这个木马有进程守护功能。
1、在SSM的“规则”中添加规则,禁止木马运行;点击面板下方的“应用规则”,此规则生效(见附图)。
2、在SSM的进程监控器中右击C:\windows\winsock\csrss.exe,再在弹出的菜单中点击“终止”。木马进程即被杀死。
3、清理注册表:
(1)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将"SFCDisable"=dword:00000004改为"SFCDisable"=dword:00000002
(2)展开:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
将"NoFolderOptions"=dword:00000001改为"NoFolderOptions"=dword:00000000
(3)展开:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
将"Hidden"=dword:00000001改为"Hidden"=dword:00000000
将"ShowSuperHidden"=dword:00000001改为"ShowSuperHidden"=dword:00000000
将"HideFileExt"=dword:00000001改为"HideFileExt"=dword:00000000
(4)展开:HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows
删除:"load"="C:\\windows\\winsock\\csrss.exe"
(5)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将"Shell"="Explorer.exe C:\\windows\\winsock\\csrss.exe"改为"Shell"="Explorer.exe"
将"Userinit"="C:\\windows\\system32\\userinit.exe,C:\\windows\\winsock\\csrss.exe"改为"Userinit"="C:\\windows\\system32\\userinit.exe,"
(6)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
删除:"C:\\windows\\winsock\\csrss.exe"="C:\\windows\\winsock\\csrss.exe:*:Enabled:Microsoft (R) Windows TCP/IP Socket Driver"
4、找到并删除C:\windows\winsock\csrss.exe及C:\windows\winsock\文件夹。
附件:
1558472006513205031.jpg