注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

mie

 
 
 

日志

 
 

win7 x64系统,无限创建系统进程(csrss.exe/winlogon.exe)  

2013-09-07 15:37:22|  分类: 安全/ |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

        这几天电脑出现了很奇怪的现象。很卡,cpu占用很高。刚好这几天弄了不少东西,所以也不好确定原因。

        电脑配置不高,是三年多以前的了,正准备换,又舍不得那点钱。软件配置:nod32 反病毒v6。

        昨晚很卡的时候,刚好购买了一个不安全的软件,并且在本机运行了。另外,测试自己开发的一个页游加速器,开了4个页游。于是,机器忽然卡顿,陆续关闭页游进程(每个进程资源耗用500多MB),但是还是很卡,观察发现,系统大量创建了csrss.exe/winlogon.exe等系统关键进程。重启后恢复正常。

        刚刚再次卡顿。我想,不会昨晚中招了吧?被那个不安全的软件给吃了?想想还是安装了360。但是都扫描不到隐患。

        监控系统。发现了奇怪的现象!smss.exe进程不断创建csrss进程,创建winlogon进程!这是在干嘛?开机启动么?我了个去,晕了,,似乎系统已经不知道自己在干嘛了,误以为自己在开机。

       以下是日志:

15:36:50.8958371 smss.exe 9352 Process Start SUCCESS Parent PID: 424 (父进程也是smss.exe,正常情况下,smss是不会创建自身进程的!)

15:36:51.0046640 smss.exe 9352 Process Create C:\Windows\system32\csrss.exe SUCCESS PID: 9188, Command line: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16

15:36:51.1963393 smss.exe 9352 Process Create C:\Windows\system32\winlogon.exe SUCCESS PID: 7032, Command line: winlogon.exe

15:36:51.1969491 smss.exe 9352 Process Exit SUCCESS Exit Status: 0, User Time: 0.0000000 seconds, Kernel Time: 0.0156001 seconds, Private Bytes: 229,376, Peak Private Bytes: 331,776, Working Set: 786,432, Peak Working Set: 786,432


应该是中毒了?

20130925:
大概知道原因了。本机开了3389,并且映射到了外网。于是,给了那些扫肉鸡的以可乘之机。
1. 无限创建csrss的问题,推测是有人在远程试图暴力破解windows登录密码。
2. svchost.exe大量上传数据。远程爆破,不断尝试连接到本机,从连接到看到windows远程登录桌面的过程,系统大量上传数据。——如果密码被破解成功,其结果肯定是电脑被控制,我本机登录的账户会被挤掉线(win7),所以,我的电脑未被控制。
 
20130928:
基本上确认是上面的原因。修改3389端口之后,这几天已经没有再出现之前的问题了。
By:zhanyonhu
  评论这张
 
阅读(749)| 评论(1)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016