瑞星卡卡安全论坛

crs.exe样本由网友keigo提供。



这是中了某些木马下载器之后下载的N个木马之一。这个木马并不难杀。

中木马群者另当别论。其它木马没杀前crs.exe进程可能无法结束。
这个帖子只是针对crs.exe一个木马写的。我没中过那么热闹的木马群，因此无法写“怎样群殴”的方法。抱歉了！

crs.exe是通过反复不断地强迫进程终止来“关闭”瑞星的。结束crs.exe进程，删除crs.exe文件以及其注册表项后，瑞星可以开启。
crs.exe的杀毒流程：

1、结束crs.exe进程。
2、删除它释放的文件（见图1）。
3、删除它添加的注册表内容（见图2）。

需要强调的是：删除木马加载项时，务必按图2操作，不要将整个shell项删除。

图1

附件: 155847200744154417.jpg

图2

附件: 155847200744154445.jpg

Study

学习了~
有个问题就是怎么判断哪些dll是这个病毒释放的呢?
感觉通过搜索创建日期来判断不是很准确,有的病毒可以修改创建时间的.

ntmsusr.dll无法删除

crs.exe在进程里关不掉啊

要怎么关?

学习了~
有个问题就是怎么判断哪些dll是这个病毒释放的呢?
感觉通过搜索创建日期来判断不是很准确,有的病毒可以修改创建时间的.

【回复“BT啃啃”的帖子】
你的问题远远没这么简单。
已经回复你的帖子。去看吧。

学习当中

虽然是去掉了,但是注册表还是有crs.exe的

阅

建议那位老兄有木马群的病毒包给猫叔发一个~ 嘿嘿~

引用:

【瓶子里没有水的贴子】建议那位老兄有木马群的病毒包给猫叔发一个~ 嘿嘿~ ………………

群殴的办法也有一个：
http://forum.ikaka.com/topic.asp?board=28&artid=8292813

只是根据他的日志提出的。没有亲手实践，不好评价效果。等他的反馈信息吧。

猫叔,我的问题你还没回复我啊,你收到我给的样品没?我前天发你邮箱来着.....麻烦你看到后给个回复,谢谢了!~

引用:

【逍遥浪子45的贴子】猫叔,我的问题你还没回复我啊,你收到我给的样品没?我前天发你邮箱来着.....麻烦你看到后给个回复,谢谢了!~ ………………

没有收到你的邮件啊
重新发吧

飘过！！

猫叔,你是邮箱是baohelin@yahoo.com.cn吧,已经再次发了,如果依然没收到,难道是我不会发邮件?那么请发个邮件给我吧
xiaoyaolangzi45@sina.com
再次感谢您的热心回复,谢谢了!~

请版主看看3楼的问题,谢谢了.

引用:

【lxmxn的贴子】请版主看看3楼的问题,谢谢了. ………………

这个问题不太容易准确回答你。
我的办法：
1、凭经验。
2、解剖样本，用工具监视（如Tiny、SSM等）。

猫叔最近发贴很频繁啊，最近不忙？

【回复“baohe”的帖子】
首先多谢baohe版主的回复;

我搜索了一下,你所说的这个tiny是不是指Tiny Personal Firewall?貌似是一个维护系统的好工具.

猫叔，我现在蛮想看猫叔进生群殴
哈哈

顶一下，这次没有用冰刃就可以把
crs.exe收拾掉。。

好文章!!    学习!!!!

学习了，谢谢斑竹

引用:

【baohe的贴子】crs.exe样本由网友keigo提供。 这是中了某些木马下载器之后下载的N个木马之一。这个木马并不难杀。 中木马群者另当别论。其它木马没杀前crs.exe进程可能无法结束。 这个帖子只是针对crs.exe一个木马写的。我没中过那么热闹的木马群，因此无法写“怎样群殴”的方法。抱歉了！ crs.exe是通过反复不断地强迫进程终止来“关闭”瑞星的。结束crs.exe进程，删除crs.exe文件以及其注册表项后，瑞星可以开启。 crs.exe的杀毒流程： 1、结束crs.exe进程。 2、删除它释放的文件（见图1）。 3、删除它添加的注册表内容（见图2）。 需要强调的是：删除木马加载项时，务必按图2操作，不要将整个shell项删除。 图1 ………………

这些天好多是关于这个东西的日志
而且很很是热闹
斑竹您还是以身试险后
写个群欧的出来吧
太热闹了回日志的人很麻烦 .....

学习啊，原来真的是山外有山啊

crs.exe释放的文件杀不掉啊!我也中这种毒了!请问高手我该怎么办呢?

对阿~怎么才知道哪个crs.exe的释放文件是那些啊~我也不知道~我自己的电脑也是中了这个~我在注册表里面，把哪个键值改回来了 ~但是系统还是很慢~那些释放的文件我不知道怎么找~估计是那些文件影响的~

同样的病毒
重新安装依然存在!
求一个解决的办法!
谢谢