瑞星卡卡安全论坛

csrssX.exe的行为像个bot后门。但卡巴斯基今天的病毒库不报。
这个后门的手工查杀流程如下：

1、结束木马进程csrssX.exe。

2、清理注册表：
(1)展开：HKEY_CURRENT_USER\Software\Microsoft\OLE
删除："Microsoft CSRSS Service"="csrssX.exe"
(2)展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
删除："Microsoft CSRSS Service"="csrssX.exe"
(3)展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
删除："Microsoft CSRSS Service"="csrssX.exe"
(4)展开：HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
删除："Microsoft CSRSS Service"="csrssX.exe"
(5)展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
删除："Microsoft CSRSS Service"="csrssX.exe"
(6)展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除："Microsoft CSRSS Service"="csrssX.exe"
(7)展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除："Microsoft CSRSS Service"="csrssX.exe"
(8)展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
删除："Microsoft CSRSS Service"="csrssX.exe"。


3、重启系统，删除system32下的木马文件csrssX.exe（如果此目录下还有aspr_Keys.ini，也请一并删除）。

注意：此后门有注册表监控功能。第1——第3步的杀毒操作顺序不可颠倒。

4、清理hosts文件：
用记事本打开C:\WINDOWS\system32\drivers\etc\hosts，删除其中的下列内容后保存hosts：
127.0.0.1    www.symantec.com
127.0.0.1    securityresponse.symantec.com
127.0.0.1    symantec.com
127.0.0.1    www.sophos.com
127.0.0.1    sophos.com
127.0.0.1    www.mcafee.com
127.0.0.1    mcafee.com
127.0.0.1    liveupdate.symantecliveupdate.com
127.0.0.1    www.viruslist.com
127.0.0.1    viruslist.com
127.0.0.1    viruslist.com
127.0.0.1    f-secure.com
127.0.0.1    www.f-secure.com
127.0.0.1    kaspersky.com
127.0.0.1    kaspersky-labs.com
127.0.0.1    www.avp.com
127.0.0.1    www.kaspersky.com
127.0.0.1    avp.com
127.0.0.1    www.networkassociates.com
127.0.0.1    networkassociates.com
127.0.0.1    www.ca.com
127.0.0.1    ca.com
127.0.0.1    mast.mcafee.com
127.0.0.1    my-etrust.com
127.0.0.1    www.my-etrust.com
127.0.0.1    download.mcafee.com
127.0.0.1    dispatch.mcafee.com
127.0.0.1    secure.nai.com
127.0.0.1    nai.com
127.0.0.1    www.nai.com
127.0.0.1    update.symantec.com
127.0.0.1    updates.symantec.com
127.0.0.1    us.mcafee.com
127.0.0.1    liveupdate.symantec.com
127.0.0.1    customer.symantec.com
127.0.0.1    rads.mcafee.com
127.0.0.1    trendmicro.com
127.0.0.1    pandasoftware.com
127.0.0.1    www.pandasoftware.com
127.0.0.1    www.trendmicro.com
127.0.0.1    www.grisoft.com
127.0.0.1    www.microsoft.com
127.0.0.1    microsoft.com
127.0.0.1    www.virustotal.com
127.0.0.1    virustotal.com
5、运行WINDOWS UPDATE，去微软检查是否有遗漏的系统补丁。

晕死
添加注册表这么多啊

我也准备重新安装ssm

有点难度

引用:

【不言放弃的贴子】晕死 添加注册表这么多啊 我也准备重新安装ssm ...........................

手工杀毒的操作顺序是从下面这张图提供的信息得来的——

附件: 1558472006214154549.jpg

这是什么软件

【回复“帅的被贼砍”的帖子】
TPF2005。
一个性能不错，但设置复杂的英文版防火墙。

引用:

【baohe的贴子】【回复“帅的被贼砍”的帖子】 TPF2005。 一个性能不错，但设置复杂的英文版防火墙。 ...........................

Tiny　Professional Firewall?

英文的那就算了..我也懒得用翻译软件什么的..见识到它的威力了

引用:

【不言放弃的贴子】 Tiny　Personal Firewall? ...........................

是的。

【回复“baohe”的帖子】
TINY安装程序我早就下载了
使用方法也参考过TINY的官方论坛了
只是这是一个Shareware
故也没有安装

版主，按照您的方法做了一遍，仍然经常出现word打开、保存文件时“没有响应”的情况。
我是用killbox删除的csrssx，然后清除注册表。

引用:

【george0317的贴子】版主，按照您的方法做了一遍，仍然经常出现word打开、保存文件时“没有响应”的情况。 我是用killbox删除的csrssx，然后清除注册表。 ...........................

你上面说的问题应另有原因。
我用这个木马感染系统并手工杀掉后，WORD等OFFICE文件的创建、编辑、保存均无问题。

附件: 1558472006214174244.jpg

或者，是xp家庭版或dell本本的原因？我们这里同一批购进的数台dell笔记本（带xp家庭版）最近都出现这个问题，都把人急疯了。
dell公司坚持说他们机器没有问题。