crs.exe木马群以及“群殴”办法 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 crs.exe木马群以及“群殴”办法

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

2 / 2 页

跳转页

crs.exe木马群以及“群殴”办法

饭后点心初生襁褓狮帖子:380 注册: 2006-11-14 来自:	发表于： 2007-04-04 16:00 \| 短消息资料字号：小中大 11楼 <shell><Explorer.exe crs.exe> [] 参考斑斑的置顶贴
饭后点心初生襁褓狮帖子:380 注册: 2006-11-14 来自:

BT啃啃初生襁褓狮帖子:37 注册: 2007-03-26 来自:	发表于： 2007-04-04 16:12 \| 只看楼主短消息资料字号：小中大 12楼我是有中这木马,但是SRENG里找不到shell项
BT啃啃初生襁褓狮帖子:37 注册: 2007-03-26 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-04-04 17:15 \| 短消息资料字号：小中大 13楼【回复“BT啃啃”的帖子】用IceSword手工杀毒。 1、禁止进程创建。 2、结束下列病毒进程: [PID: 3156][C:\WINDOWS\system32\crs.exe] [PID: 2932][C:\WINDOWS\wsdttrs.exe] 3、卸除下列进程中的病毒模块（如果在WINDOWS模式下卸不掉，请到安全模式下搞）： [PID: 460][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\CAC03559.DLL] [Microsoft Corporation, ] [PID: 484][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\CAC03559.DLL] [Microsoft Corporation, ] [PID: 528][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\CAC03559.DLL] [Microsoft Corporation, ] [PID: 540][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\CAC03559.DLL] [Microsoft Corporation, ] [PID: 688][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\CAC03559.DLL] [Microsoft Corporation, ] [PID: 748][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\CAC03559.DLL] [Microsoft Corporation, ] [PID: 832][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\CAC03559.DLL] [Microsoft Corporation, ] 4、直接结束下列被病毒模块插入的进程： [PID: 1448][C:\WINDOWS\Explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 1596][d:\program files\rising\rfw\RfwMain.exe] [Beijing Rising Technology Co., Ltd., 5, 0, 0, 70] [PID: 2140][D:\Program Files\360safe\safemon\360Tray.exe] [奇虎网, 3, 2, 1, 1001] [PID: 2224][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 3508][D:\TDDownload\sreng2\SREng.EXE] [Smallfrogs Studio, 2.4.12.806] 注意：IceSword进程也会被下列病毒模块插入： [C:\PROGRA~1\ohgy\bxwo.dll] [, 1, 0, 0, 6] [C:\PROGRA~1\ohgy\gsyt.dll] [ , 1, 0, 0, 6] [C:\WINDOWS\system32\cmdbc.dll] [N/A, ] [C:\WINDOWS\system32\winform.dll] [N/A, ] 请按上面的方法卸除。 5、删除下列注册表内容： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run分支下的： upxdnd msccrt HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支下的： CAC03559 6、删除下列文件： C:\WINDOWS\system32\crs.exe C:\WINDOWS\system32\CAC03559.DLL C:\PROGRA~1\ohgy\bxwo.dll C:\PROGRA~1\ohgy\gsyt.dll C:\WINDOWS\system32\msccrt.dll C:\WINDOWS\system32\winform.dll C:\DOCUME~1\user\LOCALS~1\Temp\Gjzo0.dll C:\WINDOWS\system32\cmdbc.dll C:\WINDOWS\system32\ntmsusr.dll C:\WINDOWS\system32\wsdttrs.dll C:\WINDOWS\wsdttrs.exe 7、取消IceSword的“禁止进程创建”。用SRENG编辑下列注册表项： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon <shell><Explorer.exe crs.exe> 去掉shell项中的crs.exe，点击“确定”。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

<<上一主题|下一主题>>

12

2 / 2 页

跳转页

页面顶部

Powered by Discuz!NT