CSS.exe是什么进程?
答案:3 悬赏:10 手机版
解决时间 2021-06-03 14:45
- 提问者网友:捧腹剧
- 2021-06-03 00:49
这个进程要怎么删掉..
最佳答案
- 五星知识达人网友:舊物识亽
- 2021-06-03 02:13
* 病毒描述
该病毒为蠕虫类,病毒运行后复制自身到系统目录下,并衍生病毒文件;修改注册表,添加启动项,降低ie浏览器的安全性能,锁定“文件夹选项”中对隐藏文件的显隐选择,连接网络下载病毒文件,并执行;病毒运行完毕后删除自身。
* 行为分析-本地行为
1、文件运行后会释放以下文件
%System%\jjxzajcj32dl.dll 63,488 字节[随机文件名]
%System%\jjxzwzjy090118.exe 40,630 字节[随机文件名]
2、新增注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
注册表值: "CheckedValue"
新建键值: DWORD: 0 (0)
原键值: DWORD: 1 (0x1)
描述:锁定“文件夹选项”中对隐藏文件的显隐选择
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
注册表值: "Check_Associations"
类型: REG_SZ
值: "no"
描述:降低ie浏览器的安全性能
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
注册表值: "dlmcjjcdfc"
类型: REG_SZ
值: "C:\WINDOWS\system\jjxzwzjy090118.exe"
描述:启动项,使病毒文件随资源管理器启动
* 行为分析-网络行为
1、连接网络下载要下载的病毒列表
协议:TCP
域名或IP地址:www.a3168.com
列表地址:HTTP://www.a3168.com/mydown.asp?ver=090118&tgid=3&address=00-0C-29-9C-7B-01
列表内容:
begin
1,090120,10241, http://www.wew2223.cn/new/shengji.exe,120,1,180,1,10000,11,0,1,0,1
7,
2,0,34000, http://www.wew2223.cn/new/css.exe,10,0-24,,
2,0,47000, http://www.wew2223.cn/new/ggg.exe,30,0-24,,
2,90120,16000, http://www.wew2223.cn/new/30.exe,100,0-24,,
2,0,148000, http://www.wew2223.cn/new/msn180.exe,10,0-24,,
3,127.0.0.1,js.tongji.cn.yahoo.com
3,127.0.0.1,img.tongji.cn.yahoo.com
end
2、下载文件的危害说明:
http://www.wew2223.cn/new/shengji.exe
Worm/Win32.AutoRun.etn
http://www.wew2223.cn/new/css.exe
Rootkit/Win32.Agent.fvn
http://www.wew2223.cn/new/ggg.exe
Trojan/Win32.QQPass.eu[stealer]
http://www.wew2223.cn/new/30.exe
Trojan/Win32.VB.irf
http://www.wew2223.cn/new/msn180.exe
AdWare/Win32.AdMedia.ed[:not_virus]
注:%System32% 是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt \System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C: \Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
参考: http://www.kafan.cn/shadu/news/200902023727.html里面有解决方案。
该病毒为蠕虫类,病毒运行后复制自身到系统目录下,并衍生病毒文件;修改注册表,添加启动项,降低ie浏览器的安全性能,锁定“文件夹选项”中对隐藏文件的显隐选择,连接网络下载病毒文件,并执行;病毒运行完毕后删除自身。
* 行为分析-本地行为
1、文件运行后会释放以下文件
%System%\jjxzajcj32dl.dll 63,488 字节[随机文件名]
%System%\jjxzwzjy090118.exe 40,630 字节[随机文件名]
2、新增注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
注册表值: "CheckedValue"
新建键值: DWORD: 0 (0)
原键值: DWORD: 1 (0x1)
描述:锁定“文件夹选项”中对隐藏文件的显隐选择
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
注册表值: "Check_Associations"
类型: REG_SZ
值: "no"
描述:降低ie浏览器的安全性能
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
注册表值: "dlmcjjcdfc"
类型: REG_SZ
值: "C:\WINDOWS\system\jjxzwzjy090118.exe"
描述:启动项,使病毒文件随资源管理器启动
* 行为分析-网络行为
1、连接网络下载要下载的病毒列表
协议:TCP
域名或IP地址:www.a3168.com
列表地址:HTTP://www.a3168.com/mydown.asp?ver=090118&tgid=3&address=00-0C-29-9C-7B-01
列表内容:
begin
1,090120,10241, http://www.wew2223.cn/new/shengji.exe,120,1,180,1,10000,11,0,1,0,1
7,
2,0,34000, http://www.wew2223.cn/new/css.exe,10,0-24,,
2,0,47000, http://www.wew2223.cn/new/ggg.exe,30,0-24,,
2,90120,16000, http://www.wew2223.cn/new/30.exe,100,0-24,,
2,0,148000, http://www.wew2223.cn/new/msn180.exe,10,0-24,,
3,127.0.0.1,js.tongji.cn.yahoo.com
3,127.0.0.1,img.tongji.cn.yahoo.com
end
2、下载文件的危害说明:
http://www.wew2223.cn/new/shengji.exe
Worm/Win32.AutoRun.etn
http://www.wew2223.cn/new/css.exe
Rootkit/Win32.Agent.fvn
http://www.wew2223.cn/new/ggg.exe
Trojan/Win32.QQPass.eu[stealer]
http://www.wew2223.cn/new/30.exe
Trojan/Win32.VB.irf
http://www.wew2223.cn/new/msn180.exe
AdWare/Win32.AdMedia.ed[:not_virus]
注:%System32% 是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt \System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C: \Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
参考: http://www.kafan.cn/shadu/news/200902023727.html里面有解决方案。
全部回答
- 1楼网友:duile
- 2021-06-03 03:46
css??不是最新德CS吗- -!
- 2楼网友:猎心人
- 2021-06-03 03:29
是后门木马病毒
该病毒修改注册表创建系统服务GrayPigeoncss实现css.exe自启动,修改注册表创建系统服务Disk check实现yinxun.bat.ini.exe自启动,并将病毒模块mmdlkjat.dll,.dll等注入进程运行。该病毒属于灰鸽子木马,窃取账号密码为主。
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯