如何清除蜜蜂大盗

使用电脑过程中硬盘一阵狂转后，刚刚还正常运行的软件程序，如QQ、杀毒软件、网络防火墙等纷纷关闭，系统资源也突然升到100%，很明显系统中病毒了。重新启动系统后在还没有进入系统桌面时，杀毒软件的BOOTSCAN即开始对系统文件进行杀毒。

　　果然，杀毒软件提示用户系统中存在病毒，并且已经清除，从病毒名称“PSW.MiFeng”已经看出该病毒就是蜜蜂大盗木马。既然病毒已经清除，也进入了系统，程序也正常运行，但系统的速度依然非常缓慢，而且会越来越慢。怀疑是木马没有被完全清除，尝试自己手工清除。

查找可疑文件
　　一般情况下，感觉自己的系统中了病毒或木马程序后，我都会查看系统的端口和进程。在任务栏上点击鼠标右键，选择“任务管理器”命令打开任务管理器。经过仔细地查看，发现一个名为“csrss.exe”的可疑进程。本来该进程应该是系统进程的，但问题是在任务管理器的“用户名”项目中显示的是登录用户的名称，而非正常情况下由SYSTEM加载的。

　　另外，任务管理器中还有一个“csrss.exe”进程，它的加载用户就是SYSTEM，由此可见第一个csrss.exe肯定有问题。怀疑该文件可能是其他的恶意程序，而并非蜜蜂大盗的服务端程序，我再通过它打开的端口来进一步验证。

　　运行IceSword（下载地址：http://soft.hackbase.com/50/20051001/7821.html），在弹出的主界面中点击“端口”按钮，在列表中的“进程程序名称”中找到“csrss.exe”这个进程。由于有两个同样名称的进程，所以只能从进程的路径来判断哪个是可疑的csrss.exe进程。真正的系统进程csrss.exe是在系统的system32目录中，而可疑的csrss.exe在system目录中。

　　接着查看system目录这个csrss.exe进程打开的端口，TCP 2222，从此再一次确认了该可疑进程就是蜜蜂大盗的服务端进程。
彻底清除蜜蜂大盗

　　俗话说，擒贼先擒王，首先来查找服务端程序的启动项。在开始菜单的“运行”选项中输入“regedit”命令，打开注册表编辑器。点击“编辑”菜单下的“查找”命令，搜索“csrss.exe”这个关键词。在众多的结果中经过排查比较，发现在注册表的启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中多出一项名为internet的键，启动的就是蜜蜂大盗的服务端程序，除此以外没有其他的启动项。

　　删除该启动项，发现它没有再自动生成，说明该木马没有对启动项进行监控。接着通过IceSword的“进程”选项，来结束木马的进程，结果该木马同样没有重生，总的进程数减少了一个，并且TCP 2222端口也已经关闭。