瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致“fzzfzz”和“ 迷你超音速”——关于inetsrv文件夹中的csrss.exe

12345678   2  /  8  页   跳转

致“fzzfzz”和“ 迷你超音速”——关于inetsrv文件夹中的csrss.exe

收藏
本主题由 大版主 networkedition 于 2012-2-24 13:25:57 执行 移动主题 操作
迷你超音速
头像
初生襁褓狮
  • 帖子:26
  • 注册: 2006-09-05
  • 来自:
发表于: 2006-09-06 12:21 | 短消息 资料
字号: 11楼

这个病毒每5分钟扫描一次,我从它自身的批处理中学了一句“net stop comeventhelper”终止其服务,继而删之,病毒停止扫描
再有csrss是通过srvhost调用,去写service相关项,因涉及系统服务不敢轻易更改,大家如有干净系统可做比较,具体添加了哪些键。
gototop
 
迷你超音速
头像
初生襁褓狮
  • 帖子:26
  • 注册: 2006-09-05
  • 来自:
发表于: 2006-09-06 12:24 | 短消息 资料
字号: 12楼

另,cmd更名后,立即产生新的cmd.exe,不知是否是病毒一部分
gototop
 
迷你超音速
头像
初生襁褓狮
  • 帖子:26
  • 注册: 2006-09-05
  • 来自:
发表于: 2006-09-06 12:27 | 短消息 资料
字号: 13楼

希望能尽早出台标准彻底解决方案
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2006-09-06 15:31 | 短消息 资料
字号: 14楼

刚下了SSM,查看了csrss.exe 的模块列表,没有发现和它同时加载的可疑DLL文件,就修改了规则,阻止csrss.exe,设置了自动启动,重起机器.

在查看注册表的时候,发现:
1.
HKEY_CLASSES_ROOT\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}
其中:
子键
HKEY_CLASSES_ROOT\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\LocalServer32
键值为c:\WINDOWS\system32\inetsrv\csrss.exe

子键
HKEY_CLASSES_ROOT\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\ProgID
键值为:SimFlyyu.SysBackHelper

子键
HKEY_CLASSES_ROOT\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\TypeLib
键值为:{F63B08CD-3645-474F-8872-BA4293251FF9}

子键
HKEY_CLASSES_ROOT\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\Version
键值为:1.0


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}
中也有同样的4个键值相同的子键

觉得很怀疑.

是不是应该把这两个键整个键都删除?

还有,
HKEY_CLASSES_ROOT\TypeLib\{F63B08CD-3645-474F-8872-BA4293251FF9}\1.0\0\win32
键值为:c:\WINDOWS\system32\inetsrv\csrss.exe

HKEY_CLASSES_ROOT\TypeLib\{F63B08CD-3645-474F-8872-BA4293251FF9}\1.0\HELPDIR
键值为:c:\WINDOWS\system32\inetsrv\


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F63B08CD-3645-474F-8872-BA4293251FF9}
中也有相同的情况。

是不是应该把
HKEY_CLASSES_ROOT\TypeLib\{F63B08CD-3645-474F-8872-BA4293251FF9}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F63B08CD-3645-474F-8872-BA4293251FF9}
都删除掉?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-06 15:38 | 只看楼主 短消息 资料
字号: 15楼

【回复“fzzfzz”的帖子】
找到的有关类标(即:{F63B08CD-3645-474F-8872-BA4293251FF9}一类的)——统统删除!
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2006-09-06 15:40 | 短消息 资料
字号: 16楼

我的OS 是XP SP1的,防火墙没有打开.

杀毒软件是Mcafee 8.0i 带Anti Spyware Module的.
明明里面已经设置了禁止在C:\windows 和 C:\windows\system32内建立.exe和.DLL文件,可是就是出现写入csrss.exe和连带的文件的情况!!

晕!
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2006-09-06 17:36 | 短消息 资料
字号: 17楼

用SSM阻止了csrss后,csrss 在  SSM的拦截下,不能运行,不再出现csrss进程.
清理注册表,删除csrss.exe后,虽然系统还在SSM的监控下,但是,inetsrv 文件夹中还是会自动产生csrss.exe文件.

看来,病毒的主体可能不是csess.exe本身,也许另有源头.
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-06 17:40 | 只看楼主 短消息 资料
字号: 18楼

引用:
【fzzfzz的贴子】用SSM阻止了csrss后,csrss 在  SSM的拦截下,不能运行,不再出现csrss进程.
清理注册表,删除csrss.exe后,虽然系统还在SSM的监控下,但是,inetsrv 文件夹中还是会自动产生csrss.exe文件.

看来,病毒的主体可能不是csess.exe本身,也许另有源头.
………………

问题复杂了。
请用SREng扫日志贴上来看看。
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2006-09-06 18:16 | 短消息 资料
字号: 19楼

做sreng扫描前,需要把SSM的监控关闭吗?还是带着SSM做扫描?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-06 18:17 | 只看楼主 短消息 资料
字号: 20楼

引用:
【fzzfzz的贴子】做sreng扫描前,需要把SSM的监控关闭吗?还是带着SSM做扫描?

………………

不需要关闭SSM。
gototop
 
<<上一主题|下一主题>>
12345678   2  /  8  页   跳转
页面顶部
Powered by Discuz!NT