瑞星卡卡安全论坛

大家好~我的电脑不知中了什么病毒(杀毒软件查不出的) .请大家帮我看看..状况如下:

    没办法关机.注销.没办法进入安全模式 双击没办法打开C盘和想打开任何软件的时候,我在任务管理器查看了一下,,就会运行一个图标写 (龍) 字的 英文叫Microsoft Corporation  的东西在,启动项里面是:Torjan Program  C:windows/csrss.exe.(详图在3楼)            (而且CPU达到100% 只要关了它就不会).

附件: 57840320059835334.jpg

在帮我看看这些进程里面有什么不对路的

附件: 57840320059840122.jpg

在启动项里面关了这个 (龙)  ..重启又会自动开了~~~~

附件: 57840320059841112.jpg

怎么没人帮忙啊

不太好理解，用hijackthis扫描个日志上来吧

hijackthis ??

英文原版下载地址:
http://forum.ikaka.com/download.asp?id=5188960
关于HijackThis的介绍和使用方法，请参考“瑞星网站HijackThis专题”
http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Faq/TopicExplorerPagePackage/hijackthis.htm

难道是中了传说中的“BT传奇木马”

中了c\windows\csrss.exe还是建议重装系统吧，若要手动清除实在是麻烦，不信看下面，我只是说了直接清除方法，没有列出病毒修改的具体数值，因为实在太多了

暂时看看先到安全模式下把病毒的生成的注册表键值删出，修改的注册表改回来，然后重新启动计算机删除病毒文件。



病毒会在系统分区根目录下生成如下文件，其他分区中可能也会同时生成：
autorun.inf（达到双击分区“自动运行”病毒的目的）

病毒生成如下文件：
%windir%\1.com
%windir%\CSRSS.exe
%windir%\ExERoute.exe
%windir%\explorer1.com
%windir%\finder.com
%windir%\MSWINSCK.OCX
%windir%\Debug\DebugProgram.exe
%system%\command.pif
%system%\dxdiag.com
%system%\finder.com
%system%\MSCONFIG.com
%system%\regedit.com
%system%\rundll32.com
%Program Files%\Common Files\iexplore.pif
%Program Files%\Internet Explorer\iexplore.com

病毒增加了太多注册表键值，超过100个，呵呵真麻烦，我不一一列举了，直接告诉你删除哪些主键：
HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\winfiles
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSWinsock.Winsock
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
单独删除以下键：
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache >> "Welcome to Windows NT"="D:\CSRSS.exe"(注意这里是D盘)
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache >> "Welcome to Windows NT"="C:\Program Files\common~1\iexplore.pif"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run >> "Trojan Program"="C:\windows\CSRSS.exe"
HKEY_USERS\S-1-5-21-2052111302-764733703-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache >> "Welcome to Windows NT"="D:\CSRSS.exe"(注意这里是D盘)
HKEY_USERS\S-1-5-21-2052111302-764733703-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache >> "Welcome to Windows NT"="C:\Program Files\common~1\iexplore.pif"


恢复以下病毒修改的注册表：
恢复HKEY_CLASSES_ROOT\.bfc\ShellNew >> Command的值为%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1
恢复HKEY_CLASSES_ROOT\.exe >> （默认）的值为exefile
恢复HKEY_CLASSES_ROOT\.lnk\ShellNew >> Command的值为rundll32.exe appwiz.cpl,NewLinkHere %1
恢复HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe"
恢复HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command >> （默认）的值为rundll32.exe shell32.dll,Control_RunDLL "%1",%*
恢复HKEY_CLASSES_ROOT\Drive\shell\find\command >> （默认）的值为%SystemRoot%\Explorer.exe
恢复HKEY_CLASSES_ROOT\dunfile\shell\open\command >> （默认）的值为%SystemRoot%\system32\RUNDLL32.EXE NETSHELL.DLL,InvokeDunFile %1
恢复HKEY_CLASSES_ROOT\ftp\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_CLASSES_ROOT\htmlfile\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_CLASSES_ROOT\htmlfile\shell\Print\command >> （默认）的值为"rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1""
恢复HKEY_CLASSES_ROOT\HTTP\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_CLASSES_ROOT\inffile\shell\Install\command >> （默认）的值为%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1
恢复HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command >> （默认）的值为rundll32.exe shdocvw.dll,OpenURL %l
恢复HKEY_CLASSES_ROOT\scrfile\shell\install\command >> （默认）的值为rundll32.exe desk.cpl,InstallScreenSaver %l
恢复HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command >> （默认）的值为"C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib "%1"
恢复HKEY_CLASSES_ROOT\telnet\shell\open\command >> （默认）的值为rundll32.exe url.dll,TelnetProtocolHandler %l
恢复HKEY_CLASSES_ROOT\Unknown\shell\openas\command >> （默认）的值为%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew >> Command的值为 %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe >> （默认）的值为exefile
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellNew >> Command的值为rundll32.exe appwiz.cpl,NewLinkHere %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe"
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell\cplopen\command >> （默认）的值为rundll32.exe shell32.dll,Control_RunDLL "%1",%*
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command >> （默认）的值为%SystemRoot%\Explorer.exe
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command >> （默认）的值为%SystemRoot%\system32\RUNDLL32.EXE NETSHELL.DLL,InvokeDunFile %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\Print\command >> （默认）的值为"rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1""
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command >> （默认）的值为"C:\Program Files\Internet Explorer\iexplore.exe" %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command >> （默认）的值为%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut\shell\open\command >> （默认）的值为rundll32.exe shdocvw.dll,OpenURL %l
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\install\command >> （默认）的值为rundll32.exe desk.cpl,InstallScreenSaver %l
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile\Shell\Generate Typelib\command >> （默认）的值为"C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib "%1"
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet\shell\open\command >> （默认）的值为rundll32.exe url.dll,TelnetProtocolHandler %l
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\command >> （默认）的值为%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet >> （默认）的值为IEXPLORE.EXE
恢复HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon >> Shell的值为Explorer.exe

删除如下快捷方式：
安全测试.lnk
系统信息管理器.lnk
计算机安全中心.lnk

你们没见过这个写着（龙）字的病毒吗

估计你的杀毒软件已经被病毒杀掉了才查不出来
建议你下载并使用HijackThis1.99.1 扫描一个日志贴上来
HijackThis下载地址请参考：
【必读】本版说明及常用小软件下载
http://forum.ikaka.com/topic.asp?board=67&artid=5188931

HijackThis的使用方法-----请参考--瑞星HijackThis专题
http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Faq/TopicExplorerPagePackage/hijackthis.htm

或参考图解说明：本版基本操作说明http://forum.ikaka.com/topic.asp?board=67&artid=6789825中的14，15楼图解

HijackThis_815汉化版扫描日志 V1.99.1
保存于      13:50:55, 日期 2005-9-8
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
E:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Bluewater\桌面\HijackThis1991zww.exe
C:\WINDOWS\CSRSS.exe

F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v5.dll
O2 - BHO: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - F:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\downlo~1\CnsHook.dll
O3 - IE工具栏增项: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [MSPY2002] rem C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002ASync] rem C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [CnsMin] rem Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [RavMon] E:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE
O8 - IE右键菜单中的新增项目: !搜一搜 - res://C:\WINDOWS\downlo~1\CnsMinEx.dll/1003
O9 - 浏览器额外的按钮: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - 浏览器额外的按钮: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: 开心享乐 - {6713E8D2-850A-101B-AFC0-4210102A8DA7} - http://www32.websamba.com/ppmmpic/c/?t=8/18/2005&j=346496&i=&f=n2-b (file missing) (HKCU)
O9 - 浏览器额外的按钮: 炫彩图铃 - {7713E8D2-850A-101B-AFC0-4210102A8DA7} - http://www32.websamba.com/ppmmpic/mms/?f=b (file missing) (HKCU)
O11 - Options group: [!CNS]  上网助手-地址栏搜索
O12 - IE插件，支持文件类型.spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6CA2488-94E3-4FA9-9EE5-1D833085345F}: NameServer = 202.96.128.166 202.96.128.86
O23 - NT 服务: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uninstall.exe
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\PROGRAM FILES\RISING\RAV\Ravmond.exe

终止C:\WINDOWS\CSRSS.exe
修复
F2 - REG:system.ini: Shell=Explorer.exe 1
O23 - NT 服务: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uninstall.exe
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
重起进安全模式，关闭系统还原
管理工具--服务--停止并禁用Network Connections Manager (NetConMan) 和Remote Packet Capture Protocol v.0 (experimental) (rpcapd)
我的电脑--工具--文件夹选项--查看--显示所有文件（如图，或参考本版基本操作说明http://forum.ikaka.com/topic.asp?board=67&artid=6789825）
查找并删除
C:\WINDOWS\uninstall.exe
C:\WINDOWS\CSRSS.exe
请您清空IE缓存
删除下面2个文件夹所有内容
C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files
C:\Documents and Settings\用户名\Local Settings\Temp


附件: 522163200598142341.gif

无法终止C:\WINDOWS\CSRSS.exe

安全模式能否终止？

这么复杂？我病毒的工程 还鸡毛大哟。

我上面写了。。。没办法关机.注销.没办法进入安全模式 。

引用:

【garnett21的贴子】不太好理解，用hijackthis扫描个日志上来吧 ...........................

这么复杂。还是重装好了。。。。。。。。。。我只是想搞清楚是中了什么病毒。。。。。

估计就是中了那个BT的传奇木马了
hoho~~！中者不死也残废了

BT的传奇木马是偷密码吗？。。。怎么防范它。不要重装又中

是盗号的

哪可以找到教人怎么重装系统的教程？

???????

看看这个就知道了：
http://forum.ikaka.com/topic.asp?board=28&artid=7050264