byetmr.exe 病毒文件清除

byetmr.exe 病毒现象： 

byetmr.exe 病毒运行时，访问网络下载多个木马程序。生成以下文件：
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\eatx9.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\IECOFIG.EXE
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\MCONFIG.EXE
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs0.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\mhs1.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npf.sys
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\npptools.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\Packet.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPSJ.EXE
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\SPy.exe
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\TIMPLATF0RM.exe
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\WanPacket.dll
C:\Documents and Settings\"你的用户名"\Local Settings\Temp\wgs0.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.bak
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\mhs3.exe
C:\WINDOWS\mppjds.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\wgs3.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\rund1132.exe
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\drivers\usbme.sys
重点：C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\byetmr.exe
并在QQ目录下生成TIMPlatform.exe和TIMPlatfrom.exe文件！

添加注册表启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ravshell"="C:\windows\system32\rund1132.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"mhs3"="C:\windows\mhs3.exe"
"msccrt"="C:\windows\msccrt.exe"
"cmdbcs"="C:\windows\cmdbcs.exe"
"mppjds"="C:\windows\mppjds.exe"
"upxdnd"="C:\DOCUME~1\"你的用户名"\LOCALS~1\Temp\TIMPLATF0RM.exe"
"wgs3"="C:\windows\wgs3.exe"
"wsttrs"="C:\windows\wsttrs.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"twin"="C:\windows\system32\twunk32.exe"

添加注册表项目：
[HKEY_CURRENT_USER\Software\Microsoft]添加"qqjdd"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]添加"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}" 指向"C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys"

并禁用了常用杀软的服务！

清除方法：

1、 手工清除方法：使用强删除工具：/view-3665.html，删除以下类似文件。   
C:\Program Files\Internet Explorer\Connection Wizard\isignup.bak
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\mhs3.exe
C:\WINDOWS\mppjds.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\wgs3.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\rund1132.exe
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\drivers\usbme.sys

2、建立一个与病毒文件相同的目录，将安全权限全部删除，这样以后就不会再中此类病毒了。 

3、再次运行360安全卫士若其它杀毒软件，看有没有病毒文件残留。

4、重启电脑

若对系统操作不熟练，无法实施手工清除，可以下载方舟广谱病毒疫苗，运行arksafe1.bat后，按1键即可清除。若此病毒变种，可以按9在线升级病毒库，若病毒库也不没有此病毒名，可以参考方舟广谱病毒疫苗中的说明readme.txt，自定义加入病毒名。并给本站留言，我们将及时升级病毒包。

方舟广谱病毒疫苗下载地址：/view-398.html