TrojanSpy/QQPass.ce
今天回家,打开阔别已久的电脑右下角的火绒疯狂弹窗
文件名为csrss.exe的文件提示为“TrojanSpy/QQPass.ce”
大概50分钟内至少900+
https://attach.52pojie.cn//forum/202010/25/125417upsihiisv8mapajq.png?l
操作进程:C:\windows\tema\taskmds.exe
病毒路径:C:\csrss.exe
病毒名称:TrojanSpy/QQPass.ce
病毒ID:F067814CEB399400
于是我首先打开tema/这个路径,
这里显示是“腾讯网游加速器”试着将这个文件夹内所有文件后缀名变更为txt
有两个文件会再次生成
https://attach.52pojie.cn//forum/202010/25/125724t2z1fl47bmo80lq4.png?l
分别是“taskmdd.exe”和“libexpatw.dll”
将文件上传到“腾讯哈勃分析”网站后
“taskmdd.exe”提示为安全
https://habo.qq.com/file/showdetail?md5=30297b87526006d9fc52e417c0bf1ba9&pk=ADcGYl1kB2MIOVs9U2Q%3D
“libexpatw.dl”提示为轻度风险
“https://habo.qq.com/file/showdetail?md5=c2444682da6be20ac127a1b03aea7f18&pk=ADcGYl1kB2MIOVs9U2s%3D”
萌新的我什么都看不出来
于是去了C盘,看到这个间隔3~5s会再次自动生成的csrss.exe文件
https://attach.52pojie.cn//forum/202010/25/125758gcqbjqeuc3cmmbsx.png?l
去百度了一下,大概是个盗号文件
链接: https://pan.baidu.com/s/1wvXSJrxUGGa_facHDCwH9g 提取码: bdpq
解压密码52pojie
蓝色的csrss文件因为出现就会被火绒删除、所以没有办法复制。
使用文件粉碎将该文件彻底删除后,位于C盘根目录下的csrss.exe文件不再继续生成 盗号木马
页:
[1]