【木馬】Backdoor.Win32.Agent.sr (csiss.exe 與 url.exe)移除方法



贊助商連結


albertwa
2006-12-27, 11:18 PM
以下是我自己的解毒經驗以及網路搜尋的交互說明與心得。
希望可以讓有需要的網友得到解決。

這個病毒似乎現在非常猖狂,且許多防毒軟體皆束手無策,
大多抓的到,卻無法成功移除。
本人及身旁朋友及公司等皆有零星災情,網路搜尋相關資料
也少有完整殺毒說明,再花了許多時間殺毒後
心想必須發表心得以利廣大網友。
本人非病毒專家,所以若有網友還有更快更好的方法
也請大家多多發表。
====================================
Backdoor.Win32.Agent.sr (csiss.exe 與 url.exe)移除方法
順序可能有些問題,總之每個方法皆試試看。

1. 到Regedit底下搜尋(用regedit自己的"搜尋”工具)有關”csiss.exe與url.exe的關鍵字與機碼”找到後想辦法移除它,總之讓該機碼失去原本的作用,因為既使是在安全模式下仍然會遭到移除的阻擋,所以多試幾次看看。

2. 用Dr.Web® Anti-virus就可以抓到與殺毒 http://www.drweb.com/
(強烈建議在安全模式下使用,以免與其他程式及防毒軟體相衝尤其是卡巴,在正常模式下安
裝,裝完後到更改啟動欄位,將與該檔有關的啟動值刪除,重開機後直接進入安全模式,完成
殺毒後,也請直接在安全模式下移除Dr.Web)



3. 到C:\windows\system32\底下刪除以下幾個檔案(記得開啟”顯示隱藏檔”)
windata.exe
url.exe
csiss.exe
Scryptnat.dll
。。。
尤其是”windata.exe”每次開機都會產生url.exe和csiss.exe,所以一定要一起根除。

特別注意:每次刪除前請用右鍵觀看該檔的”內容”>”版本”,去點選每一個值的宣告內容,這樣可以找到與該檔相互連結與關連的檔案,並且記下檔名刪除之。
有趣的一點,這個病毒應該是大陸貨,因為在內容宣告中可以看到簡體字,並且連”語言”的欄位亦是出現”中文(PRC)”

4.最後再到
程式集>附屬應用程式>系統工具>清理磁碟>
選C槽>更多選項>系統還原>清理

這是自己拜Goooooooogle大神後的操作心得,有一點凌亂,也有一點不清楚,主要是殺毒期間真的卯起來搞,所以有一些過程自己也不清楚是怎麼做到的,僅將有記憶的過程寫成文章供大家參考,希望可以幫助有需要的人。

以下是網路搜尋到的大陸原文(直譯成繁體,另外U盤就是USB卸除式硬碟、隨身碟)

2.0 逸仙時空:電腦病毒 link0 電腦病毒 zh-CN Wed, 20 Dec 2006 15:25:04 CST 180 link1
逸仙時空:電腦病毒 link2 - wmen link3

【 原文由 wmen 所發表 】 簡介:該病毒通過U盤 (卸除式硬碟) 傳播,感染可執行檔,在校內已造成大面積感染,保守估計校內20%學生電腦,50%教室電腦中毒,請近期使用過U盤傳送檔的同學注意
來源:Maxcell East(http://east.maxcell.com.cn/) 作者:食蘋果
原文:流行病毒告警之"~.pif"(http://east.maxcell.com.cn/article/2006/1217/article_88.html) 該病毒病毒體檔為~.pif,瑞星命名為Win32.AdClicker.a,其他殺毒軟體暫時無法查出 病毒影響:該病毒通過U盤(卸除式硬碟)傳播,感染可執行檔,在校內已造成大面積感染,保守估計校內20%學生電腦,50%教室電腦中毒,請近期使用過U盤(卸除式硬碟)傳送檔的同學注意 中毒特徵:程式圖示變形,啟動項出現項名“~”,U盤出現pagefile.pif,出現C:\windows\system32\drivers\lsass.exe檔(出現以上任1項即為中毒) 針對~.pif病毒,瑞星18.53.30版本以上已可將其殺除,其他殺毒軟體暫時無法查出,請懷疑自己中毒的同學到瑞星免費線上查毒檢查 link4 已中毒同學請到http://east.maxcell.com.cn/down/2006/1215/soft_168.html下載瑞星殺毒軟體殺除

本文引用地址:http://east.maxcell.com.cn/article/2006/1217/article_88.html ]]> Mon, 18 Dec 2006 13:04:26 CST [email protected] (wmen) link5 false [Virus].[M.1166418266.A] - himandy link6

U盤(卸除式硬碟)上有兩個文件:Recycled.exe和AUTORUN.INF是病毒源 卡巴和avast都顯示出url.exe和csiss.exe兩個進程,但刪掉之後,重啟還是出現,安全模 式重啟也出現 上網一搜,發現有人碰到同樣的情況。解決辦法是把windows\system32文件夾裏面的以下 隱藏檔刪掉: windata.exe,url.exe,csiss.exe,Scryptnat.dll 因為windata.exe沒次開機都會生產url.exe和csiss.exe,所以一定要一起根除。還有第5 個檔忘了名字,但修改時間是一樣的,好像是2003-3-27 9:00。在我同學的vista系統 上更容易區別,因為vista的系統檔沒有2003年的。 病毒刪掉之後,現在正常了 祝大家好運

]]> Mon, 18 Dec 2006 11:11:45 CST [email protected] (himandy) link7 false
[Virus].[M.1166411505.A]