土木在线论坛 \ 建筑设计 \ CAD下载及教程 \ 如何清除蜜蜂大盗

如何清除蜜蜂大盗

发布于:2007-06-01 12:19:01 来自:建筑设计/CAD下载及教程 [复制转发]
使用电脑过程中硬盘一阵狂转后,刚刚还正常运行的软件程序,如QQ、杀毒软件、网络防火墙等纷纷关闭,系统资源也突然升到100%,很明显系统中病毒了。重新启动系统后在还没有进入系统桌面时,杀毒软件的BOOTSCAN即开始对系统文件进行杀毒。

  果然,杀毒软件提示用户系统中存在病毒,并且已经清除,从病毒名称“PSW.MiFeng”已经看出该病毒就是蜜蜂大盗木马。既然病毒已经清除,也进入了系统,程序也正常运行,但系统的速度依然非常缓慢,而且会越来越慢。怀疑是木马没有被完全清除,尝试自己手工清除。

查找可疑文件
  一般情况下,感觉自己的系统中了病毒或木马程序后,我都会查看系统的端口和进程。在任务栏上点击鼠标右键,选择“任务管理器”命令打开任务管理器。经过仔细地查看,发现一个名为“csrss.exe”的可疑进程。本来该进程应该是系统进程的,但问题是在任务管理器的“用户名”项目中显示的是登录用户的名称,而非正常情况下由SYSTEM加载的。

  另外,任务管理器中还有一个“csrss.exe”进程,它的加载用户就是SYSTEM,由此可见第一个csrss.exe肯定有问题。怀疑该文件可能是其他的恶意程序,而并非蜜蜂大盗的服务端程序,我再通过它打开的端口来进一步验证。

  运行IceSword(下载地址:http://soft.hackbase.com/50/20051001/7821.html),在弹出的主界面中点击“端口”按钮,在列表中的“进程程序名称”中找到“csrss.exe”这个进程。由于有两个同样名称的进程,所以只能从进程的路径来判断哪个是可疑的csrss.exe进程。真正的系统进程csrss.exe是在系统的system32目录中,而可疑的csrss.exe在system目录中。

  接着查看system目录这个csrss.exe进程打开的端口,TCP 2222,从此再一次确认了该可疑进程就是蜜蜂大盗的服务端进程。
彻底清除蜜蜂大盗

  俗话说,擒贼先擒王,首先来查找服务端程序的启动项。在开始菜单的“运行”选项中输入“regedit”命令,打开注册表编辑器。点击“编辑”菜单下的“查找”命令,搜索“csrss.exe”这个关键词。在众多的结果中经过排查比较,发现在注册表的启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中多出一项名为internet的键,启动的就是蜜蜂大盗的服务端程序,除此以外没有其他的启动项。

  删除该启动项,发现它没有再自动生成,说明该木马没有对启动项进行监控。接着通过IceSword的“进程”选项,来结束木马的进程,结果该木马同样没有重生,总的进程数减少了一个,并且TCP 2222端口也已经关闭。
  • lnmygwater
    lnmygwater 沙发
    理论上来说,现在我就可以进行清除木马服务端的操作了,但我并没有这样做,因为我觉得这样好像太简单了。轻易被删除,不像是蜜蜂大盗的“风格”。打开木马服务端csrss.exe的属性,查看它的创建时间和修改时间选项,然后通过Windows系统的查找功能,根据这两个时间属性来查找文件,结果又找到多个服务端程序。

      原来蜜蜂大盗服务端程序运行后,会先复制自身到system目录,随机以一个系统进程命名,并附加于系统以及定为隐藏属性,然后修改注册表添加启动项。另外,在system32目录下会生成一个“AUTOEXEC.BAT”文件来关闭系统的防火墙功能,以及其他一些常见的杀毒软件和防火墙。

      同时蜜蜂大盗会创建多个文件,并且修改默认的屏幕保护程序,使病毒每隔一段时间自动运行。除此以外,木马还会生成isuninst.exe、isun0804.exe、isun0404.exe等文件,替换系统默认的屏幕保护程序,更改TXT文件关联等方法来保护服务端程序,这也是杀毒软件无法将它成功清除的原因。
      我首先通过Windows优化大师将更改的关联选项进行修复,然后将我根据时间属性搜索出来的蜜蜂大盗创建的程序全部清除,最后重新启动系统,经检查系统,发行系统运行正常,蜜蜂大盗被彻底从系统中清除了。
      虽然“蜜蜂大盗”没有使用线程插入技术、线程监控技术,并且绝大部分杀毒软件都能成功的将它识别,但由于其覆盖面广、启动方法多、名称可变性强,从而出现木马程序无法彻底清除,屡杀不绝的情况。
      黄可朋友通过一系列方法没有将其清除,选择通过手工清除的方法进行清除。将木马的启动项和主程序找到后,并没有仓促删除,而是通过该文件的属性查找出其他隐藏的文件,值得大家学习和借鉴。
    2007-06-01 12:19:01

    回复 举报
    赞同0
这个家伙什么也没有留下。。。

CAD下载及教程

返回版块

52.08 万条内容 · 665 人订阅

猜你喜欢

阅读下一篇

如何清除W32蠕虫病毒

前几天,把数码相机借给朋友用了,拿回来之后,自己导出照片的时候,注册表监控软件弹出了提示,当时也没有细看。拒绝就是了,见得多了。一连三个拒绝之后,发现系统突然变得很慢,应该是中蠕虫病毒了。  笔者发现每个文件夹下都多了一个与该文件夹同名的子文件夹,其实是伪装的exe文件,尝试双击打开便又会弹出更改注册表的提示。杀毒软件中有3月份的病毒库,竟无法清除。于是重做了一下系统,装上单位的诺顿,升级到最新病毒库,彻底扫描了一遍电脑,清除成功!

回帖成功

经验值 +10