热点科技

标题: [求助] 中了一木马求助大家！！Backdoor [打印本页]

作者: lshb 时间: 2006-6-9 11:58
标题: [求助] 中了一木马求助大家！！Backdoor
中了一木马求助大家！！Backdoor
昨日重装系统XP-SP1时，自动产生csrss.exe文件

在 c:\windows\ 目录下产生2个目录 winsock up

搜索了一下csrss.exe是一木马，

这个病毒怎么感染上的，原来电脑里面就有？？

未装系统钱机子没有查出病毒咔吧查的！！

作者: slrd100161 时间: 2006-6-9 12:13
Client/Server Runtime Server Subsystem，客户端服务子系统，用以控制Windows图形相关子系统。正常情况下系统中只有一个csrss.exe进程，正常路径在System32文件夹中，若出现两个，则其中一个(位于Windows文件夹中)是新浪利用了系统漏洞传播的一个类似于病毒的小插件。它会产生名为nmgamex.dll、sinaproc327.exe、csrss.exe三个常驻文件，并且在系统启动项中自动加载，在桌面产生一个名为“新浪游戏总动园”的快捷方式，不仅如此，新浪还将NMgamex.dll文件与系统启动文件rundll32.exe进行绑定，并且伪造系统文件csrss.exe，产生一个同名的文件与系统绑定加载到系统启动项内，无法直接关闭系统进程后删除。手工清除方法：先先修改注册表，清除名为启动项：NMGameX.dll、csrss.exe，然后删除System32\NMGameX.dll、System32\sinaproc327.exe和Windows\NMWizardA14.exe三个文件，再修改Windows文件夹中的csrss.exe文件为任意一个文件名，从新启动计算机后删除修改过的csrss.exe文件。

作者: xwb 时间: 2006-6-9 13:45
强人啊
!!!!!!!!!!!!!

作者: 001QIAO 时间: 2006-6-9 20:38
问题是怎么感染上的呢？？？

作者: bao6202 时间: 2006-6-9 20:42
系统安装文件中绑的！！！

作者: fullmoon520 时间: 2006-6-9 23:48
强啊！！！

作者: leang2 时间: 2006-6-10 02:40

原帖由 5188 于 2006-6-9 20:42 发表
系统安装文件中绑的！！！

怎么查，查不出来啊！！！！

作者: fl2000 时间: 2006-6-27 21:00
这种情况我也常遇到的
有的能殺有的就無能爲力了

作者: meijiu 时间: 2006-6-28 00:02
太利害了!

欢迎光临热点科技 (http://www.itheat.com/activity/)