清除最新很头疼的木马的方法

nangem · 发表于 2011-3-21 12:56

最近让一个木马叫downloader.win32.agent.fzoc折腾的够呛，浪费了我很多时间，最终还是找到了清除方法。我把我的清除过程告诉大家，希望大家能省点时间多关心地信网。

该木马17日卡巴查到，提示必须启动清除危险威胁（spsrv.exe，有时是Update.exe，有时是Walcome.exe），每次重新启动，这个进程就变为另外一个进程。自此机器开始死循环，每次启动均提示需要启动清除。

没办法，上网上搜，倒是搜到了好多东西，但是都无效。最后只能自己想办法，一遍一遍试。每次找到上述文件，查看文件属性，发现该文件是一个叫厦门翱翔通讯技术有限公司北京分公司的产品，而且原文件名叫Autoinstall.exe。三个文件这些属性相同。既然杀不掉，在启动项里也找不到，肯定是在服务项里。后来受到网上一位朋友的启发，他用的是XP系统，他碰到了类似的情况，提到了服务项MSPSRV2服务。于是找到这个服务，禁用，停止。然后清理上述这些文件，同时清理垃圾箱。再重启，一切OK。总算把他们清除干净了。哎呀，它让我浪费了两个整天的时间。气愤，打倒木马制造者！！！

这个木马是通过MSPSRV2服务来生成上述三个执行文件，伪装成系统文件的样子。然后再后台下载安装不知道什么东西，据网上说，会安装PPTV之类的软件，有的还说是下载木马。我的到没发现它后台安装什么东西。不过在卡巴监控的文件列表里显示，他下载了200多兆的东西，好吓人啊，现在我还在查给我安装了什么东西，目前为止，还没有发现，还在努力中。而且一般的杀毒软件包括专门的木马杀毒软件都无法查到。怪异的是我卡巴安全部队查到了，可是第二天就查不到了。后来查看卡巴的防火墙，居然上述文件列在信任表里，厉害！！！（后来我全把他们移到不信任组中，不知道是不是也起些作用就不得而知了）。

我把它的清除方法总结成两步，希望大家碰到了轻松除掉它：

1 找到服务MSPSRV2服务，关掉并禁用。同时根据服务提示的路径删除该服务文件(Lasse.exe)（注意此项是关键）
2 停止spsvr.exe或walcome.exe或update.exe，删除机器里这些文件。
一般在C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Templates下，
还有C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files目录下。

另外，如果你的杀毒软件查不到这个木马，你可以在你的进程表里查是不是有上述三个进程和MSPSRV2的进程，如果有你要小心了！！！

完成了上述清理工作，查一下你杀毒软件中的防火墙，查上述文件是否列在信任组里，如果有移到不信任组。

以后要特别注意哪些不明、怪异的服务，这些服务肯定有问题。