瑞星卡卡安全论坛

这是个后门。卡巴斯基报：Backdoor.Win32.Rbot.aqb

查杀：

1、结束后门进程msnse.exe。
2、删除下列文件：
C:\WINDOWS\system32\msnse.exe
C:\antivirus.exe（检查有无此文件。后门程序安装完成后可能自行删除它。）
C:\WINDOWS\system32\SMonitor.sys（检查有无此文件。后门程序安装完成后可能自行删除它。）
C:\WINDOWS\system32\aspr_keys.ini（检查有无此文件。后门程序安装完成后可能自行删除它。）
3、清理注册表：
展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：SMonitor（指向C:\WINDOWS\system32\SMonitor.sys）
展开：HKEY_CURRENT_USER\Software\Microsoft\OLE
删除："ATI AS Filter"="msnse.exe"
展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
删除："ATI AS Filter"="msnse.exe"
展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
删除："ATI AS Filter"="msnse.exe"
展开：HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
删除："ATI AS Filter"="msnse.exe"
展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
删除："ATI AS Filter"="msnse.exe"
展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
删除："ATI AS Filter"="msnse.exe"
展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除："ATI AS Filter"="msnse.exe"
展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除："ATI AS Filter"="msnse.exe"
4、删除C:\WINDOWS\system32\drivres\hosts文件中的下列内容（删除下列内容后保存hosts文件）：
0.0.0.0    www.symantec.com
0.0.0.0    securityresponse.symantec.com
0.0.0.0    symantec.com
0.0.0.0    www.sophos.com
0.0.0.0    sophos.com
0.0.0.0    www.mcafee.com
0.0.0.0    mcafee.com
0.0.0.0    liveupdate.symantecliveupdate.com
0.0.0.0    www.viruslist.com
0.0.0.0    viruslist.com
0.0.0.0    viruslist.com
0.0.0.0    f-secure.com
0.0.0.0    www.f-secure.com
0.0.0.0    kaspersky.com
0.0.0.0    kaspersky-labs.com
0.0.0.0    www.avp.com
0.0.0.0    www.kaspersky.com
0.0.0.0    avp.com
0.0.0.0    www.networkassociates.com
0.0.0.0    networkassociates.com
0.0.0.0    www.ca.com
0.0.0.0    ca.com
0.0.0.0    mast.mcafee.com
0.0.0.0    my-etrust.com
0.0.0.0    www.my-etrust.com
0.0.0.0    download.mcafee.com
0.0.0.0    dispatch.mcafee.com
0.0.0.0    secure.nai.com
0.0.0.0    nai.com
0.0.0.0    www.nai.com
0.0.0.0    update.symantec.com
0.0.0.0    updates.symantec.com
0.0.0.0    us.mcafee.com
0.0.0.0    liveupdate.symantec.com
0.0.0.0    customer.symantec.com
0.0.0.0    rads.mcafee.com
0.0.0.0    trendmicro.com
0.0.0.0    pandasoftware.com
0.0.0.0    www.pandasoftware.com
0.0.0.0    www.trendmicro.com
0.0.0.0    www.grisoft.com
0.0.0.0    www.microsoft.com
0.0.0.0    microsoft.com
0.0.0.0    www.virustotal.com
0.0.0.0    virustotal.com
0.0.0.0    www.zango.com
0.0.0.0    zango.com
5、运行WINDOWS UPDATE，去微软打补丁。