病毒文件:crs.exe
病毒特征:在进程中结束该进程后马上再生
清除步骤:SREng的下载及使用方法 Iceword v1.20下载及简单介绍
1、打开SREng,备用;
2、打开IceSword禁止进程创建:(文件——设置——禁止进程创建)
3、用IceSword结束病毒进程:C:\WINDOWS\system32\crs.exe
4、用IceSword删除病毒文件:C:\WINDOWS\system32\crs.exe
5、用SRE修复注册表: 将shell的键值由Explorer.exe crs.exe改为Explorer.exe
6、取消IceSword的“禁止进程创建”。
7、重新启动计算机,清除完毕。
====================================================
解决方法
先说说该文件在没有其他相关文件的情况下不断的创建的主要原因,打开注册表(开始运行regedit),依次点开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,然后找到Shell,看到右边有Explorer.exe crs.exe,如此,启动时候Explorer.exe就跟Crs.exe绑定在了一起,通过Explorer.exe,进程Csr.exe,文件/windows/system32/Csr.exe互相检查其存在性,不断的创建文件
(由于网友的具体情况发现该病毒跟4199恶意软件存在某种关联,以及扩散的缘故,故下面一段有修改)
首先进入安全模式,按Ctrl+Alt+Del打开WINDOWS任务管理器,找到crs.exe,explorer.exe,关闭这两个进程(注意,要先关explorer.exe),这时可以发现crs.exe不再继续加载,那么点文件,新建任务,输入explorer.exe,打开桌面。
第二步是开始,搜索,输入crs,注意要打开搜索系统文件的项目,另外就是不带EXE.这里也许可以查出来一些网页,也删掉,可以说是全部删完,然后搜索user.dll,注意这里带.dll的,有多少个也全部删除(只删除user.dll)
第三步是注册表,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win
