| « | September 2025 | » | | 日 | 一 | 二 | 三 | 四 | 五 | 六 | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | | | | | |
|
公告 |
| 本人不断成熟且一贯富有活力。自信有极强的学习能力。欢迎大家指教。 |
| Blog信息 |
|
blog名称:战胜困惑
日志总数:35
评论数量:161
留言数量:2
访问次数:300855
建立时间:2004年11月17日 |
| |
|
 纯手工查杀木马csrss.exe,rundll32.exe(转)
电脑与网络
永恒的热情 发表于 2005/2/3 21:14:00 |
| 前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。
然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字节,生成时间为12月9日12:37。而真正的csrss.exe只有4k,生成时间是2003年3月27日12:00,位于C:\Windows\Syetem32下。
于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。灭!
试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。
然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。
此后在12:38分生成了一个tmp.dat文件,内容是
@echo offdebug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat <C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.outcopy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.outdel C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.outdel C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.outC:\WINDOWS\system32\netstart.exe
好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。
汇编大约进行了1分钟,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:\Windows\System32下,后两个在当前用户的Temp文件夹里。
这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。
现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果,也是一个木马。
这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。 |
|
|
回复:纯手工查杀木马csrss.exe,rundll32.exe(转)
电脑与网络
三月(游客)发表评论于2006/6/7 14:33:05 |
| 我的机器最近上网点击次数多了后电脑就会自动重启,重启后电脑显示从一个重大错误中恢复,然后提示错误包含在以下两个文件中
C:\WINDOWS\Minidump\Mini060506-03.dmp
C:\DOCUME~1\jzss\LOCALS~1\Temp\WER1.tmp.dir00\sysdata.xml
请问各位高手我的电脑是不是中了木马或病毒了?怎么解决,我用杀毒软件根本就查不到病毒或木马。 |
|
|
回复:纯手工查杀木马csrss.exe,rundll32.exe(转)
电脑与网络
牛逼三(游客)发表评论于2006/5/20 8:18:38 |
| 你牛嘛,我不见的啊。``````````````!!!~~~~ |
|
|
回复:纯手工查杀木马csrss.exe,rundll32.exe(转)
电脑与网络
牛逼三(游客)发表评论于2006/5/20 8:18:38 |
| 你牛嘛,我不见的啊。``````````````!!!~~~~ |
|
|
回复:纯手工查杀木马csrss.exe,rundll32.exe(转)
电脑与网络
哈哈(游客)发表评论于2006/4/25 1:15:06 |
| 我系统里有这两个进程 其中RUNDELL32.EXE 的用户是我的登陆用户名 而CSRSS.EXE 用户是 SYSTEM而且我并没有遇见改首页的情况,不知道是不是系统里原本就有这两个进程.我的系统是XP2
|
|
|
回复:纯手工查杀木马csrss.exe,rundll32.exe(转)
电脑与网络
好厉害(游客)发表评论于2005/9/18 0:27:46 |
| 那个东东真得很厉害,我领教高招了,前面那种方法我也试过了,不行,怎么样都删除不了,气死了,好烦哪!!
有谁救我!!有事联系本人QQ:65014732 |
|
|
回复:大家好
电脑与网络
永恒的热情发表评论于2005/8/28 10:07:13 |
| 我的这篇文章是转的,大家喜欢我很高兴.
我会持续收集高手的文章,供大家分享.学习是一个永远的话题.
PS:我QQ12695078.大家有什么需要,希望我能帮得上忙. |
|
|
回复:纯手工查杀木马csrss.exe,rundll32.exe(转)
电脑与网络
1234(游客)发表评论于2005/8/27 11:03:19 |
|
|
回复:纯手工查杀木马csrss.exe,rundll32.exe(转)
电脑与网络
11(游客)发表评论于2005/8/22 10:43:47 |
|
|
回复:纯手工查杀木马csrss.exe,rundll32.exe(转)
电脑与网络
QQ50049218(游客)发表评论于2005/8/21 16:19:38 |
|
|
回复:纯手工查杀木马csrss.exe,rundll32.exe(转)
电脑与网络
ToyotoAE86(游客)发表评论于2005/8/9 11:39:57 |
| 我按照上面永恒的热情 所说得方法删除了[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值以后,重新启动发现csrss.exe和winlogon.exe,rundll32.exe都变成了大写,可csrss.exe还是5千多K,并不像你们所说得只有4K而且winlogon.exe,rundll32.exe也都蛮大得,我想请问一下,这些东西到底是病毒还是正常进程?????? |
|
|