传奇木马的清除
经过我通宵的乱搞,基本搞掉了这个传奇木马.现在运行regedit,msconfig等EXE再没有csrss.exe进程弹出来了.因为我菜的缘故,所以有误伤的可能,毕竟碰到文章以外的情况,我就只能凭感觉做了,没办法,隔行如隔山.具体如下:
1.不知道所谓木马变种,是不是跟游戏MOD一样,随便该个数据或模型,就成了变种?除了精华里说的,我还删除了filelocation.com; stdup.dll; rundl132.com; iexp10re.exe; A0000007.exe; A0000008.com; A0000009.com; A00000010.com; 它们都在window下. 大家注意下修改时间和大小.
2.WINDOWS下多出的几个屏保(command.scr; 1.scr; router.scr等等)一并删除.
3.搜索各个盘符根目录,删除command.com(你看看它的时间大小)
4.注册表里搜索iexp10re.pif; iexp10re.exe; iexp10re.com; 删.
5.弄这些玩意前要在processExproere里把windows\csrss.exe进程踢掉.
6.!!!!!!!让我不安的是我把注册表里很多含srchasst的东东删掉了,因为我竟然在 HKCU_software_searchAssisitant下看到一串什么1.com; exrouter.com; 安全检测.lnk在那排得整齐呢.指向windows\srchasst\srchui.dll;没人帮我判断,我狠狠心把所有含srchasst键都删了!!!!!!!不知会有什么后遗症没有?
一)!!!!帮主,这个windows\srchasst\srchui.dll文件有什么用的??
srchui.dll 这个文件 理论上是个 XP系统文件 但是也有可能是木马 删除了也没多大关系
二)第一次手动删马,不懂怎么样提取样本?样本区没教程啊?
三)期待专杀出来,我再杀一次,怕有什么漏掉了.不过这只能治标!给咱们这些可爱的网友弄一个无马外挂,这才能治本啊!!^_^
