14 九月, 2005

又见病毒

作者 CB 06:31 | Permalink 静态链接网址 | Comments 最新回复 (1) | Trackback 引用 (0) | I.Technology

系统硬盘的MFT坏了,只能FORMAT,重装系统。还没完全搞定,就发现中了毒。Sygate Personal Firewall发出警报,%windows%/csrss.exe试图连接chameleonexpo.com.au。查看任务管理器,果然有一个以我个人身份运行的csrss.exe进程,尝试kill,失败。使用ntsd -c q -p PID命令,成功。手工删除csrss.exe,重启后,csrss.exe又出现了。

安装Norton Antivirus,可以发现病毒,但是无发修复,无法隔离。

参考:

http://www.kill.com.cn/vir/muma/middle/1864.asp

http://www.sophos.com/virusinfo/analyses/trojpindropa.html

解决方法:

  1. 使用ntsd结束%windows%/csrss.exe进程
  2. 打开注册表,在HKCR下搜寻包含mcsys.dll的CLSID项,删除
  3. 在HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad下找到“system”项,如果它的内容和上面搜到的CLSID一致,则删除
  4. 重启,删除%windows%下的csrss.exe和mcsys.dll

搞定


最新回复

重装好的系统 感觉特别嫩
只要是一上网 就中
每次重装 要费很多时间
因为装好后 还得杀毒
每次都是这样 有点定律的味道

作者 leslie 15 九月 2005, 07:23
发表评论


















Bold Italic Link