受到僵尸网络攻击，找不到电脑上那个文件的问题

wangqilin · 发表于 2020-5-24 22:05:37

本帖最后由 wangqilin 于 2020-5-24 22:38 编辑

仔细看了一下 22小时前就开始了
我也查杀病毒了，也没查出病毒文件。我自己找到了病毒文件但是一结束就蓝屏

文件名称：	csrss.exe
MD5：	0be91edab7544a7338c11d1376b302a7
文件类型：	EXE
上传时间：	2020-05-24 22:34:46
出品公司：	360.cn
版本：	2.0.0.3065---2, 0, 0, 3065
壳或编译器信息：	PACKER:Enigma Protector V1.1X-V1.3X -> Sukhov Vladimir & Serge N. Markin [Overlay] *

行为描述：	对比可疑进程名
详情信息：	lstrcmpiA: avp.exe <------> [System Process] Des: 卡巴斯基 lstrcmpiA: avp.exe <------> System Des: 卡巴斯基 lstrcmpiA: avp.exe <------> smss.exe Des: 卡巴斯基 lstrcmpiA: avp.exe <------> csrss.exe Des: 卡巴斯基 lstrcmpiA: avp.exe <------> winlogon.exe Des: 卡巴斯基 lstrcmpiA: avp.exe <------> services.exe Des: 卡巴斯基 lstrcmpiA: avp.exe <------> lsass.exe Des: 卡巴斯基 lstrcmpiA: avp.exe <------> GAaxService.exe Des: 卡巴斯基 lstrcmpiA: avp.exe <------> mrmcthlp.exe Des: 卡巴斯基 lstrcmpiA: avp.exe <------> svchost.exe Des: 卡巴斯基 lstrcmpiA: avp.exe <------> spoolsv.exe Des: 卡巴斯基 lstrcmpiA: avp.exe <------> jqs.exe Des: 卡巴斯基 lstrcmpiA: avp.exe <------> GLApgradeHelper.exe Des: 卡巴斯基 lstrcmpiA: avp.exe <------> alg.exe Des: 卡巴斯基 lstrcmpiA: avp.exe <------> explorer.exe Des: 卡巴斯基
行为描述：	搜索可疑进程名
详情信息：	strstr: avp.exe <------> Des: 卡巴斯基
行为描述：	尝试打开调试器或监控软件的驱动设备对象
详情信息：	\??\NTICE \??\SICE
行为描述：	获取TickCount值
详情信息：	TickCount = 219531, SleepMilliseconds = 1000. TickCount = 219843, SleepMilliseconds = 1000. TickCount = 220156, SleepMilliseconds = 1000. TickCount = 220265, SleepMilliseconds = 1000. TickCount = 220343, SleepMilliseconds = 1000. TickCount = 220468, SleepMilliseconds = 1000. TickCount = 220781, SleepMilliseconds = 1000. TickCount = 221093, SleepMilliseconds = 1000. TickCount = 221406, SleepMilliseconds = 1000. TickCount = 221718, SleepMilliseconds = 1000. TickCount = 222031, SleepMilliseconds = 1000. TickCount = 222343, SleepMilliseconds = 1000. TickCount = 222656, SleepMilliseconds = 1000. TickCount = 222968, SleepMilliseconds = 1000. TickCount = 223281, SleepMilliseconds = 1000.
行为描述：	直接调用系统关键API
详情信息：	Index = 0x00000025, Name: NtCreateFile, Instruction Address = 0x004D1772 Index = 0x000000B7, Name: NtReadFile, Instruction Address = 0x004D170A Index = 0x000000E0, Name: NtSetInformationFile, Instruction Address = 0x004D1681
行为描述：	创建系统服务
详情信息：	[服务创建成功]: Rsecei wsauyoou, C:\WINDOWS\system32\csrss.exe
行为描述：	查找反病毒常用工具窗口
详情信息：	NtUserFindWindowEx: [Class,Window] = [OLLYDBG,]

火绒运营专员 · 发表于 2020-5-25 09:48:09

您好，建议您全盘查杀，之后重启电脑，如果仍然无法解决问题，请添加QQ：2208613431，我们远程看下问题，感谢您的反馈！

wangqilin · 发表于 2020-5-25 10:58:45

火绒运营专员发表于 2020-5-25 09:48
您好，建议您全盘查杀，之后重启电脑，如果仍然无法解决问题，请添加QQ：2208613431，我们远程看下问题，感 ...

好那我就全盘查杀一下，电脑东西太多全盘查杀要很久

火绒运营专员 · 发表于 2020-5-27 14:55:18

您好，您的问题已经通过远程解决，感谢反馈！