瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 答“杉水”—驱动级木马csrssrs.exe感染系统记录及查杀方法
baohe - 2005-9-11 1:15:00
1、感染系统后创建的木马文件:

C:\windows\system32\SVKP.sys
C:\windows\system32\csrssrs.exe

2、注册表更改:


在:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下添加:
Win32 Csrss Service For Windows

在:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\下添加:
Win32 Csrss Service For Windows

在:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\下添加:
Win32 Csrss Service For Windows

在:HKCU\Software\Microsoft\Windows\CurrentVersion\Run\下添加:
Win32 Csrss Service For Windows

在:HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\下添加:
Win32 Csrss Service For Windows

在:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\下添加:
LEGACY_SVKP

在:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Enum\Root\下添加:
LEGACY_SVKP

在:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002\Enum\Root\下添加:
LEGACY_SVKP

在:HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\下添加:
Win32 Csrss Service For Windows

在:HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\下添加:
Win32 Csrss Service For Windows

在:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下添加:

SVKP("ImagePath"=\??\c:\windows\system32\SVKP.sys)。

3、查杀前所见:

进程列表中可见csrssrs.exe进程(指向C:\windows\system32\csrssrs.exe,见图1)。

插入OPERA浏览器进程。

此木马有进程守护功能(见图2。

因此,手工查杀的工具最好采用IceSword。

4、查杀步骤:

(1)在IceSword的 设置  中勾选 “禁止进程创建”、“禁止协件功能”。
(2)结束病毒进程csrssrs.exe。
(3)删除病毒文件:
    C:\windows\system32\SVKP.sys
    C:\windows\system32\csrssrs.exe

(4)清理注册表:删除病毒添加的上述注册表项。



图1

附件: 155847200591111516.jpg
baohe - 2005-9-11 1:17:00
图2

附件: 155847200591111711.jpg
bobo无极限 - 2005-9-11 2:46:00
这个问题感觉好熟悉
杉水 - 2005-9-11 2:50:00
呵,清除成功。非常感谢。
冷雨夜阑 - 2005-9-11 2:53:00
学习一下
1
查看完整版本: 答“杉水”—驱动级木马csrssrs.exe感染系统记录及查杀方法
© 2000 - 2026 Rising Corp. Ltd.