1、感染系统后创建的木马文件:
C:\windows\system32\SVKP.sys
C:\windows\system32\csrssrs.exe
2、注册表更改:
在:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下添加:
Win32 Csrss Service For Windows
在:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\下添加:
Win32 Csrss Service For Windows
在:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\下添加:
Win32 Csrss Service For Windows
在:HKCU\Software\Microsoft\Windows\CurrentVersion\Run\下添加:
Win32 Csrss Service For Windows
在:HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\下添加:
Win32 Csrss Service For Windows
在:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\下添加:
LEGACY_SVKP
在:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Enum\Root\下添加:
LEGACY_SVKP
在:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002\Enum\Root\下添加:
LEGACY_SVKP
在:HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\下添加:
Win32 Csrss Service For Windows
在:HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\下添加:
Win32 Csrss Service For Windows
在:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下添加:
SVKP("ImagePath"=\??\c:\windows\system32\SVKP.sys)。
3、查杀前所见:
进程列表中可见csrssrs.exe进程(指向C:\windows\system32\csrssrs.exe,见图1)。
插入OPERA浏览器进程。
此木马有进程守护功能(见图2。
因此,手工查杀的工具最好采用IceSword。
4、查杀步骤:
(1)在IceSword的 设置 中勾选 “禁止进程创建”、“禁止协件功能”。
(2)结束病毒进程csrssrs.exe。
(3)删除病毒文件:
C:\windows\system32\SVKP.sys
C:\windows\system32\csrssrs.exe
(4)清理注册表:删除病毒添加的上述注册表项。
图1
