使用電腦過程中硬碟一陣狂轉後,剛剛還正常運行的軟體程式,如QQ、殺毒軟體、網路防火牆等紛紛關閉,系統資源也突然升到100%,很明顯系統中病毒了。重新啟動系統後在還沒有進入系統桌面時,殺毒軟體的BOOTSCAN即開始對系統檔進行殺毒。
果然,殺毒軟體提示用戶系統中存在病毒,並且已經清除,從病毒名稱“PSW.MiFeng”已經看出該病毒就是蜜蜂大盜木馬。既然病毒已經清除,也進入了系統,程式也正常運行,但系統的速度依然非常緩慢,而且會越來越慢。懷疑是木馬沒有被完全清除,嘗試自己手工清除。
查找可疑檔
一般情況下,感覺自己的系統中了病毒或木馬程式後,我都會查看系統的端口和進程。在任務欄上點擊滑鼠右鍵,選擇“任務管理器”命令打開任務管理器。經過仔細地查看,發現一個名為“csrss.exe”的可疑進程。本來該進程應該是系統進程的,但問題是在任務管理器的“用戶名”專案中顯示的是登錄用戶的名稱,而非正常情況下由SYSTEM加載的。
另外,任務管理器中還有一個“csrss.exe”進程,它的加載用戶就是SYSTEM,由此可見第一個csrss.exe肯定有問題。懷疑該檔可能是其他的惡意程式,而並非蜜蜂大盜的服務端程式,我再通過它打開的端口來進一步驗證。
運行IceSword(下載地址:http://soft.hackbase.com/50/20051001/7821.html),在彈出的主介面中點擊“端口”按鈕,在列表中的“進程程式名稱”中找到“csrss.exe”這個進程。由於有兩個同樣名稱的進程,所以只能從進程的路徑來判斷哪個是可疑的csrss.exe進程。真正的系統進程csrss.exe是在系統的system32目錄中,而可疑的csrss.exe在system目錄中。
接著查看system目錄這個csrss.exe進程打開的端口,TCP 2222,從此再一次確認了該可疑進程就是蜜蜂大盜的服務端進程。
徹底清除蜜蜂大盜
俗話說,擒賊先擒王,首先來查找服務端程式的啟動項。在開始菜單的“運行”選項中輸入“regedit”命令,打開註冊表編輯器。點擊“編輯”菜單下的“查找”命令,搜索“csrss.exe”這個關鍵字。在眾多的結果中經過排查比較,發現在註冊表的啟動項
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中多出一項名為internet的鍵,啟動的就是蜜蜂大盜的服務端程式,除此以外沒有其他的啟動項。
刪除該啟動項,發現它沒有再自動生成,說明該木馬沒有對啟動項進行監控。接著通過IceSword的“進程”選項,來結束木馬的進程,結果該木馬同樣沒有重生,總的進程數減少了一個,並且TCP 2222端口也已經關閉。 |
