搜索
查看: 1754|回复: 4
收起左侧

[已解决] 中了csrss病毒,求解决办法!感谢!!!

[复制链接]
颜心
发表于 2017-8-7 07:55:45 | 显示全部楼层 |阅读模式
本帖最后由 颜心 于 2017-8-7 21:34 编辑


最近在下载国外网站软件时,中了这个病毒。

首先是任务管理器出现了高占用的csrss.exe

高占用的csrss.exe

高占用的csrss.exe

然后查看信息可以得到这个本该是系统用户的进程竟然是用户进程

3.png


然后这个进程查看文件位置后发现,位置在:C:\Users\maink\AppData\Roaming\csrss local files 类似的位置,

1.png 2.png

文件内容打包在这里链接:http://pan.baidu.com/s/1i4BHa6L 密码:r3ra


其中的csrss.exe上传到腾讯哈勃系统后,得到的分析结果在这里:



网上查到的一些解决办法没有效果,所以来这里求助各位大大。

希望得到各位大大的帮助。



已经暂时得到了解决。


我的操作根据哈勃分析的行为进行的。

  • 处理csrss.exe的内容
    1) 在任务管理器中结束了CPU占用率较高的csrss进程,该进程为病毒。
    2) 进入"C:\Users\用户名\AppData\Roaming\"路径下,删除csrss开头的几个类似“csrss local files ”、“csrss share files”的文件夹。
    3) 在任务管理器的“启动”标签卡里,禁用如图的几个启动项 5.png
    4) 进入“C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup”目录「既开始菜单“启动”目录」,删除几个后缀为“*.vbs”的文件。
    至此,csrss.exe的处理部分结束
  • 处理下载的一些垃圾软件
    直接卸载即可,注意的是卸载的时候有些复选框呀什么的,要小心一点。不然可能在卸载过程中再被装上其他恶意软件。
  • 处理被篡改的Chrome主页
    恶意软件是通过如图方式篡改的主页,
    4.png
    对于桌面和开始菜单中的快捷方式,右键属性后删除“目标”栏后加的启动参数即可。
    对于固定在任务栏上的图标,先“取消固定”,再打开浏览器后“固定”即可。

至此,处理完毕。不清楚是否还有遗留,但是系统暂时恢复了正常。

另外在此感谢KK院长的回复和帮助。

另外附上该病毒的一些文件的检测和分析结果。
XMind+8+Pro+Crack.exe 「对,就是下载这个东西让我中的毒」
http://r.virscan.org/report/5b40f2a485f400e3ec6fdce1bc9c9601
https://habo.qq.com/file/showdetail?md5=c2b2de2a82758c32926c429a5e2083c2&pk=ADAGZF1sB2YIP1s9

csrss.exe
http://r.virscan.org/report/fd8b721470521842a96771d88b6fe6f8
https://habo.qq.com/file/showdetail?md5=999be6eca33bd41eb699272318f2deb9&pk=ADAGZF1sB2YIPVs%2F

data.exe
http://r.virscan.org/report/91e36caba85f1c038087e7d4fb35707d
https://habo.qq.com/file/showdetail?md5=d31a44c728ccfcb7c09292df9851ea1a&pk=ADAGZF1sB2YIPls8

start.vbs
http://r.virscan.org/report/616ce908afb3d4332fba6e379e117d1e
https://habo.qq.com/file/showdetail?md5=314a18215307a59bb031a10834b5cfdb&pk=ADAGZF1sB2YIPls%2B






KK院长
发表于 2017-8-7 09:24:49 | 显示全部楼层
颜心
 楼主| 发表于 2017-8-7 09:41:42 | 显示全部楼层
KK院长 发表于 2017-8-7 09:24
http://bbs.kafan.cn/thread-2096186-1-1.html   先看一下。

首先感谢回复。

该病毒的virscan扫描结果如下
http://r.virscan.org/report/fd8b721470521842a96771d88b6fe6f8
几乎没有几个杀软将其认定为病毒。

然后我下载过大蜘蛛,大蜘蛛没有帮助到我。
KK院长
发表于 2017-8-7 09:45:38 | 显示全部楼层
颜心 发表于 2017-8-7 09:41
首先感谢回复。

该病毒的virscan扫描结果如下

请在PF 或安全模式下 使用 ,Emsisoft Emergency Kit +360的急救箱   同时用。
如果不行 手工杀毒,找到 csrss.exe 下面模块文件解除病毒。
颜心
 楼主| 发表于 2017-8-7 09:50:46 | 显示全部楼层
KK院长 发表于 2017-8-7 09:45
请在PF 或安全模式下 使用 ,Emsisoft Emergency Kit +360的急救箱   同时用。
如果不行 手工杀毒,找 ...

多谢回复。

正在尝试手工杀毒。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-11-21 18:01 , Processed in 0.052139 second(s), 5 queries , MemCached On.

快速回复 返回顶部 返回列表