果然,殺毒軟件提示用戶系統中存在病毒,並且已經清除,從病毒名稱“PSW.MiFeng”已經看出該病毒就是蜜蜂大盜木馬。既然病毒已經清除,也進入了系統,程序也正常運行,但系統的速度依然非常緩慢,而且會越來越慢。懷疑是木馬沒有被完全清除,嘗試自己手工清除。
查找可疑文件
一般情況下,感覺自己的系統中了病毒或木馬程序後,我都會查看系統的端口和進程。在任務欄上點擊鼠標右鍵,選擇“任務管理器”命令打開任務管理器。經過仔細地查看,發現一個名為“csrss.exe”的可疑進程。本來該進程應該是系統進程的,但問題是在任務管理器的“用戶名”項目中顯示的是登錄用戶的名稱,而非正常情況下由SYSTEM加載的。
另外,任務管理器中還有一個“csrss.exe”進程,它的加載用戶就是SYSTEM,由此可見第一個csrss.exe肯定有問題。懷疑該文件可能是其他的惡意程序,而並非蜜蜂大盜的服務端程序,我再通過它打開的端口來進一步驗證。
運行IceSword(下載地址:http://soft.hackbase.com/50/20051001/7821.html),在彈出的主界面中點擊“端口”按鈕,在列表中的“進程程序名稱”中找到“csrss.exe”這個進程。Tw.wiNGWit.Com由於有兩個同樣名稱的進程,所以只能從進程的路徑來判斷哪個是可疑的csrss.exe進程。真正的系統進程csrss.exe是在系統的system32目錄中,而可疑的csrss.exe在system目錄中。
接著查看system目錄這個csrss.exe進程打開的端口,TCP 2222,從此再一次確認了該可疑進程就是蜜蜂大盜的服務端進程。
徹底清除蜜蜂大盜
俗話說,擒賊先擒王,首先來查找服務端程序的啟動項。在開始菜單的“運行”選項中輸入“regedit”命令,打開注冊表編輯器。點擊“編輯”菜單下的“查找”命令,搜索“csrss.exe”這個關鍵詞。在眾多的結果中經過排查比較,發現在注冊表的啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中多出一項名為internet的鍵,啟動的就是蜜蜂大盜的服務端程序,除此以外沒有其他的啟動項。
刪除該啟動項,發現它沒有再自動生成,說明該木馬沒有對啟動項進行監控。接著通過IceSword的“進程”選項,來結束木馬的進程,結果該木馬同樣沒有重生,總的進程數減少了一個,並且TCP 2222端口也已經關閉。
From:http://tw.wingwit.com/Article/Network/201309/958.html