致“fzzfzz”和“ 迷你超音速”——关于inetsrv文件夹中的csrss.exe bbs.ikaka.com

baohe - 2006-9-5 18:42:00

【说明】收到你发的样本。
这个样本比较怪。解压运行后，csrss.exe只能进入当前用户文件夹中运行。另外一怪是：未见其添加常见的启动项。结果是：重启后csrss.exe不能运行（我的WINDOWS防火墙是关闭的，不知是否与此有关）！直接删除病毒文件，清理注册表了事。
本查杀流程可能与被动中招者有出入，仅供参考。
查杀流程：
一、结束病毒进程csrss.exe（DLL文件图标）
二、清理注册表：

1、HKEY_CLASSES_ROOT\CLSID\
删除：{881F6F06-4620-4070-AD05-BD77D4C56661}

2、HKEY_CLASSES_ROOT\Interface\
删除：{468262B9-8400-4A49-B2E5-CE8550EB1347}

3、HKEY_CLASSES_ROOT\
删除：SimFlyyu.SysBackHelper

4、HKEY_CLASSES_ROOT\TypeLib\
删除：{F63B08CD-3645-474F-8872-BA4293251FF9}

5、HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\
删除：.fy
6、HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\
删除：.rm
7、HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Extensions\
删除：.rmvb

8、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
删除："C:\\Documents and Settings\\baohelin\\Local Settings\\Temp\\Rar$EX00.554\\csrss.exe"="C:\\Documents and Settings\\baohelin\\Local Settings\\Temp\\Rar$EX00.554\\csrss.exe:*:Enabled:Generic Hosts for WinService"

三、删除下列文件（图）：

附件: 155847200695183445.jpg

westbeck - 2006-9-5 18:58:00

很奇怪...
猫叔,这文件可能不是这病毒的主体

fzzfzz - 2006-9-5 20:17:00

谢谢baohe斑竹.
注册表还没有清理完，清理过的各个项又恢复了。进程也恢复了。是不是还另有病毒文件？
intensrv中的其他两个文件会有关系吗？

fzzfzz - 2006-9-5 20:20:00

谢谢baohe斑竹.
注册表还没有清理完，清理过的各个项又恢复了。进程也恢复了。是不是还另有病毒文件？
inetsrv中的其他两个文件会有关系吗？

fzzfzz - 2006-9-6 8:43:00

早上开机发现有新的情况.报告一下,请baohe斑竹看看,希望斑竹能继续关注我机器里的这个该死的病毒csrss.

发现：
1．
用Hijackthis发现有异常的BHO
BHO: Sun Java2 - {C61A70F3-505E-4B90-916F-627A8706B4BC} - c:\WINDOWS\system32\COMBoHEvent.dll
用其他软件也发xi现这个Sun Java2 浏览器扩展对象
该文件属性无版本号，无公司名。
用Hijackthis 修复该BHO项并删除文件COMBoHEvent.dll后，都会自动恢复。

2．
任务管理器和procexp中发现有c:\WINDOWS\system32\cmd.exe进程，
根据它属性中的的创建日期和公司，可认为这个cmd.exe文件没有问题。但是这个进程出现不正常.

3．
异常的csrss.exe进程大摇大摆地自动恢复了。

请斑竹继续多多关注.

fzzfzz - 2006-9-6 8:45:00

fzzfzz - 2006-9-6 8:57:00

4.发现csrss动了我机器中的端口

用CurrPorts检查结果:
==================================================
进程名称 : csrss.exe
ID : 1052
类型 : UDP
本机端口 : 6100
本机端口类型 :
本机地址 : 0.0.0.0
远程端口 :
远程端口类型 :
远程地址 :
连接状态 :
进程路径 : C:\WINDOWS\system32\inetsrv\csrss.exe
产品名称 :
文件描述 : Generic Hosts for WinService
文件版本 : 1.0.0.0
公司 : Microsoft
进程创建时间 : 2006-9-6 7:54:36
用户名称 : NT AUTHORITY\SYSTEM
进程服务 :
==================================================

baohe - 2006-9-6 11:13:00

引用:

【fzzfzz的贴子】4.发现csrss动了我机器中的端口

用CurrPorts检查结果:
==================================================
进程名称 : csrss.exe
ID : 1052
类型 : UDP
本机端口 : 6100
本机端口类型 :
本机地址 : 0.0.0.0
远程端口 :
远程端口类型 :
远程地址 :
连接状态 :
进程路径 : C:\WINDOWS\system32\inetsrv\csrss.exe
产品名称 :
文件描述 : Generic Hosts for WinService
文件版本 : 1.0.0.0
公司 : Microsoft
进程创建时间 : 2006-9-6 7:54:36
用户名称 : NT AUTHORITY\SYSTEM
进程服务 :
==================================================
………………

这个csrss.exe用的还不止6100一个端口。
而且，还有一个特点：一旦允许它访问网络后（哪怕只是一次），即使你结束了这个csrss.exe进程，它依然不停的访问网络。访问的IP地址多个，开的端口也有变换。
这个木马通过将自身加入到WINDOWS防火墙的“例外”中达到偷偷访问网络的目的（图）。即使这样，我的Tiny依然可以发现并拦截它。
今天再次试验了另一位网友发来的样本，结果与这个帖子叙述的现象一样。

附件: 155847200696110541.jpg

baohe - 2006-9-6 11:19:00

引用:

【fzzfzz的贴子】谢谢baohe斑竹.
注册表还没有清理完，清理过的各个项又恢复了。进程也恢复了。是不是还另有病毒文件？
inetsrv中的其他两个文件会有关系吗？
………………

建议你用SSM禁止其.exe和dll运行，关闭WINDOWS的防火墙。重启后再清理注册表。
试试看。

mopery - 2006-9-6 11:38:00

猫叔转到我邮箱看看..

迷你超音速 - 2006-9-6 12:21:00

这个病毒每5分钟扫描一次，我从它自身的批处理中学了一句“net stop comeventhelper”终止其服务，继而删之，病毒停止扫描
再有csrss是通过srvhost调用，去写service相关项，因涉及系统服务不敢轻易更改，大家如有干净系统可做比较，具体添加了哪些键。

迷你超音速 - 2006-9-6 12:24:00

另，cmd更名后，立即产生新的cmd.exe，不知是否是病毒一部分

迷你超音速 - 2006-9-6 12:27:00

希望能尽早出台标准彻底解决方案

fzzfzz - 2006-9-6 15:31:00

刚下了SSM,查看了csrss.exe 的模块列表,没有发现和它同时加载的可疑DLL文件,就修改了规则,阻止csrss.exe,设置了自动启动,重起机器.

在查看注册表的时候,发现:
1.
HKEY_CLASSES_ROOT\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}
其中:
子键
HKEY_CLASSES_ROOT\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\LocalServer32
键值为c:\WINDOWS\system32\inetsrv\csrss.exe

子键
HKEY_CLASSES_ROOT\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\ProgID
键值为:SimFlyyu.SysBackHelper

子键
HKEY_CLASSES_ROOT\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\TypeLib
键值为:{F63B08CD-3645-474F-8872-BA4293251FF9}

子键
HKEY_CLASSES_ROOT\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\Version
键值为:1.0

在
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}
中也有同样的4个键值相同的子键

觉得很怀疑.

是不是应该把这两个键整个键都删除?

还有，
HKEY_CLASSES_ROOT\TypeLib\{F63B08CD-3645-474F-8872-BA4293251FF9}\1.0\0\win32
键值为：c:\WINDOWS\system32\inetsrv\csrss.exe

HKEY_CLASSES_ROOT\TypeLib\{F63B08CD-3645-474F-8872-BA4293251FF9}\1.0\HELPDIR
键值为：c:\WINDOWS\system32\inetsrv\

在
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F63B08CD-3645-474F-8872-BA4293251FF9}
中也有相同的情况。

是不是应该把
HKEY_CLASSES_ROOT\TypeLib\{F63B08CD-3645-474F-8872-BA4293251FF9}
和
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F63B08CD-3645-474F-8872-BA4293251FF9}
都删除掉？

baohe - 2006-9-6 15:38:00

【回复“fzzfzz”的帖子】
找到的有关类标（即：{F63B08CD-3645-474F-8872-BA4293251FF9}一类的）——统统删除！

fzzfzz - 2006-9-6 15:40:00

我的OS 是XP SP1的,防火墙没有打开.

杀毒软件是Mcafee 8.0i 带Anti Spyware Module的.
明明里面已经设置了禁止在C:\windows 和 C:\windows\system32内建立.exe和.DLL文件,可是就是出现写入csrss.exe和连带的文件的情况!!

晕!

fzzfzz - 2006-9-6 17:36:00

用SSM阻止了csrss后,csrss 在 SSM的拦截下,不能运行,不再出现csrss进程.
清理注册表,删除csrss.exe后,虽然系统还在SSM的监控下,但是,inetsrv 文件夹中还是会自动产生csrss.exe文件.

看来,病毒的主体可能不是csess.exe本身,也许另有源头.

baohe - 2006-9-6 17:40:00

引用:

【fzzfzz的贴子】用SSM阻止了csrss后,csrss 在 SSM的拦截下,不能运行,不再出现csrss进程.
清理注册表,删除csrss.exe后,虽然系统还在SSM的监控下,但是,inetsrv 文件夹中还是会自动产生csrss.exe文件.

看来,病毒的主体可能不是csess.exe本身,也许另有源头.
………………

问题复杂了。
请用SREng扫日志贴上来看看。

fzzfzz - 2006-9-6 18:16:00

做sreng扫描前,需要把SSM的监控关闭吗?还是带着SSM做扫描?

baohe - 2006-9-6 18:17:00

引用:

【fzzfzz的贴子】做sreng扫描前,需要把SSM的监控关闭吗?还是带着SSM做扫描?

………………

不需要关闭SSM。

fzzfzz - 2006-9-6 18:34:00

好,==,扫描好了就贴上来.

18:10:00删除csrss.exe,新出来的csrss.exe的创建时间是18:14:15

附,我的系统里杂乱的软件安装得很少,后台进程也一般控制在22个以下.应该是比较"清纯"的哦 *(^_^)* .是不是会对查找病毒干扰会少点?

fzzfzz - 2006-9-6 19:42:00

重贴的日志

2006-09-06,19:59:07

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 1 (Build 2600)
- 管理权限用户 - 完整功能

以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\System32\ctfmon.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<ShStatEXE><"C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE> [Network Associates, Inc.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<CheckFaultKernel><C:\WINDOWS\System32\mswdm.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [Microsoft Corporation]
<UIHost><logonui.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\System Safety Monitor]
<WinlogonNotify: System Safety Monitor><SSMWinlogonEx.dll> [System Safety Limited]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<Advanced Tools Check><; ; ; ; ; ; C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE> []
<ccApp><; ; ; ; ; ; "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"> []
<ccRegVfy><; ; ; ; ; ; "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"> []
<gcasServ><; ; ; ; ; ; "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"> []
<IMJPMIG8.1><; ; ; ; ; ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [Microsoft Corporation]
<McAfeeUpdaterUI><; ; ; ; ; ; "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey> []
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<msnmsgr><; ; ; "C:\Program Files\MSN Messenger\msnmsgr.exe" /background> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<MSPY2002><; ; ; ; ; ; C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC> []
<NeroFilterCheck><; ; ; ; ; ; C:\WINDOWS\system32\NeroCheck.exe> [Ahead Software Gmbh]
<Network Associates Error Reporting Service><; ; ; ; ; ; "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"> []
<PHIME2002A><; ; ; ; ; ; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [Microsoft Corporation]
<PHIME2002ASync><; ; ; ; ; ; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [Microsoft Corporation]
<RealTray><; ; ; ; ; ; C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER> []
<SSC_UserPrompt><; ; ; ; ; ; C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe> []
<SysExplr><; ; ; ; ; ; C:\HEROSOFT\Hero3000\SYSEXPLR.EXE> []
<TkBellExe><; ; ; ; ; ; "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> []

fzzfzz - 2006-9-6 19:43:00

==================================
启动文件夹
服务
[Adobe LM Service / Adobe LM Service]
<"C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"><Adobe Systems>
[McAfee Framework 服务 / McAfeeFramework]
<C:\Program Files\Network Associates\Common Framework\FrameworkService.exe /ServiceStart><Network Associates, Inc.>
[Network Associates McShield / McShield]
<"C:\Program Files\Network Associates\VirusScan\Mcshield.exe"><Network Associates, Inc.>
[Network Associates Task Manager / McTaskManager]
<"C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe"><Network Associates, Inc.>
[SoundMAX Agent Service / SoundMAX Agent Service (default)]
<C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe><Analog Devices, Inc.>
[Update Service For Windows / winupdate]
<C:\WINDOWS\winupdate.exe><N/A>

==================================
浏览器加载项
[QQBrowserHelperObject Class]
{54EBD53A-9BC1-480B-966A-843A333CA162} <D:\Tencent2006\QQ\QQIEHelper.dll, 深圳市腾讯计算机系统有限公司>
[Windows Live Sign-in Helper]
{9030D464-4C02-4ABF-8ECC-5164760863C6} <C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll, Microsoft Corporation>
[Sun Java2]
{C61A70F3-505E-4B90-916F-627A8706B4BC} <c:\WINDOWS\system32\COMBoHEvent.dll, N/A>
[金山词霸]
{9A687CA6-D585-4947-9ED9-BE96071F5CD9} <C:\Program Files\Kingsoft\Powerword 2003\XDictExB.dll, 金山软件股份有限公司>
[QQIEFloatBarCfgCmd Class]
{DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} <D:\Tencent2006\QQ\QQIEHelper.dll, 深圳市腾讯计算机系统有限公司>
[电台(&R)]
{8E718888-423F-11D2-876E-00A0C9082467} <C:\WINDOWS\System32\msdxm.ocx, Microsoft Corporation>
[Edit Class]
{0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} <C:\WINDOWS\System32\CMBEdit.dll, >
[safeInput Class]
{ECCBA953-80E5-11D3-9285-0080ADB811C5} <C:\WINDOWS\Downloaded Program Files\safein.dll, Beijing eChannels Century Technology Co.,Ltd>
[上传到QQ网络硬盘]
<D:\Tencent\qq\AddToNetDisk.htm, N/A>
[导出到 Microsoft Excel(&x)]
<res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000, N/A>
[添加到QQ自定义面板]
<D:\Tencent\qq\AddPanel.htm, N/A>
[添加到QQ表情]
<D:\Tencent\qq\AddEmotion.htm, N/A>
[用QQ彩信发送该图片]
<D:\Tencent\qq\SendMMS.htm, N/A>

fzzfzz - 2006-9-6 19:43:00

==================================
正在运行的进程
[PID: 448][\SystemRoot\System32\smss.exe] <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
[PID: 504][\??\C:\WINDOWS\system32\csrss.exe] <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 528][\??\C:\WINDOWS\system32\winlogon.exe] <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
[C:\WINDOWS\System32\SYNCOR11.DLL] <SoundMAX><1.2.3>
[C:\WINDOWS\system32\SSMWinlogonEx.dll] <System Safety Limited><2.0.8.582>
[PID: 572][C:\WINDOWS\system32\services.exe] <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[C:\WINDOWS\System32\EntApi.dll] <Network Associates, Inc><8.0.0.240>
[PID: 584][C:\WINDOWS\system32\lsass.exe] <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
[C:\WINDOWS\System32\EntApi.dll] <Network Associates, Inc><8.0.0.240>
[PID: 744][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[C:\WINDOWS\System32\EntApi.dll] <Network Associates, Inc><8.0.0.240>
[PID: 792][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[C:\WINDOWS\System32\SYNCOR11.DLL] <SoundMAX><1.2.3>
[C:\WINDOWS\System32\EntApi.dll] <Network Associates, Inc><8.0.0.240>
[PID: 844][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[C:\WINDOWS\System32\EntApi.dll] <Network Associates, Inc><8.0.0.240>
[PID: 864][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[C:\WINDOWS\System32\EntApi.dll] <Network Associates, Inc><8.0.0.240>
[PID: 1248][C:\WINDOWS\Explorer.EXE] <Microsoft Corporation><6.00.2800.1106 (xpsp1.020828-1920)>
[C:\WINDOWS\System32\SYNCOR11.DLL] <SoundMAX><1.2.3>
[C:\WINDOWS\System32\EntApi.dll] <Network Associates, Inc><8.0.0.240>
[C:\Program Files\WinRAR\rarext.dll] <N/A><N/A>
[C:\Program Files\Network Associates\VirusScan\shext.dll] <Network Associates, Inc.><8.0.0.912>
[C:\Program Files\Network Associates\VirusScan\RES04\ShExtRes.dll] <Network Associates, Inc.><8.0.0.912>
[PID: 1400][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[C:\WINDOWS\System32\SYNCOR11.DLL] <SoundMAX><1.2.3>
[C:\WINDOWS\System32\EntApi.dll] <Network Associates, Inc><8.0.0.240>
[PID: 1436][C:\Program Files\Network Associates\VirusScan\Mcshield.exe] <Network Associates, Inc.><8.0.0.251>
[C:\Program Files\Network Associates\VirusScan\Res04\McShield.DLL] <Network Associates, Inc.><8.0.0.251>
[C:\Program Files\Network Associates\VirusScan\FTL.Dll] <Network Associates, Inc.><8.0.0.133>
[C:\Program Files\Network Associates\VirusScan\naiann.dll] <Network Associates, Inc.><8.0.0.306>
[C:\Program Files\Network Associates\VirusScan\mytilus.dll] <Network Associates, Inc.><8.0.0.306>
[C:\Program Files\Network Associates\Common Framework\GenEvtInf.dll] <Network Associates, Inc.><3.5.0.412>
[C:\Program Files\Network Associates\VirusScan\NaEventU.DLL] <Network Associates, Inc.><8.0.0.342>
[C:\Program Files\Network Associates\VirusScan\Res04\naEvtRes.dll] <Network Associates, Inc.><8.0.0.342>
[C:\Program Files\Network Associates\VirusScan\VSIDSvr.dll] <Network Associates, Inc.><8.0.0.251>
[C:\Program Files\Common Files\Network Associates\Engine\MCSCAN32.DLL] <McAfee, Inc.><4.4.00>
[C:\Program Files\Network Associates\Common Framework\SecureFrameworkFactory.dll] <Network Associates, Inc.><3.5.0.412>
[C:\Program Files\Network Associates\VirusScan\EntSrv.Dll] <Network Associates, Inc><8.0.0.240>
[PID: 1460][C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe] <Network Associates, Inc.><8.0.0.912>
[C:\Program Files\Network Associates\VirusScan\SHUTIL.dll] <Network Associates, Inc.><8.0.0.989>
[C:\Program Files\Network Associates\VirusScan\naiwmain.dll] <Network Associates, Inc.><8.0.0.912>
[C:\Program Files\Network Associates\VirusScan\naicondl.dll] <Network Associates, Inc.><8.0.0.912>
[C:\Program Files\Network Associates\VirusScan\RES04\VsTskMgr.dll] <Network Associates, Inc.><8.0.0.912>
[C:\Program Files\Network Associates\VirusScan\MIDUtil.Dll] <Network Associates, Inc.><8.0.0.145>
[PID: 1560][C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe] <Analog Devices, Inc.><3, 2, 6, 0>
[PID: 300][C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE] <Network Associates, Inc.><8.0.0.912>
[C:\Program Files\Network Associates\VirusScan\SHUTIL.dll] <Network Associates, Inc.><8.0.0.989>
[C:\Program Files\Network Associates\VirusScan\naiwmain.dll] <Network Associates, Inc.><8.0.0.912>
[C:\Program Files\Network Associates\VirusScan\RES04\shstat.dll] <Network Associates, Inc.><8.0.0.912>
[C:\Program Files\Network Associates\VirusScan\RES04\Product.dll] <Network Associates, Inc.><8.0.0.912>
[C:\Program Files\Network Associates\VirusScan\RES04\McShield.dll] <Network Associates, Inc.><8.0.0.251>
[C:\Program Files\Network Associates\VirusScan\RES04\Shutilrc.dll] <Network Associates, Inc.><8.0.0.912>
[C:\Program Files\Network Associates\VirusScan\Graphics.dll] <Network Associates, Inc.><8.0.0.912>
[PID: 692][C:\WINDOWS\System32\ctfmon.exe] <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
[PID: 1508][D:\悲愤\优选工具\新18种工具\SREng2\SREng.exe] <Smallfrogs Studio><2.0.21.505>
[C:\WINDOWS\System32\SYNCOR11.DLL] <SoundMAX><1.2.3>

fzzfzz - 2006-9-6 19:44:00

==================================
文件关联
.TXT Error. [NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS Error. [超级解霸3000]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================

baohe - 2006-9-6 20:03:00

【回复“fzzfzz”的帖子】
果然有鬼！

注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<CheckFaultKernel><C:\WINDOWS\System32\mswdm.exe> []——查杀参考：http://forum.ikaka.com/topic.asp?board=28&artid=8154055

服务
[Update Service For Windows / winupdate]
<C:\WINDOWS\winupdate.exe><N/A>——查杀参考：http://forum.ikaka.com/topic.asp?board=28&artid=7713905

fzzfzz - 2006-9-6 20:18:00

以上的日志是重新贴过的.

洗看原来的那个日志时,发现有许多是在msconfig中被关掉的启动项.看了一下msconfig,发现不知道什么时候全选了启动项.
改回来后,重新扫描后,把正确的日志贴上来了.

正不好意思

fzzfzz - 2006-9-6 21:18:00

引用:

【baohe的贴子】【回复“fzzfzz”的帖子】
果然有鬼！

注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<CheckFaultKernel><C:\WINDOWS\System32\mswdm.exe> []——查杀参考：http://forum.ikaka.com/topic.asp?board=28&artid=8154055

服务
[Update Service For Windows / winupdate]
<C:\WINDOWS\winupdate.exe><N/A>——查杀参考：http://forum.ikaka.com/topic.asp?board=28&artid=7713905
………………

用SSM阻止了mswmd.exe, 要想删这个文件，可是很奇怪，到c:\windows\system32中怎么也找不（已经打开了文件夹显示隐藏文件的选项），用系统的搜索也没有找到，最后，用搜索软件Ava Find找，找到并删除，并在回收站里看到有它。

真是很奇怪！

在注册表里发现：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
名称 CheckFaultKernel 键值：C:\WINDOWS\System32\mswdm.exe
需要删，对吗？

对于：
服务
[Update Service For Windows / winupdate]
<C:\WINDOWS\winupdate.exe><N/A>
这个服务在HijackThis 的报告里也可以看到：file missing . 到C:\WINDOWS里也没有找到这个文件。
记得好像是手工删过这个文件的。
应该清理注册表里的相关项，在SSM里终止这个进程?

瑞星卡卡安全论坛