Chinaunix

标题: 求救啊,这个病毒(spyware)快烦死我了...请老大们解救一下啊!! [打印本页]

作者: yangmao_506 时间: 2005-12-01 20:08
标题: 求救啊,这个病毒(spyware)快烦死我了...请老大们解救一下啊!!
我前两天上网,不知道点了什么,就弹出该提示

"Your computer is infected!

  windows has detected spyware infection.
  It is recommecnded to use special antispyware tools to prevent data loss.
  Windows will now download and install the most up-to-date antispyware for you .

  Click here to protect your computer from spyware"

该提示显示的是一个小windows 升级图表,小红叉叉一闪一闪. 我当时没有下载.后来发现这个东东
一开机就运行,而且老烦老烦...不断的弹出来.实在是忍受不了了,我就把注册表里面的所有和"spy"
相关的表项都删除了,可是重起之后,发现这个家伙还在，而且只要一点就试图连接spyware.com的
网站. 被逼无奈之下,我按照其提示将microsoft的anti-spyware的反间谍软件装上(MicrosoftAntiSpyware1.0.701),可是装上去之后,我重起,发现这个东东仍在,现在小弟是被其折腾的奄奄一息了,还请各位老大和
各位高手帮忙,救小弟与水火之中啊.................................

作者: ayazero 时间: 2005-12-02 00:52
不光是注册表，所有启动项，关键是可能你删除的不是本体，程序可能是多线程监视和复制的

作者: bingosek 时间: 2005-12-02 01:30
你去google一下看看怎么弄掉

作者: 枫影谁用了 时间: 2005-12-02 13:08

原帖由 yangmao_506 于 2005-12-1 20:08 发表
我前两天上网,不知道点了什么,就弹出该提示

"Your computer is infected!

windows has detected spyware infection.
It is recommecnded to use special antispyware tools to preven ...

这个病毒名是csrss好像是！我前天帮客户搞过！

还有在msconfig要删除！你到安全模式删除即可。

作者: kaichun 时间: 2005-12-02 16:31
你那个应该是病毒性质的东西，还是研究杀毒为妙。

作者: killads 时间: 2005-12-03 16:50
先升级病毒库，用杀毒软件杀呀杀呀杀！这是对普通user最简单的方法

作者: charlesc 时间: 2005-12-03 17:39
4楼的，我中的是CSRSS，杀了很多次，也没有杀干净。
CSRSS.EXE是没有了。但注册表中有CSRSS总是要运行，清除干净后还是在启动还是有。当然MSCONFIG，是首先去掉的。

但不知道你的详细的解决办法！

谢谢

作者: 枫影谁用了 时间: 2005-12-03 17:43

原帖由 charlesc 于 2005-12-3 17:39 发表
4楼的，我中的是CSRSS，杀了很多次，也没有杀干净。
CSRSS.EXE是没有了。但注册表中有CSRSS总是要运行，清除干净后还是在启动还是有。当然MSCONFIG，是首先去掉的。

但不知道你的详细的解决办法！

谢谢

安全模式查找这个文件！删除。。注意日期
删除注册表相关字
msconfig删除启动项
即可。

作者: charlesc 时间: 2005-12-03 18:28
8楼兄弟，我按照你说的没有，正常启动后还是在注册表中有c:windows/csrss.exe运行的这样。
当然csrss.exe已经删除。

其实，我发现在MSCONFIG中有csrss.exe运行，就开始在msconfig/regedit就开始删除，同时把csrss.exe删除了。
但就是注册表中这个东东，就是不知道在哪里还有连接！

谢谢

作者: rainballdh 时间: 2005-12-03 19:37

原帖由 charlesc 于 2005-12-3 18:28 发表
8楼兄弟，我按照你说的没有，正常启动后还是在注册表中有c:windows/csrss.exe运行的这样。
当然csrss.exe已经删除。

其实，我发现在MSCONFIG中有csrss.exe运行，就开始在msconfig/regedit就开始删除，同时把c ...

直接在注册表搜索带RUN键值

作者: charlesc 时间: 2005-12-03 21:16
在RUN没有找到

作者: 下辈子做猪 时间: 2005-12-04 20:33
哈哈,跟我前几天差不多,我用HijackThis修改,结果一改动注册表,马上就被改回原值,(有装瑞星注册表监控,马上出提示) 到安全模式下,还是不行,我估计是某个进程在监视,一但被修改,就立刻改回来.想把它kill掉,结果ctrl+alt+del调不出任务管理器,提示被系统禁用!tmd,只好又去修改组策略.后来客户烦了,说你重装的了.只好重装了事.

作者: charlesc 时间: 2005-12-04 22:37
兄弟不是不可以从装，但太麻烦了。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)