瑞星卡卡安全论坛
迷你超音速 - 2006-9-8 13:14:00
我正在清理注册表,没有想象的那么简单
这个csrss和其他朋友的cmd,cpu占有100%,机器不能关机重启是一个病毒,只是我们把重启修复了,cmd禁止了,你删cmd试试,10秒之内就再生,注册表LEGACY_项目没工具根本就删不掉,我是用冰刃删的,全盘日期搜索,我把9月1日以后的可疑文件全删了,注册表里还没找到和下载相关的,还我机器清白任重道远啊
fzzfzz - 2006-9-8 21:36:00
相关的文件都被删除,注册表相关的项也大部分被清理掉.
今天观察了一天,没有发现csrss.exe病毒回潮,系统工作正常.应该说是病毒被清除了.
回个帖,向baohe 斑竹报告一下.
baohe 斑竹和其他高手花费了很多时间关注此案,帮助分析,提供了切实有效的查找思路,所以此案才能告破.为此表示感谢!
另外,在破案过程中也学到了不少东西,对此,也表示感谢!
fzzfzz - 2006-9-8 21:38:00
相关的文件都被删除,注册表相关的项也大部分被清理掉.
今天观察了一天,没有发现csrss.exe病毒回潮,系统工作正常.应该说是病毒被清除了.
回个帖,向baohe 斑竹报告一下.
baohe 斑竹和其他高手花费了很多时间关注此案,帮助分析,提供了切实有效的查找思路,所以此案才能告破.为此表示感谢!
另外,在破案过程中也学到了不少东西,对此,也要表示感谢!
baohe - 2006-9-8 21:43:00
【回复“fzzfzz”的帖子】
祝贺你!!
baohe - 2006-9-8 21:43:00
【回复“fzzfzz”的帖子】
祝贺你!!
fzzfzz - 2006-9-8 23:37:00
谢谢baohe !
*(^_^)*
PS.
你那只猫很有趣!打上baohe 的logo 就更有个性了.*(^_^)*
我怎么找也看不到我那"报告病毒清除"的那个回帖,真奇怪!
Septemda - 2006-9-9 17:49:00
我也中了这个毒。。搞不定,还好有GHOST备份
帖子好长,怎么不整理一下完整的杀毒过程。。
taylor05771 - 2006-9-11 19:46:00
锁定 通讯地址为IP=218.64.170.2
通讯端口为 UDP 6210,6100
其余在 分析
taylor05771 - 2006-9-11 20:37:00
大家要注意这么一个文件
sysoption.bin
这里面的代码是
[Regedit]
AutoStart=0
StartMin=0
MinToTray=0
CloseMin=1
AutoTask=0
SingleDown=1
ShowFlash=1
PromptExit=1
FirstRun=1
UnionSiteId=0
[Connect]
DownTaskNum=10
UpTaskNum=5
DownThreadNum=5
ReTryNum=99
MaxUpSpeed=-1
MaxDownSpeed=-1
MainServerIP=218.64.170.2
MainServerPort=6210
NATType=0
UnLimitRetry=0
WaitTime=3
UDPPort=6100
[TaskSet]
AddTaskPrompt=1
CheckDiskSpace=1
DelTaskAndBadFile=1
DelTaskWhenFinish=1
DelTaskPrompt=1
FinishHint=1
FileExistDo=1
FileHashCheck=1
[DownDir]
BlockSize=0
DefaultDownDir=c:\Downloads\
[MonitorSet]
ListenClip=1
ClipFileType=EXE ISO ASF AVI MP3 MPEG MPG MPGA RA RAR RM RMVB TAR WMA WMP WMV ZIP
ListenIEURL=1
IEFileType=EXE ISO ASF AVI MP3 MPEG MPG MPGA RA RAR RM RMVB TAR WMA WMP WMV ZIP
[LastDate]
Data=2006-9-11 19:25:02
[drive]
c:\=1
小の猫仔 - 2006-9-11 22:18:00
我想结束csrss.exe的。但是系统告诉我:该进程为关键系统进程,任务管理器无法结束进程。。怎么办啊。删也不能删
baohe - 2006-9-11 22:23:00
| 引用: |
【小の猫仔的贴子】我想结束csrss.exe的。但是系统告诉我:该进程为关键系统进程,任务管理器无法结束进程。。怎么办啊。删也不能删
……………… |
有没搞错啊?
看清楚路径啊!
这里说的是“inetsrv文件夹中的csrss.exe”。你不要动“system32文件中的csrss.exe”,那是系统核心程序!
羽当以化 - 2006-9-11 22:27:00
偶也在同学的机子里发现了
挺顽强的,结果重做系统了
拿到自己机子里就是访问网络
而且很容易就删了
baohe - 2006-9-11 22:29:00
| 引用: |
【羽当以化的贴子】偶也在同学的机子里发现了
挺顽强的,结果重做系统了
拿到自己机子里就是访问网络
而且很容易就删了
……………… |
我一直认为:这个csrss.exe只是个马仔。老板——我们并没见到。
羽当以化 - 2006-9-11 22:31:00
我这个建立的文件好像和你们的略有不同
今天上报了
卡巴已经报了
但有的居然说不是毒
郁闷
westbeck - 2006-9-13 0:37:00
很认真看完了全部的贴
学到了很多...
引用猫叔的一句话:我一直认为:这个csrss.exe只是个马仔。老板——我们并没见到。
一开始我也是这样判断的(在一楼),csrss.exe并不是老大,还有幕后黑手,从猫叔分析它的行为可以看出
小跑追追 - 2006-9-13 0:48:00
我的天哪,我的金山对CSRSS.EXE也一直在不断的查杀,我快疯了!!有没完整的查杀步骤,我好照着做啊!?
小の猫仔 - 2006-9-13 13:58:00
我的inetsrv文件夹中的csrss.exe也不会在出现了。弄了2天了。请问还需要删除些什么文件么?注册表还有需要删除的键值么
tzms - 2006-9-20 14:45:00
这个病毒还有人关注嘛?我也是中了这个病毒,按照楼主(包括所有搜索来的结果)做法做了,可是不中用,病毒还是会继续
自动在windows\system32目录里生成inetsrv,update目录,里面包含病毒dll,服务里面已经停止并禁用COM+ Event System Helper服务重启一下,又会恢复。在正常模式下无法删除inetsrv目录,用wholookme查找出的锁定者是winlogon.exe,但是在进程中无法终止winlogon.exe(关键进程),并且搜索过,只有在system32目录里才有winlogon.exe,此文件应该是windows标准进程,并非病毒。
可见这个csrss病毒,另有宿主,并且能够控制winlogon进程。不简单
因为笔记本里面并没有做备份,所以无法恢复系统,再来讨教2招
银色镇魂歌 - 2006-10-12 9:32:00
看完之后,深受启发。晚上回去慢慢研究。。
昨天不幸中招,WOW号居然被盗了,TNND。。
不过这下倒是可以安心跟木马病毒做斗争了,没那么多顾虑了。。
© 2000 - 2026 Rising Corp. Ltd.