瑞星卡卡安全论坛

前天没有事情！朋友喊我玩盛大85区，就下了个外挂！外挂一安装，放火墙和瑞星监控中心，全部被删除！
怎么杀毒都查不出病毒！！！难道这就是瑞星？这就是安全！！！
我机子上面一直就安装了卡卡和放火墙还有瑞星杀毒软件，全是最新的病毒库，每天都更新升级包括卡卡和防火墙还有杀毒软件！
我想骂人！！！
谁不相信我的话！谁就去http://www.wg997.com/去下个这婊子的东西试试！不叫你们重装系统，我算你厉害！！！

==我试试

查毒结果:瑞星不报毒,卡巴斯基不报毒
还是叫高人来吧,我没做Ghost备份,不敢胡来.
这个病毒在C:\WINDOWS\目录下释放了一个文件：
csrss.exe
以系统文件名欺骗用户（正常的csrss.exe在C:\WINDOWS\SYSTEM32\目录下）
当它调用这个程序时,我的SSM突然假死了,过了一会儿便阻止成功,但是当我打开IceSword准备看看这个东西做了些什么时,系统却突然关机!
执行shutdown -a没有用,但是机子也关不了."IceSword"禁止任何非法程序终止.
没办法,重启.
重启用删除了那个csrss.exe后现在也没有发现什么异常。

同情……

因为SSM的阻止,瑞星的监控没有被删除,HijackThis的日志也未见异常

楼上的两位你们一唱一和约好了吧？这么多外挂哪个是你说的那个呀？二楼的说，你是怎么知道他是哪个外挂滴？哈哈，你们早就认识，漏馅了吧……

网络太虚拟
小心为好

我正在保持自己一个纪录：半年没重装系统了。我也不想让它终断

引用:

【牛郎织女星的贴子】楼上的两位你们一唱一和约好了吧？这么多外挂哪个是你说的那个呀？二楼的说，你是怎么知道他是哪个外挂滴？哈哈，你们早就认识，漏馅了吧…… ...........................

我们不认识，我只是下载了第一个外挂，至于其它的，我没有试，不过从表现而言，第一个外挂看起来就有杀杀毒软件的功能。


警告牛郎织女星：以后不明白的事情请不要乱猜！

项

引用:

【闪电风暴的贴子】查毒结果:瑞星不报毒,卡巴斯基不报毒 还是叫高人来吧,我没做Ghost备份,不敢胡来. 这个病毒在C:\WINDOWS\目录下释放了一个文件： csrss.exe 以系统文件名欺骗用户（正常的csrss.exe在C:\WINDOWS\SYSTEM32\目录下） 当它调用这个程序时,我的SSM突然假死了,过了一会儿便阻止成功,但是当我打开IceSword准备看看这个东西做了些什么时,系统却突然关机! 执行shutdown -a没有用,但是机子也关不了."IceSword"禁止任何非法程序终止. 没办法,重启. 重启用删除了那个csrss.exe后现在也没有发现什么异常。 ...........................

能不能打包发送到ilif01@yahoo.com.cn~我都试一下

引用:

【逍遥Ж鼍的贴子】前天没有事情！朋友喊我玩盛大85区，就下了个外挂！外挂一安装，放火墙和瑞星监控中心，全部被删除！ 怎么杀毒都查不出病毒！！！难道这就是瑞星？这就是安全！！！ 我机子上面一直就安装了卡卡和放火墙还有瑞星杀毒软件，全是最新的病毒库，每天都更新升级包括卡卡和防火墙还有杀毒软件！ 我想骂人！！！ 谁不相信我的话！谁就去http://www.wg997.com/去下个这婊子的东西试试！不叫你们重装系统，我算你厉害！！！ ...........................

谁叫你安外挂？玩就玩麻，还外挂！

我逃

我曾经有过同样经理啊，，我没重做系统，，，现在一样号号用的，，，，忘记怎么弄了，，呵呵
是个高人指点的。。。。。

印象中是个比较牛B的木马，，，，，好象可以阻止现在比较流行的各种杀毒软件，，，什么瑞星，，金山等等。。。。

有个叫，，Clear.exe的小软件，，你去试试

显示隐藏文件夹: 删除文件
%windir%\1.com
%windir%\CSRSS.exe
%windir%\explorer1.com
%windir%\finder.com
%windir%\MSWINSCK.OCX
%windir%\Debug\DebugProgram.exe
%system%\command.pif
%system%\dxdiag.com
%system%\finder.com
%system%\MSCONFIG.com
%system%\regedit.com
%system%\rundll32.com
%Program Files%\Common Files\iexplore.pif
%Program Files%\Internet Explor
%windir%\ExERoute.exeer\iexplore.com
删除注册表建值HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache >> "Welcome to Windows NT"="D:\CSRSS.exe"(注意这里是D盘)
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache >> "Welcome to Windows NT"="C:\Program Files\common~1\iexplore.pif"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run >> "Trojan Program"="C:\windows\CSRSS.exe"
HKEY_USERS\S-1-5-21-2052111302-764733703-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache >> "Welcome to Windows NT"="D:\CSRSS.exe
HKEY_USERS\S-1-5-21-2052111302-764733703-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache >> "Welcome to Windows NT"="C:\Program Files\common~1\iexplore.pif"

热！这么BT的病毒啊！~
难道有什么办法可以搞定InstallShield？
还是说只是让瑞星的后台服务、前台程序瘫痪？

你别不信，，，真的有，，，只是我忘记怎么弄了，，，连名字都忘记了，，，，总的来说呢，，是让瑞星瘫痪，，，启动不了
其他杀毒软件也一样~
我曾经也经历过，，，当时有个高人帮忙弄的，，，现在都忘记了

这个网站上面的外挂都是一样！！！全部都是一个外挂~~~只是名字不一样罢了~~~~~
真是毒啊~~~~也不知道是谁弄的！~！！！
大家都想办法黑一下他！！！给他小样的一点教训！！！

好可恶!人就是这样,唉.没事干造病毒玩,有这精力做点有意义的软件早成富翁了.

【回复“逍遥Ж鼍”的帖子】
1/结束木马进程CSRSS.EXE。
2/将注册表修复工具RegFix.exe的后缀改为.scr。运行RegFix.scr，选择“全自动修复”，修复文件关联。
3/删除下列文件:
%windir%\1.scr
%windir%\boot.ini.bak
%windir%\CSRSS.exe
%windir%\explorer.scr
%windir%\ROUTER.exe
%windir%\FILELOCATION.com
%windir%\Debug\DebugProgram.exe
%system%\command.scr
%system%\dxdiag.com
%system%\FILELOCATION.com
%system%\MSCONFIG.com
%system%\regedit.com
%system%\rundll32.com
%Program Files%\Common Files\IEXP1ORE.COM
%Program Files%\Internet Explorer\IEXP1ORE.COM。
注：此马还在我的硬盘E分区下释放：  autorun.inf和command.com。 这两个文件也要删除。

4/RegFix.scr不能清理下列注册表项，请自己手动清理：

（1）HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
删除：@="\"C:\\Program Files\\Internet Explorer\\IEXP1ORE.com\""

（2）HKEY_CLASSES_ROOT\ftp\shell\open\command
删除： @="\"C:\\Program Files\\Internet Explorer\\IEXP1ORE.com\" %1"

（3）HKEY_CLASSES_ROOT\htmlfile\shell\open\command
删除 ：@="\"C:\\Program Files\\Internet Explorer\\IEXP1ORE.com\" -nohome"


（4）HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

删除： @="\"C:\\Program Files\\common~1\\IEXP1ORE.pif\" %1"

（5）HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command

删除：@="C:\\WINDOWS\\ROUTER.exe \"%1\" %*"

（6）HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings

删除："GUID"="{KFIXE3-N8A50B-O2A82F-5WU490-6YBUUU}"

（7）HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除：Trojan Program

（8）HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

删除：Trojan Program

该用户帖子内容已被屏蔽

wg999.wg997.中国外挂网等等外挂网站3天2头让人种马的。也不知道是网站管理员自己种的还是其它人种的。反正我现在不上外挂网站了。

瑞星是垃圾,你才知道啊???

还是小心点好

金山毒霸昨天第二次常规升级已能清除此病毒
kv到今天2号的病毒库仍没有彻查，但他的未知病毒扫描发现csrss.exe高度可疑达95%以上，基本认定为病毒。可结束进程后搜索csrss.exe后删除
瑞星至今仍没有办法对付他

引用:

【闪电风暴的贴子】查毒结果:瑞星不报毒,卡巴斯基不报毒 还是叫高人来吧,我没做Ghost备份,不敢胡来. 这个病毒在C:\WINDOWS\目录下释放了一个文件： csrss.exe 以系统文件名欺骗用户（正常的csrss.exe在C:\WINDOWS\SYSTEM32\目录下） 当它调用这个程序时,我的SSM突然假死了,过了一会儿便阻止成功,但是当我打开IceSword准备看看这个东西做了些什么时,系统却突然关机! 执行shutdown -a没有用,但是机子也关不了."IceSword"禁止任何非法程序终止. 没办法,重启. 重启用删除了那个csrss.exe后现在也没有发现什么异常。 ...........................

那不是传奇木马病毒吗.很BT的那种改注册表很多项

引用:

【逍遥Ж鼍的贴子】前天没有事情！朋友喊我玩盛大85区，就下了个外挂！外挂一安装，放火墙和瑞星监控中心，全部被删除！ 怎么杀毒都查不出病毒！！！难道这就是瑞星？这就是安全！！！ 我机子上面一直就安装了卡卡和放火墙还有瑞星杀毒软件，全是最新的病毒库，每天都更新升级包括卡卡和防火墙还有杀毒软件！ 我想骂人！！！ 谁不相信我的话！谁就去http://www.wg997.com/去下个这婊子的东西试试！不叫你们重装系统，我算你厉害！！！ ...........................

外挂本身就是一种木马病毒,还是不用的好.
你没必要怪瑞星无能,这就像你的家,家里有门窗(系统的漏洞)如果补丁打全(相当于门窗都关紧了),杀软(相当于院子里的狗),但是你自己把贼(病毒)放进来了.还想指望狗来咬吗?