]
    <osCheck><; >  [N/A]
    <StormCodec_Helper><; >  [N/A]
    <stup.exe><; C:\PROGRA~1\TENCENT\Adplus\stup.exe>  [N/A]
    <syshost><; C:\WINDOWS\syshost.exe>  [N/A]
3.在"删除服务里不能设置否跟是的
下面这个也不知道是什么意思？21412921 / 21412921][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Drivers\21412921.sys><N/A>

[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>
但用Windows清理助手查了下有个木马。但管理器那还有conime.exe很多个进程。。
希望你能再想想办法，，谢谢。。。。。

风雪

1.下面这四个文件不存在的。。
C:\WINDOWS\system32\Drivers\21412921.sys
C:\WINDOWS\system32\npkycryp.sys
C:\PROGRA~1\TENCENT\Adplus\stup.exe
C:\WINDOWS\syshost.exe
提示不存在不用理会确定就可以了。如果一个文件没有就不用删除了。

运行你刚才使用的工具，找到对应的项删除。SREng——启动项目——注册表删除下面的。
    <Simp><; >  [N/A]
    <WeatherAlarmClock><; >  [N/A]
    <zRain><; >  [N/A]
    <osCheck><; >  [N/A]
    <StormCodec_Helper><; >  [N/A]
    <stup.exe><; C:\PROGRA~1\TENCENT\Adplus\stup.exe>  [N/A]
    <syshost><; C:\WINDOWS\syshost.exe>  [N/A]
运行 System Repair Engineer在"启动项目->服务->"驱动程序"选中"隐藏微软服务" 然后将下面名称的服务
"删除服务"->"设置"->"否" (注意: 按"否"是确认删除服务,按"是"为取消操作)
[21412921 / 21412921][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Drivers\21412921.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>

Windows清理助手及杀毒软件升级进入安全模式查一下：
http://www.arswp.com/download/arswp2/arswp2.zip

http://www.cisrt.org/bbs/viewthread.php?tid=1016 这里有使用说明。

xpf3727256

把下面删了但管理器conime仍然还在。。。
<Simp><; >  [N/A]
    <WeatherAlarmClock><; >  [N/A]
    <zRain><; >  [N/A]
    <osCheck><; >  [N/A]
    <StormCodec_Helper><; >  [N/A]
    <stup.exe><; C:\PROGRA~1\TENCENT\Adplus\stup.exe>  [N/A]
    <syshost><; C:\WINDOWS\syshost.exe>  [N/A]

这下面告诉我。我该做什么啊？不知道//
21412921 / 21412921][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Drivers\21412921.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>

风雪

System Repair Engineer2.5(SREng)或者System Repair Engineer2.5(SREng)下载System Repair Engineer2.5扫描日志上来.
如果不能运行将下载的SREng.exe重命名为SREng.com(SREng.scr\SREng.bat\SREng.pif)或者改名为11BD.abc等等自己随便改运行.
sreng——智能扫描——扫描——保存日志——打开日志记事本SREngLOG——Ctrl+A——Ctrl+C——到论坛回复——Ctrl+V。

xpf3727256

那不是跟你发第一条给我的一样啊！！！！！！！！！！！！！

风雪

http://www.cisrt.org/bbs/viewthread.php?tid=1016 这里有使用说明。
你没有去详细去看。里面已经很清楚的说明如何操作。我现在不知道你怎么做的。如果一样说明你什么也没有做。
conime.exe有时候与输入法使用产生有关。相禁止是可以做到。从你的机器上看没有大的问题。我关心的是  <syshost><; C:\WINDOWS\syshost.exe>  [N/A]是否删除掉。。。。。
开始”/“运行”命令，在弹出的系统运行框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开系统组策略编辑窗口; 依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目，在对应“系统”项目右边的子窗口中，双击“不要运行指定的Windows
应用程序”选项conime.exe添加进去。

guiwudehua

盗号木马一般伪装成conime.exe
conime.exe
解决方法：

第一步首先结速conime.exe进程，然后在system32中找到conime.exe将其删除。
第二步修改注册表找到："HKEY_CURRENT_USER\Console"中的"LoadConIme"修改为"0"即可

xpf3727256

解决的方法跟楼上说的一样/现在已解决。。谢谢哦