到http://www.onlinedown.net/soft/26929.htm去下载并安装TweakUI,依次双击展开 “我的电脑→自动播放→驱动器”,在右侧窗口列表中取消所有硬盘盘符前的钩,单击“应用”退出即可关闭硬盘自动运行功能。以后就算Autorun.inf被改写,但是因为硬盘自动运行被关闭,木马也无法运行。
如何清除蜜蜂大盗 使用电脑过程中硬盘一阵狂转后,刚刚还正常运行的软件程序,如QQ、杀毒软件、网络防火墙等纷纷关闭,系统资源也突然升到100%,很明显系统中病毒了。重新启动系统后在还没有进入系统桌面时,杀毒软件的BOOTSCAN即开始对系统文件进行杀毒。
果然,杀毒软件提示用户系统中存在病毒,并且已经清除,从病毒名称“PSW.MiFeng”已经看出该病毒就是蜜蜂大盗木马。既然病毒已经清除,也进入了系统,程序也正常运行,但系统的速度依然非常缓慢,而且会越来越慢。怀疑是木马没有被完全清除,尝试自己手工清除。
查找可疑文件
一般情况下,感觉自己的系统中了病毒或木马程序后,我都会查看系统的端口和进程。在任务栏上点击鼠标右键,选择“任务管理器”命令打开任务管理器。经过仔细地查看,发现一个名为“csrss.exe”的可疑进程。本来该进程应该是系统进程的,但问题是在任务管理器的“用户名”项目中显示的是登录用户的名称,而非正常情况下由SYSTEM加载的。
另外,任务管理器中还有一个“csrss.exe”进程,它的加载用户就是SYSTEM,由此可见第一个csrss.exe肯定有问题。怀疑该文件可能是其他的恶意程序,而并非蜜蜂大盗的服务端程序,我再通过它打开的端口来进一步验证。
运行IceSword(下载地址:http://soft.hackbase.com/50/20051001/7821.html),在弹出的主界面中点击“端口”按钮,在列表中的“进程程序名称”中找到“csrss.exe”这个进程。由于有两个同样名称的进程,所以只能从进程的路径来判断哪个是可疑的csrss.exe进程。真正的系统进程csrss.exe是在系统的system32目录中,而可疑的csrss.exe在system目录中。
接着查看system目录这个csrss.exe进程打开的端口,TCP 2222,从此再一次确认了该可疑进程就是蜜蜂大盗的服务端进程。
彻底清除蜜蜂大盗
俗话说,擒贼先擒王,首先来查找服务端程序的启动项。在开始菜单的“运行”选项中输入“regedit”命令,打开注册表编辑器。点击“编辑”菜单下的“查找”命令,搜索“csrss.exe”这个关键词。在众多的结果中经过排查比较,发现在注册表的启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中多出一项名为internet的键,启动的就是蜜蜂大盗的服务端程序,除此以外没有其他的启动项。
删除该启动项,发现它没有再自动生成,说明该木马没有对启动项进行监控。接着通过IceSword的“进程”选项,来结束木马的进程,结果该木马同样没有重生,总的进程数减少了一个,并且TCP 2222端口也已经关闭。
如何优化系统启动项 在我们的系统中,有很多程序会随系统启动,这其中,有的可能就是恶意程序的启动项,我们应该将一些不必随系统启动的程序删除掉。
点击开始菜单中的“运行”命令,输入命令:msconfig,打开“系统配置实用程序”,点击其中的“启动”选项卡,这里就包括了那些随系统启动的程序,从中找出不需要的程序,然后将它去掉。重新启动后系统速度也会变得快了不少。
这也是一种检测恶意程序的好方法,如果你在去掉某个程序的启动项后,它又重新自动加载,那么这个程序很可能就是恶意程序了,应该尽快地将它清除。除此以外,在“服务”选项卡中选择“隐藏所有Microsoft服务”选项后,可以将系统自带的服务过滤掉,这样可以方便地查找到那些利用服务项进行启动的恶意程序。
From:http://www.itcomputer.com.cn/Article/Network/201309/959.html