Csrss.exe木马的纯手工查杀

来自WordPress中文文档
跳转至: 导航搜索


注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程。         



判断

这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。    然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字节,生成时间为12月9日12:37。而真正的csrss.exe只有4k,生成时间是2003年3月27日12:00,位于C:\Windows\Syetem32下。    于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。


手工清除

   试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。    然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。    此后在12:38分生成了一个tmp.dat文件,内容是



     @echo off   debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out   copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out   del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out   del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out   C:\WINDOWS\system32\netstart.exe </pre>


好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。    汇编大约进行了1分钟,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:\Windows\System32下,后两个在当前用户的Temp文件夹里。    这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。    现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果,也是一个木马。    这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。


相关知识

相关条目

怎样发现病毒 - 怎样杀除病毒 - 如何使用防火墙 - 蠕虫病毒 - 木马揭秘 - 病毒防治 - 木马防黑 - 杀毒技巧 - BT中的病毒 - Linux病毒 - Word宏病毒 - Windows变慢 - 超女病毒 - 邮件病毒 - QQ病毒清除方法 - 网页病毒 - JPEG图片病毒 -


相关链接


从第一次造成全球性危害的CIH病毒首次爆发,到现在已经六年了,经过六年时间的发展和演化,计算机病毒已经呈现出完全不同的面貌,变成人们见怪不怪的社会公害。据有关部门的统计和分析,目前对用户构成最大威胁的是网络病毒。随着国内网民数量的增加,网民成为最容易受到病毒攻击的“高危群”。


相关专题


病毒知识



常见病毒



病毒热点问题



杀毒软件



实用小工具下载



推荐专题:杀毒软件 常见病毒 相关资源:病毒 木马 黑客  QQ群:22134343 / 3680101-wiki建站与应用 5903157-电脑使用