瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于“一个超BT的传奇木马”CSRSS.EXE(兼答“花落花又开”)

12345   4  /  5  页   跳转

关于“一个超BT的传奇木马”CSRSS.EXE(兼答“花落花又开”)

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-26 17:06 | 显示全部 短消息 资料
字号: 31楼

【回复“Lesleylulu”的帖子】
O4 - HKCU\..\RunServices: [svshost32] svshost32.exe
O4 - HKCU\..\RunServices: [Internet Explorer Security] iexplore.pif
O4 - HKCU\..\RunServices: [Asn1 Security] msnmsgrs32.exe
O4 - Startup: sys_log_11474839.upt

这几个启动项有问题。请找到相应文件,打包发到:baohelin@yahoo.com.cn。

——————————————————————
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
这个帖子1楼的附件是HijackThis v 1.99.1呀(看图)。你怎么用HijackThis v1.97.7。
请用HijackThis v 1.99.1重扫日志。

附件附件:

下载次数:237
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-26 17:06:01
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-26 17:40 | 显示全部 短消息 资料
字号: 32楼

【回复“Lesleylulu”的帖子】
除了119楼那几个文件外, C:\WINDOWS\csrss.exe——也打包发来看看。我觉得这是灰鸽子,而不是“传奇龙”木马。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-26 18:58 | 显示全部 短消息 资料
字号: 33楼

引用:
【Lesleylulu的贴子】

【 C:\WINDOWS\csrss.exe——也打包发来看看】怎么弄啊

...........................

显示隐藏文件,按路径找到C:\WINDOWS\csrss.exe以及那几个文件,用WINRAR或WINZIP做成压缩包。将压缩包作为邮件附件,发到我的邮箱。邮箱地址已经告诉你了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-26 20:41 | 显示全部 短消息 资料
字号: 34楼

引用:
【Lesleylulu的贴子】

我已经把C:\WINDOWS\csrss.exe打包发到你的邮箱了,但是你让我找的那几个相应的文件,我只找到一个,你看一下吧。
麻烦你了,谢谢啊!
...........................

看清楚啊——我要的是C:\WINDOWS\csrss.exe,不是C:\WINDOWS\system32\csrss.exe。
你发给我的是C:\WINDOWS\system32\csrss.exe。这是正常系统文件(看下面两个图)。

附件附件:

下载次数:220
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-26 20:41:49
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-26 20:42 | 显示全部 短消息 资料
字号: 35楼

图2

附件附件:

下载次数:254
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-26 20:42:33
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-26 22:04 | 显示全部 短消息 资料
字号: 36楼

引用:
【Lesleylulu的贴子】【回复“baohe”的帖子】
找不到的
...........................

这样设置一下“文件夹选项”(看图)。再找。

附件附件:

下载次数:211
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-26 22:04:16
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-26 22:13 | 显示全部 短消息 资料
字号: 37楼

【回复“Lesleylulu”的帖子】
那就用IceSword找到那个文件,删了吧。我也不要样本了。
用IceSword能找到。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-26 22:40 | 显示全部 短消息 资料
字号: 38楼

引用:
【Lesleylulu的贴子】
我下载了IceSword,但是我不会用,怎么删啊?
...........................


你们都不会自己“找食吃”。
看看这个老帖子吧——http://forum.ikaka.com/topic.asp?board=28&artid=7168178
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-26 22:46 | 显示全部 短消息 资料
字号: 39楼

引用:
【Lesleylulu的贴子】【回复“baohe”的帖子】
在进程中,有好多,红色的字,是不是需要在注册表中删除啊

...........................

My God!!
抓图,贴上来看看。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-26 23:18 | 显示全部 短消息 资料
字号: 40楼

【回复“Lesleylulu”的帖子】
进程状态应该是这个样子(见图)。
怎么你的进程状态都是deleting(删除)?

附件附件:

下载次数:190
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-26 23:18:36
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
12345   4  /  5  页   跳转
页面顶部
Powered by Discuz!NT