瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致“fzzfzz”和“ 迷你超音速”——关于inetsrv文件夹中的csrss.exe

12345678   5  /  8  页   跳转

致“fzzfzz”和“ 迷你超音速”——关于inetsrv文件夹中的csrss.exe

收藏
本主题由 大版主 networkedition 于 2012-2-24 13:25:57 执行 移动主题 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-07 09:22 | 只看楼主 短消息 资料
字号: 41楼

【回复“fzzfzz”的帖子】
[Update Service For Windows / winupdate]
<C:\WINDOWS\winupdate.exe><N/A>
木马,可能是灰鸽子。
记得前面的日志中就有这个。
你一直也没搞掉它。
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2006-09-07 10:46 | 短消息 资料
字号: 42楼

========Content========
[C:\WINDOWS\System32\SYNCOR11.DLL] <SoundMAX><1.2.3>
觉得这个DLL也很可疑~~好多进程里都会看到它~

另,对那个sun jave2的dll文件~~

再一个,这个COMBoHEvent.dll插入浏览器里了,用Icesword进入IE卸除这个dll模块,


[PID: 676][C:\Program Files\Internet Explorer\iexplore.exe] <Microsoft Corporation><6.00.2800.1106 (xpsp1.020828-1920)>
[C:\WINDOWS\System32\EntApi.dll] <Network Associates, Inc><8.0.0.240>
[D:\Tencent2006\QQ\QQIEHelper.dll] <深圳市腾讯计算机系统有限公司><1, 1, 0, 5>
[c:\WINDOWS\system32\COMBoHEvent.dll] <N/A><N/A>


再一个,对于用SSM禁止DLL~~你可以如下试试(你的ssm版本是???2.2.0.585?)

在ssm的规则>库文件>手动添加这个DLL的规则>在这个DLL上击右键>进入高级属性>默认操作改为阻止注入.
然后再试着修复或删除它试试~
[font_color=#0]
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2006-09-07 10:48 | 短消息 资料
字号: 43楼

你的文件关联也需要修复,
就在那个工具中即可
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2006-09-07 10:53 | 短消息 资料
字号: 44楼

[C:\WINDOWS\System32\EntApi.dll] <Network Associates, Inc><8.0.0.240>

如果可能,这个dll 文件也要注意~~(随处可见~~)
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2006-09-07 10:53 | 短消息 资料
字号: 45楼

去掉winupdate.exe 的注册表项了.

日志的服务部分如下:
==================================
启动文件夹
服务
[Adobe LM Service / Adobe LM Service]
  <"C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"><Adobe Systems>
[McAfee Framework 服务 / McAfeeFramework]
  <C:\Program Files\Network Associates\Common Framework\FrameworkService.exe /ServiceStart><Network Associates, Inc.>
[Network Associates McShield / McShield]
  <"C:\Program Files\Network Associates\VirusScan\Mcshield.exe"><Network Associates, Inc.>
[Network Associates Task Manager / McTaskManager]
  <"C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe"><Network Associates, Inc.>
[SoundMAX Agent Service / SoundMAX Agent Service (default)]
  <C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe><Analog Devices, Inc.>

没有winupdate.exe 的启动了.
其实,C:\windows中的winupdate.exe 的文件早就删除了,所以,在Hijackthis  的日志中,报告file missing,在srege的报告中显示 N/A.
这个鸽子,虽然有注册表项,但对系统已经没有作用了.
不过,为保险起见,现在把注册表项也清楚了.


另外,发现,每次开机,第一次上ikaka,总会链接到:
http://www.9istyle.com/data/liangxing/index.htm
但是,以后上ikaka就不会有这个问题.

查过,注册表里没有找到有www.9istyle.com
用regfix修理过.
但是无效.
不知道是我机器问题还是网站问题?
如果不是我机器的问题,请和网站联系一下
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2006-09-07 13:12 | 短消息 资料
字号: 46楼

引用:
【迷你超音速的贴子】
以下是和病毒同一时间生成的文件,请大家帮忙研究。
COMEvent.dat
COMEventHelper.dll
ComHelper.local
unins000.dat
unins000.exe
COMBoHEvent.dll
COMAdEvent.dll
SystemID.dll
C1C003E6.dll
nvapps.xml
AddrConfig.bin
………………


机器里能找到上面说的各个文件,
逐个检查:
unins000.dat是个wimamp文件,日期不是近期的,size也各不相同.可以认为无关
nvapps.xml没有找到.
其他都找到,而且是这1-2天的新文件.确实是可疑文件!!!

最为可疑的是:找到了一个COMEventHelper.bat文件
它的内容高度可疑,有病毒自我复制的特点
内容如下:

@echo off
:loop
net stop COMEventHelper
del c:\windows\system32\COMEventHelper.dll
if exist "c:\windows\system32\COMEventHelper.dll" goto loop
copy c:\windows\system32\Update\COMEventHelper.dll c:\windows\system32\COMEventHelper.dll
del c:\windows\system32\Update\COMEventHelper.dll
net start COMEventHelper
del %0


请各位一起看一看,COMEventHelper是个什么东西?
gototop
 
从头爱你
头像
锋芒艾服狮
  • 帖子:1791
  • 注册: 2005-06-17
  • 来自:
发表于: 2006-09-07 13:26 | 短消息 资料
字号: 47楼

引用:
【fzzfzz的贴子】很遗憾地向baohe 斑竹报告,做了上面的各项后,发现inetsrv 里的情况依旧,删了csrss.exe 还会恢复.

晕死了!
………………
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2006-09-07 14:38 | 短消息 资料
字号: 48楼

呵呵,楼上怎么还袖手旁观?还不快快出手帮忙?
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2006-09-07 16:15 | 短消息 资料
字号: 49楼

用SSM阻止 csrss.exe , comevenhelper.dll,
删除BHO: Sun Java2,重启动,
删除和comevenhelper.dll相关的dll文件和bat 文件以及csrss.exe,重启动.

删除的和comevenhelper.dll相关的文件是:

COMEventHelper.dll
COMBoHEvent.dll
COMAdEvent.dll
COMEventHelper.bat



发现:
SSM 的显示日志中不再有csrss.exe被拦截
inetsrv中不再自动恢复csrss.exe
BHO Sun java2 不再自动恢复.

好像情况好转了.


现在又已经删除注册表中的有sun java2的键:
{C61A70F3-505E-4B90-916F-627A8706B4BC}

现在,注册表中还有一些和comevenhelper 以及LEGACY_COMEVENHELPER有关的键还没有清理.它们的子键中都含有comevenhelper的.
由于对他们不太了解,特别是对LEGACY_COMEVENHELPER不了解.还没有下决心删除

情况好象好了,
正在观察中...


看来,BHO Sun java2 可能和csrss有关系.

附:上面说明的步骤可能有记错次序的
gototop
 
avba
头像
初生襁褓狮
  • 帖子:72
  • 注册: 2005-11-01
  • 来自:
发表于: 2006-09-07 16:45 | 短消息 资料
字号: 50楼

我也中了inetsrv文件夹中的csrss.exe.可是我一结束這個进程机子就會进入蓝屏``````
gototop
 
<<上一主题|下一主题>>
12345678   5  /  8  页   跳转
页面顶部
Powered by Discuz!NT