瑞星卡卡安全论坛

这只木马确实比较疯狂。然而，如果您安装了SSM，对付它，也不是什么难事。
即使不慎中招，SSM也会自动禁止其添加的两个关键启动加载项（图1）。这样，您可以轻松删除木马创建的19个文件（图2）。注意：木马文件CSRSS.EXE在WINDOWS文件夹中；正常系统文件CSRSS.EXE在系统文件夹中。不要盲目乱删文件。

注册表清理略繁（这个木马太BT了）。

可先用RegFix自动修复注册表。然后，再进行如下注册表清理工作。

展开：HKEY_CLASSES_ROOT\.bfc\ShellNew
删除："Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"

展开：HKEY_CLASSES_ROOT\.lnk\ShellNew
删除："Command"="rundll32.com appwiz.cpl,NewLinkHere %1"


展开：HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
删除：@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"


展开：HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32
删除：@="C:\\windows\\MSWINSCK.OCX"


展开：HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\MiscStatus
删除：@="0"

展开：HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\MiscStatus\1
删除：@="132497"

展开：HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\ProgID
删除：@="MSWinsock.Winsock.1"

展开：HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\ToolboxBitmap32
删除：@="C:\\windows\\MSWINSCK.OCX, 1"

展开：HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
删除：@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\""

展开：HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
删除：@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"

展开：HKEY_CLASSES_ROOT\Drive\shell\find\command
删除：@="%SystemRoot%\\explorer1.com"

展开：HKEY_CLASSES_ROOT\dunfile\shell\open\command
删除：@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

展开：HKEY_CLASSES_ROOT\ftp\shell\open\command
删除：@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"

展开：HKEY_CLASSES_ROOT\htmlfile\shell\open\command
删除：@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"

展开：HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
删除：@="\"C:\\Program Files\\common~1\\iexplore.pif\" %1"

展开：HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}\ProxyStubClsid
删除：@="{00020424-0000-0000-C000-000000000046}"

展开：HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}\ProxyStubClsid32
删除：@="{00020424-0000-0000-C000-000000000046}"

展开：HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}\TypeLib
删除：@="{248DD890-BB45-11CF-9ABC-0080C7E7B78D}"

展开：HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}\ProxyStubClsid
删除：@="{00020420-0000-0000-C000-000000000046}"

展开：HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}\ProxyStubClsid32
删除：@="{00020420-0000-0000-C000-000000000046}"

展开：HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}\TypeLib
删除：@="{248DD890-BB45-11CF-9ABC-0080C7E7B78D}"

展开：HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
删除：@="finder.com shdocvw.dll,OpenURL %l"

展开：HKEY_CLASSES_ROOT\MSWinsock.Winsock\CLSID
删除：@="{248DD896-BB45-11CF-9ABC-0080C7E7B78D}"

展开：HKEY_CLASSES_ROOT\MSWinsock.Winsock\CurVer
删除：@="MSWinsock.Winsock.1"


展开：HKEY_CLASSES_ROOT\MSWinsock.Winsock.1\CLSID
删除：@="{248DD896-BB45-11CF-9ABC-0080C7E7B78D}"

展开：HKEY_CLASSES_ROOT\scrfile\shell\install\command
删除：@="finder.com desk.cpl,InstallScreenSaver %l"


展开：HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
删除：@="\"C:\\WINDOWS\\System32\\finder.com\" C:\\WINDOWS\\System32\\scrobj.dll,GenerateTypeLib \"%1\""

展开：HKEY_CLASSES_ROOT\telnet\shell\open\command
删除：@="finder.com url.dll,TelnetProtocolHandler %l"

展开：HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\0\win32
删除：@="C:\\windows\\MSWINSCK.OCX"

展开：HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\FLAGS
删除：@="2"

展开：HKEY_CLASSES_ROOT\Unknown\shell\openas\command
删除：@="%SystemRoot%\\system32\\finder.com %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"

展开：HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
删除：@="C:\\windows\\ExERoute.exe \"%1\" %*"

展开：HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Process Debuger\CRCCode
删除："Name"="0"

展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除："HKEY_CLASSES_ROOT\\.exe"="exefile"



图1

附件: 1558472005822144301.jpg

图2

附件: 1558472005822144412.jpg

斑竹，木马创建的文件以及注册表修改项都是你的tpf2005检测出来的 ？

引用:

【什么情况的贴子】斑竹，木马创建的文件以及注册表修改项都是你的tpf2005检测出来的 ？ ...........................

是的。

斑竹能不能告诉下你的测试环境，比如所有的软件和工具等

还有我在安装你说的tpf2005的时候总出现


附件: 4750692005822145840.bmp

引用:

【什么情况的贴子】斑竹能不能告诉下你的测试环境，比如所有的软件和工具等 ...........................

测试环境就是普通WINDOWS模式。监测工具：TPF2005和SSM。

引用:

【什么情况的贴子】还有我在安装你说的tpf2005的时候总出现 ...........................

已经说 得很明白了：要安装TPF2005，软件环境需要WIN2000 ＋SP3或者WINXP+SP1以上；或WIN2003。

这么说偶得xp sp1装不了了。。。。。。

谢谢baohe斑竹解答

【回复“baohe”的帖子】
此木马的确非常BT，稍微清除不当又会反复感染。
欲清理“干净”，很复杂。
用Regfix时候还需改名，否则不断激活此木马。。

关于这个木马，海色在DB的一周概述中有谈到，比较棘手。

看来执行玩玩，需要用“完美卸载”工具

有朋友试过吗？

引用:

【花落花又开的贴子】【回复“baohe”的帖子】 用Regfix时候还需改名，否则不断激活此木马。。 ...........................

之所以如此，多是因为没有在安全软件的注册表监控中加入HKCR\.exe、HKCR\exefile\shell\open\command两个注册表键值的保护。
这两个键值有一个被改动，再把注册表编辑器一封，你就是有再好的工具，也不好使了。

斑主木马的名字叫什么啊?

好贴顶！~~~~~~~~~~~~~~~~

【回复“0我是天才0”的帖子】木马名：CSRSS.EXE!!!!

中此毒的应该引以为戒,找到中毒的源.

这个木马一般的传播方式是什么啊？

是不是只要进程里出现csrss就是这个呀..我照着楼主说的做了..可有几个找不到...或者键值不一样..我也都删了..不知道我做的对不对...盼回复..谢谢楼主..

有没有专杀工具

拜托斑竹提供一个专杀工具,拜托了.菜鸟搞不定啊

【回复“☆唐朝★”的帖子】
系统中有csrss.exe进程,不过正确的位置是c:\windows\system32\csrss.exe.
如果它是位置是c:\windows\csrss.exe.那你可就麻烦了.

现在专杀工具还没有看到，谢谢老大，有空把Tiny的资料给我吧，我忍受不了了。

引用:

【天天泡泡的贴子】现在专杀工具还没有看到，谢谢老大，有空把Tiny的资料给我吧，我忍受不了了。 ...........................

TPF2005的说明书（英文）在附件中。

附件: 1558472005822212859.rar

引用:

【sbyygy的贴子】【回复“☆唐朝★”的帖子】 系统中有csrss.exe进程,不过正确的位置是c:\windows\system32\csrss.exe. 如果它是位置是c:\windows\csrss.exe.那你可就麻烦了. ...........................

下面这2个值一样么？
Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"

Command"="%SystemRoot%\\system32\\rundll32.exe %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"

我没发现我的win下有csrss 不过注册表中的值却相差无几~？

【回复“我汗菜”的帖子】
正常的是：
Command"="%SystemRoot%\\system32\\rundll32.exe %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"

谢谢老大

哈~~~！晕了 差点给删了~

太感谢了,今天找了一天这个病毒怎么手动清除.终于找到了.好贴呀.我下了个私服登录器就中了.可恶呀!

：）

收了，谢谢BAOHE