今天陆续接到一些网友反映开机进不了桌面等问题 察看sreng日志发现[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell>被改成了<Explorer.exe crs.exe>

查找问题的根源发现了一个C:\Windows\system32\crs.exe的进程

该病毒通常会伴随之前说过的那一系列木马群同时出现

由于在上学，无法对病毒进行测试，加之卡卡论坛的baohe 对其做了分析，所以直接转来：

这是中了某些木马下载器之后下载的N个木马之一。这个木马并不难杀。

中木马群者另当别论。其它木马没杀前crs.exe进程可能无法结束。
这个帖子只是针对crs.exe一个木马写的。我没中过那么热闹的木马群，因此无法写“怎样群殴”的方法。抱歉了！

crs.exe是通过反复不断地强迫进程终止来“关闭”瑞星的。结束crs.exe进程，删除crs.exe文件以及其注册表项后，瑞星可以开启。
crs.exe的杀毒流程：

1、结束crs.exe进程。
2、删除它释放的文件（见图1）。
3、删除它添加的注册表内容（见图2）。

需要强调的是：删除木马加载项时，务必按图2操作，不要将整个shell项删除。

图1

图2