瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于“一个超BT的传奇木马”CSRSS.EXE(兼答“花落花又开”)

12345678»   1  /  16  页   跳转

关于“一个超BT的传奇木马”CSRSS.EXE(兼答“花落花又开”)

关于“一个超BT的传奇木马”CSRSS.EXE(兼答“花落花又开”)

这只木马确实比较疯狂。然而,如果您安装了SSM,对付它,也不是什么难事。
即使不慎中招,SSM也会自动禁止其添加的两个关键启动加载项(图1)。这样,您可以轻松删除木马创建的19个文件(图2)。注意:木马文件CSRSS.EXE在WINDOWS文件夹中;正常系统文件CSRSS.EXE在系统文件夹中。不要盲目乱删文件。

注册表清理略繁(这个木马太BT了)。

可先用RegFix自动修复注册表。然后,再进行如下注册表清理工作。

展开:HKEY_CLASSES_ROOT\.bfc\ShellNew
删除:"Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"

展开:HKEY_CLASSES_ROOT\.lnk\ShellNew
删除:"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"


展开:HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
删除:@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"


展开:HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32
删除:@="C:\\windows\\MSWINSCK.OCX"


展开:HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\MiscStatus
删除:@="0"

展开:HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\MiscStatus\1
删除:@="132497"

展开:HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\ProgID
删除:@="MSWinsock.Winsock.1"

展开:HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\ToolboxBitmap32
删除:@="C:\\windows\\MSWINSCK.OCX, 1"

展开:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
删除:@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\""

展开:HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
删除:@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"

展开:HKEY_CLASSES_ROOT\Drive\shell\find\command
删除:@="%SystemRoot%\\explorer1.com"

展开:HKEY_CLASSES_ROOT\dunfile\shell\open\command
删除:@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

展开:HKEY_CLASSES_ROOT\ftp\shell\open\command
删除:@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"

展开:HKEY_CLASSES_ROOT\htmlfile\shell\open\command
删除:@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"

展开:HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
删除:@="\"C:\\Program Files\\common~1\\iexplore.pif\" %1"

展开:HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}\ProxyStubClsid
删除:@="{00020424-0000-0000-C000-000000000046}"

展开:HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}\ProxyStubClsid32
删除:@="{00020424-0000-0000-C000-000000000046}"

展开:HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}\TypeLib
删除:@="{248DD890-BB45-11CF-9ABC-0080C7E7B78D}"

展开:HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}\ProxyStubClsid
删除:@="{00020420-0000-0000-C000-000000000046}"

展开:HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}\ProxyStubClsid32
删除:@="{00020420-0000-0000-C000-000000000046}"

展开:HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}\TypeLib
删除:@="{248DD890-BB45-11CF-9ABC-0080C7E7B78D}"

展开:HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
删除:@="finder.com shdocvw.dll,OpenURL %l"

展开:HKEY_CLASSES_ROOT\MSWinsock.Winsock\CLSID
删除:@="{248DD896-BB45-11CF-9ABC-0080C7E7B78D}"

展开:HKEY_CLASSES_ROOT\MSWinsock.Winsock\CurVer
删除:@="MSWinsock.Winsock.1"


展开:HKEY_CLASSES_ROOT\MSWinsock.Winsock.1\CLSID
删除:@="{248DD896-BB45-11CF-9ABC-0080C7E7B78D}"

展开:HKEY_CLASSES_ROOT\scrfile\shell\install\command
删除:@="finder.com desk.cpl,InstallScreenSaver %l"


展开:HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
删除:@="\"C:\\WINDOWS\\System32\\finder.com\" C:\\WINDOWS\\System32\\scrobj.dll,GenerateTypeLib \"%1\""

展开:HKEY_CLASSES_ROOT\telnet\shell\open\command
删除:@="finder.com url.dll,TelnetProtocolHandler %l"

展开:HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\0\win32
删除:@="C:\\windows\\MSWINSCK.OCX"

展开:HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\FLAGS
删除:@="2"

展开:HKEY_CLASSES_ROOT\Unknown\shell\openas\command
删除:@="%SystemRoot%\\system32\\finder.com %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"

展开:HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
删除:@="C:\\windows\\ExERoute.exe \"%1\" %*"

展开:HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Process Debuger\CRCCode
删除:"Name"="0"

展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除:"HKEY_CLASSES_ROOT\\.exe"="exefile"



图1

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-22 14:43:01
描述:



最后编辑2006-01-27 17:09:23
分享到:
gototop
 

图2

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-22 14:44:12
描述:



gototop
 

斑竹,木马创建的文件以及注册表修改项都是你的tpf2005检测出来的 ?
gototop
 

引用:
【什么情况的贴子】斑竹,木马创建的文件以及注册表修改项都是你的tpf2005检测出来的 ?
...........................


是的。
gototop
 

斑竹能不能告诉下你的测试环境,比如所有的软件和工具等
gototop
 

还有我在安装你说的tpf2005的时候总出现

附件附件:

下载次数:0
文件类型:application/octet-stream
文件大小:
上传时间:2005-8-22 14:58:40
描述:



gototop
 

引用:
【什么情况的贴子】斑竹能不能告诉下你的测试环境,比如所有的软件和工具等
...........................


测试环境就是普通WINDOWS模式。监测工具:TPF2005和SSM。
gototop
 

引用:
【什么情况的贴子】还有我在安装你说的tpf2005的时候总出现

...........................


已经说 得很明白了:要安装TPF2005,软件环境需要WIN2000 +SP3或者WINXP+SP1以上;或WIN2003。
gototop
 

这么说偶得xp sp1装不了了。。。。。。

谢谢baohe斑竹解答
gototop
 

【回复“baohe”的帖子】
此木马的确非常BT,稍微清除不当又会反复感染。
欲清理“干净”,很复杂。
用Regfix时候还需改名,否则不断激活此木马。。

关于这个木马,海色在DB的一周概述中有谈到,比较棘手。
gototop
 
12345678»   1  /  16  页   跳转
页面顶部
Powered by Discuz!NT