杀死c:\windows\system32\inetsrv\csrss.exe bbs.ikaka.com

我无邪 - 2006-9-15 23:53:00

中csrss.exe后
在System Repair Engineer日志中，可以发现
进程
c:\windows\system32\inetsrv\csrss.exe
浏览器加载项
c:\WINDOWS\system32\COMBoHEvent.dll
似乎没什么

实际上，并没有这么简单
在
c:\WINDOWS\system32
其中COMBoHEvent.dll，COMADEvent.dll异常顽固。可以说用尽所有工具与技巧都没有把这们删除。

解决的方法很简单
重启，开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示确定更改时，单击“是”，清除“隐藏已知文件类型的扩展名
直接删除
c:\WINDOWS\system32\comadevent.dll
c:\WINDOWS\system32\combohevent.dll
c:\WINDOWS\system32\comevent.dat
cc:\WINDOWS\system32\omeventhelpet.bat
c:\WINDOWS\system32\comeventhelper.dll
c:\WINDOWS\system32\comhelper.local
c:\windows\system32\inetsrv\csrss.exe
c:\windows\system32\inetsrv\kbd101ab.dll
c:\windows\system32\inetsrv\sysoption.bin
c:\windows\system32\inetsrv\update整个文件夹

打开System Repair Engineer（也就是你的扫描日志软件SREng.exe），使用“系统修复，浏览器加载项”来删除以下选项。
c:\WINDOWS\system32\COMBoHEvent.dll
重启便能解决问题
System Repair Engineer这个软件可以到http://www.kztechs.com/sreng/sreng2.zip 下载。
这个病毒有点特殊，我在虚拟机上操作，在正常模式上修复多次，每重启一次，我的主系统上的天网防火墙就会发出警报。属于连续攻击的那种。

样本下载地址:http://mopery.hits.io/Trojan.Delf.nde.zip
by:mopery

附件: 3176972006915234514.JPG

mopery - 2006-9-15 23:59:00

这玩意没这么简单...

记得猫叔分析时候错误了少许..

心冷 - 2006-9-16 0:20:00

OK 解决了真的有效

秋日里的蓝天 - 2006-9-16 11:39:00

TKS

我没有样本，病毒样本发到我的邮箱：ufwihgu9168@yahoo.com.cn

昨天晚上才搞好虚拟机与物理主机的连接，

最近可能不在线，今天到电信申请ADSL，不知道什么时候开通，不用每天下班回去担心能不能上网的问题，免了很多麻烦

zhouzhggg - 2006-9-16 11:56:00

我就中过这个，也是按楼主说的做了，在我的硬盘上怎么也找不到这个文件了，进安全模式确实也没有这个文件了，但只要正常启动又复制了，害我重装了系统。

我无邪 - 2006-9-16 12:08:00

【回复“zhouzhggg”的帖子】
我中了这个病毒后，会自动修改我的注册表，也就是不能显示所有文件
我是用RAR来解决这个问题的
http://forum.ikaka.com/topic.asp?board=3&artid=8130575
你既然重装了系统，也好。
如果你的系统没有异常，我建议你备份下系统这个状态
看以下的帖子
http://forum.ikaka.com/topic.asp?board=3&artid=8124643

秋日里的蓝天 - 2006-9-16 12:16:00

【回复“我无邪”的帖子】

有没有把样本发到我邮箱！

wanderingmimi - 2006-9-16 13:14:00

我也中了这个毒，正在努力中---

噫想天開 - 2006-9-16 13:36:00

csrss.exe是病毒吗
我的日志里也有哎

我无邪 - 2006-9-16 21:52:00

【回复“噫想天開”的帖子】
注意，千万不要看样子
要看路径
你在c:\windows\system32\inetsrv这个文件夹里有csrss.exe？

轩辕小聪 - 2006-9-16 22:02:00

我前几天在我同学机子上处理过。
猫叔之前帖子里说的注册表项，基本都有，但是他说的文件有些没有，倒是你说的那些文件与我找到的基本相符。
我是用IceSword处理的，卸除插入进程的dll然后删除之。只有那个COMBoHEvent.dll不行，重启到安全模式下搞定。

猫叔的帖子
http://forum.ikaka.com/topic.asp?board=28&artid=8163623
无邪看看他说的注册表项你有没有

我无邪 - 2006-9-16 23:11:00

【回复“轩辕小聪”的帖子】
和我的不一样

闪电风暴 - 2006-9-17 9:23:00

学习了

无限001 - 2006-9-17 9:54:00

学习学习!

无限001 - 2006-9-17 9:55:00

学习学习!

西西扣子 - 2006-9-17 10:53:00

为什么我看不到帖子的内容？只能看到列表？

Greysign - 2006-9-17 11:09:00

我在桌面运行以后只有在桌面生成kbd101ab.dll sysoption.bin
其他的都没了.
也没加载项目...我用虚拟机..怎么会这样.
inetsrv\下也是空的

中国最大的菜鸟 - 2006-9-17 14:06:00

老大你说的方法我都用了可是文件就是找不见但是管理器进程里还是出现csrss.exe 可是一去system32里找文件就显示没有老大怎么办啊 555555555555555555老大快帮帮我啊

炫Oo逍遥oO - 2006-9-17 15:52:00

无邪的帖`顶!

RX销售员 - 2006-9-17 20:29:00

不错的帖子。

我无邪 - 2006-9-17 22:32:00

【回复“中国最大的菜鸟”的帖子】
你看这个帖子
用这个帖子的方法去找
http://forum.ikaka.com/topic.asp?board=3&artid=8130575

与时拒进 - 2006-9-17 22:52:00

学习

CuDDi - 2006-9-18 1:40:00

研究ing

从头爱你 - 2006-9-18 13:58:00

继续学习哈```

阳儿绝版 - 2006-9-18 19:22:00

还有一个服务要停掉

妖精的旋律 - 2006-9-19 23:53:00

谢谢，太好了，有救了

小河小溪 - 2006-9-20 1:39:00

路过一下,学到不少

孤煞之星 - 2006-9-20 9:18:00

中病毒之后最有效，最快的把病毒杀干净，决解方法就是把东西全都隔掉，哈哈哈

做亊姺做朲 - 2006-9-20 12:56:00

这个程序是病毒? 在WINDOWS任务管理器里可以看到这个程序啊...

tzms - 2006-9-20 14:59:00

停了服务，删了文件，删了注册表，反正2个帖子里提到的都删了，重启回正常模式还是不对，会自动把COM+ Event System Helper服务从禁用/停止状态改回自动/启用状态，并且目录里还会生成inetsrv目录，并且在正常模式无法删除，用wholookme检查出这个目录被winlogon进程锁定，检查winlogon进程，并非病毒，是在windowns\system32目录下正常进程。
不解。。。。。

瑞星卡卡安全论坛