瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致“fzzfzz”和“ 迷你超音速”——关于inetsrv文件夹中的csrss.exe

12345678   6  /  8  页   跳转

致“fzzfzz”和“ 迷你超音速”——关于inetsrv文件夹中的csrss.exe

收藏
本主题由 大版主 networkedition 于 2012-2-24 13:25:57 执行 移动主题 操作
mxucdy
头像
初生襁褓狮
  • 帖子:77
  • 注册: 2006-09-03
  • 来自:
发表于: 2006-09-07 16:45 | 短消息 资料
字号: 51楼

gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-09-07 17:08 | 短消息 资料
字号: 52楼

引用:
【fzzfzz的贴子】

机器里能找到上面说的各个文件,
逐个检查:
unins000.dat是个wimamp文件,日期不是近期的,size也各不相同.可以认为无关
nvapps.xml没有找到.
其他都找到,而且是这1-2天的新文件.确实是可疑文件!!!

最为可疑的是:找到了一个COMEventHelper.bat文件
它的内容高度可疑,有病毒自我复制的特点
内容如下:

@echo off
:loop
net stop COMEventHelper
del c:\windows\system32\COMEventHelper.dll
if exist "c:\windows\system32\COMEventHelper.dll" goto loop
copy c:\windows\system32\Update\COMEventHelper.dll c:\windows\system32\COMEventHelper.dll
del c:\windows\system32\Update\COMEventHelper.dll
net start COMEventHelper
del %0


请各位一起看一看,COMEventHelper是个什么东西?

………………

从内容上看,应该是在连网之后,如果发现目标服务器中有新的COMEventHelper.dll,则下载到c:\windows\system32\Update文件夹中,然后运行这个批处理,用新的COMEventHelper.dll替换旧的。完成此文件的更新之后,删除下载在c:\windows\system32\Update文件夹中的COMEventHelper.dll并删除自身。
从这个看起来,它有自动更新的功能。
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-09-07 17:08 | 短消息 资料
字号: 53楼

引用:
【fzzfzz的贴子】

机器里能找到上面说的各个文件,
逐个检查:
unins000.dat是个wimamp文件,日期不是近期的,size也各不相同.可以认为无关
nvapps.xml没有找到.
其他都找到,而且是这1-2天的新文件.确实是可疑文件!!!

最为可疑的是:找到了一个COMEventHelper.bat文件
它的内容高度可疑,有病毒自我复制的特点
内容如下:

@echo off
:loop
net stop COMEventHelper
del c:\windows\system32\COMEventHelper.dll
if exist "c:\windows\system32\COMEventHelper.dll" goto loop
copy c:\windows\system32\Update\COMEventHelper.dll c:\windows\system32\COMEventHelper.dll
del c:\windows\system32\Update\COMEventHelper.dll
net start COMEventHelper
del %0


请各位一起看一看,COMEventHelper是个什么东西?

………………

从内容上看,应该是在连网之后,如果发现目标服务器中有新的COMEventHelper.dll,则下载到c:\windows\system32\Update文件夹中,然后运行这个批处理,用新的COMEventHelper.dll替换旧的。完成此文件的更新之后,删除下载在c:\windows\system32\Update文件夹中的COMEventHelper.dll并删除自身。
从这个看起来,它有自动更新的功能。
gototop
 
mxucdy
头像
初生襁褓狮
  • 帖子:77
  • 注册: 2006-09-03
  • 来自:
发表于: 2006-09-07 17:12 | 短消息 资料
字号: 54楼

楼主有点衰呀,这么外没搞定.
gototop
 
mxucdy
头像
初生襁褓狮
  • 帖子:77
  • 注册: 2006-09-03
  • 来自:
发表于: 2006-09-07 17:13 | 短消息 资料
字号: 55楼

楼主有点衰呀,这么外没搞定.
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2006-09-07 17:45 | 短消息 资料
字号: 56楼

是有点衰,奋斗了2天了,还没有彻底搞掂.
现在情况好像是好了.
我已经把SSM撤除了自动启动了,重新开机观察情况.


但是不知道改过什么地方的影响,
做ping 命令不能做,
都是timeout!
但是上网可以.MSN可以QQ也可以,
感觉好像有点点卡
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2006-09-07 19:52 | 短消息 资料
字号: 57楼

上面说的ping 的问题是误会,没有不正常.

到目前为止,情况良好.但愿问题就此解决了.
gototop
 
迷你超音速
头像
初生襁褓狮
  • 帖子:26
  • 注册: 2006-09-05
  • 来自:
发表于: 2006-09-08 08:44 | 短消息 资料
字号: 58楼

引用:
【fzzfzz的贴子】上面说的ping 的问题是误会,没有不正常.

到目前为止,情况良好.但愿问题就此解决了.



………………

兄弟别急,我正在学习系统标准服务,估计再有一个月就可以解决问题啦
gototop
 
迷你超音速
头像
初生襁褓狮
  • 帖子:26
  • 注册: 2006-09-05
  • 来自:
发表于: 2006-09-08 10:11 | 短消息 资料
字号: 59楼

病毒下载路径
C:\Documents and Settings\Default User.WIN2K\Local Settings\Temporary Internet Files\Content.IE5\
下的子文件夹
gototop
 
迷你超音速
头像
初生襁褓狮
  • 帖子:26
  • 注册: 2006-09-05
  • 来自:
发表于: 2006-09-08 10:15 | 短消息 资料
字号: 60楼

KERNEL32.DLL advapi32.dll comctl32.dll gdi32.dll ole32.dll oleaut32.dll shell32.dll user32.dll version.dll  LoadLibraryA  GetProcAddress  VirtualProtect  RegCloseKey  ImageList_Add  SaveDC  IsEqualGUID  VariantCopy  ShellExecuteA  GetDC  VerQueryValueA              ?
      ?
?
?
紡 x? P? ? ?
?
1
1
    COMAdEvent.dll DllCanUnloadNow DllGetClassObject DllRegisterServer DllUnregisterServer   
  m2
病毒文件COMAdEvent[1].txt中的一段内容
gototop
 
<<上一主题|下一主题>>
12345678   6  /  8  页   跳转
页面顶部
Powered by Discuz!NT