### CSNetManagerXp 木马病毒清除方法
#### 病毒简介
CSNetManagerXp 是一种常见的木马病毒,它通过伪装自身为合法系统进程的方式感染计算机系统。通常这种病毒会利用U盘或其他可移动存储设备作为传播媒介,当用户在未受保护的计算机上插入带有该病毒的U盘时,木马便悄悄地复制到系统中,并通过修改注册表、创建新的系统服务等方式确保其能够在系统重启后自动运行。
#### 病毒行为分析
CSNetManagerXp 的主要行为包括:
1. **复制自身到系统目录**:病毒运行后会将其自身复制到`%systemroot%\system32\`目录下,并命名为`isass.exe`。实际上,这是对正常系统进程`lsass.exe`的模仿,后者位于`C:\WINDOWS\system32\`目录下,并且具有描述“LSA Shell (Export Version)”。
2. **注册服务并开启进程**:病毒会注册一个新的系统服务名为`CSNetManagerXp`,并通过这个服务启动`isass.exe`进程,确保即使在用户关闭了该进程后,也能再次启动。
3. **修改文件关联**:病毒会修改.exe文件的图标,使其看起来像是其他类型的文件,如文档或图片,以此欺骗用户点击执行。
4. **锁定文件夹选项**:病毒还会修改文件夹选项中的“隐藏系统受保护的文件”设置,使其变为不可修改的状态,从而隐藏其踪迹。
5. **添加注册表启动项**:为了实现自动启动,病毒会在注册表中添加相应的启动项,确保每次系统启动时都能自动运行。
#### 清除步骤
对于CSNetManagerXp这类木马病毒的清除,可以通过以下步骤进行:
1. **准备工作**:首先需要下载一个名为`icesword 1.20`的专业安全工具,可以从以下网址下载:`http://www.ttian.net/website/2005/0829/391.html`。此工具能够帮助我们检测并清除隐藏在系统中的恶意软件。
2. **结束恶意进程**:启动`icesword`工具后,在“进程”选项卡中查找名为`isass.exe`的进程,并结束该进程。需要注意的是,正常的系统进程中也有一个名为`lsass.exe`的进程,请不要误操作。
3. **删除注册表项**:接下来,在`icesword`的注册表编辑器中,定位到`HKLM\SYSTEM\ControlSet001\Services\CSNetManagerXp`和`HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CSNETMANAGERXP`两个键值,并将它们删除。
4. **恢复系统设置**:为了确保病毒不会通过修改系统设置来逃避检测,需要调整以下注册表键值:
- `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt`下的`UncheckedValue`值设为0。
- `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden`下的`UncheckedValue`值设为1。
- `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced`下的`ShowSuperHidden`值设为1。
5. **清理残留文件**:需要清理所有与病毒相关的文件。具体操作如下:
- 打开U盘所在的磁盘,检查是否存在任何异常文件。
- 在文件夹选项中取消勾选“隐藏已知文件类型”选项。
- 删除`C:\WINDOWS\system32\isass.exe`文件。
- 删除U盘中所有疑似病毒的exe文件,这些文件可能被伪装成普通文件夹。
通过以上步骤,可以有效地清除CSNetManagerXp木马病毒及其造成的各种影响。同时,也建议定期更新操作系统及安全软件,避免类似问题的发生。
