AndAudio.com

我現在開啟工作管理員的時候, 裡面會有兩個csrss.exe

我已經到處查過資料了...

有人說大寫的CSRSS.EXE才是病毒..

可是我這兩個都是小寫的..

也有資料寫到這個病毒會自我複製成%windor%\csrss.exe

可是我的C:\WINNT裡又找不到這個檔..

也有人說用ntsd 可以把它殺掉..

可是工作管理員裡PID較前面的那個csrss.exe不能殺..

較後面的那個csrss.exe一殺掉馬上又換個PID繼續執行...

防毒軟體本來用的是AVAST HOME EDITION..

可是因為中了毒.. 所以我現在換成卡巴斯基6.XXXXXX版..

可是卡巴斯基好像也沒有辦法查到這個csrss.exe...

我想請問一下... 這個工作管理員裡有兩個csrss.exe應該是中病毒沒有錯吧?

那有沒有什麼辦法解掉他呢?

會發現有這個問題..

是在我申請3G上網後.. 因為我只要一把網路卡停掉..

馬上csrss.exe的CPU LOADING就會飆到100%

我連關機都關不了..... 得要強制用POWER SWITCH關機...

這樣對硬碟的資料實在不是很好...

對了, 我的作業系統是WINDOWS 2000 PROFESSIONAL / SP4

請大家幫忙解答! 謝謝!

先試試進階版的工作管理員

http://www.microsoft.com/technet/sysint ... lorer.mspx

捉一個、殺一個、砍一個

用這個PROCESS EXPLORER, csrss.exe還是會自動生出另外一個..

總之就是很奇怪... 我已經完全搞不清楚了....

現在家裡的電腦正在用NOD32全機深入分析中...

到底還有哪一個防毒軟體是很好用的呢?

ˊˋ。。。

首先可以的話　還是換換ＸＰ吧

畢竟ＸＰ安全性比２０００高多了 （雖然Ｍ＄都差不多ＸＤ＂）

然後就是看能不能找出你那個ｃｓｒｓｓ。ｅｘｅ的資料夾吧∼

我這裡是有個記憶體管理程式。。。有個附加功能是可以直接前往現在正開著的程式的資料夾

但是第一下載網址是英文∼而且也沒有直接載點

第二是這玩意兒要破解

所以說。。。要弄請ＰＭ在下 但是當然要等在下上線才有辦法替閣下解決

啊還有就是∼這是不是病毒也不太明朗。。。因為還要特地停掉網路卡才會＂發作＂

最後就是∼看看到安全模式下面能不能用ntsd -c q -p PID＂關關＂看＠＠∼（ｎｔｓｄ是拿來關閉程式用的指令。。。 ）

一點淺見

有先看過幾個登錄檔的地方嗎?
先進安全模式.執行regedit
找到可能的.先備份在砍.以免殺錯.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

然後再用關鍵字去找一遍

然後看看host檔有沒有被動過.
如果確認病毒的檔名及位置.但是會不斷重生的話.找找"費爾安全實驗室"
http://www.filseclab.com/cht/tech/infos ... ineage.htm
下載powerrmv.zip來用

都處理好後.更新病毒碼.全系統掃瞄.掃除餘虐~~

去硬碟裡面找了一下.. 有以下幾個csrss.exe

磁碟區 C 中的磁碟是 W2K
磁碟區序號: 3017-EF2C

目錄: C:\WINNT\$NtServicePackUninstall$

2000/01/10 12:00p 5,392 csrss.exe
1 個檔案 5,392 位元組

目錄: C:\WINNT\ServicePackFiles\i386

2003/06/19 12:05p 5,392 csrss.exe
1 個檔案 5,392 位元組

目錄: C:\WINNT\system32

2003/06/19 12:05p 5,392 CSRSS.EXE
1 個檔案 5,392 位元組

目錄: C:\WINNT\system32\drivers

2004/08/08 04:00a 245,760 csrss.exe
1 個檔案 245,760 位元組

檔案數目總計:
4 個檔案 261,936 位元組
0 個目錄 14,715,953,152 位元組可用

哪一個看起來比較像是病毒?

是前三個同容量的? 還是後面那個太大的?

阿榮 寫: 目錄: C:\WINNT\system32\drivers

2004/08/08 04:00a 245,760 csrss.exe
1 個檔案 245,760 位元組

這個有問題~~~~~

斃了他

我已經斃掉它啦!!

目前工作管理員裡已經剩下一個csrss.exe囉..

順便問一下.. 有辦法分辨工作管理員裡的TASK哪個是正常的哪個是異常的嗎?

看到一堆PROCESS搞都搞不清楚...

AD 寫:

阿榮 寫: 目錄: C:\WINNT\system32\drivers

2004/08/08 04:00a 245,760 csrss.exe
1 個檔案 245,760 位元組

這個有問題~~~~~

斃了他

csrss會出現在drivers裡面!?
藏也藏好一點吧

阿榮 寫::ho:

我已經斃掉它啦!!

目前工作管理員裡已經剩下一個csrss.exe囉..

順便問一下.. 有辦法分辨工作管理員裡的TASK哪個是正常的哪個是異常的嗎?

看到一堆PROCESS搞都搞不清楚...

看看Process Explorer內的"Company Name"

正牌的csrss有顯示Microsoft
冒牌的就沒有

如果說是將"csrss" Kill process後馬上又重生，那很可能電腦裡有共犯喔∼
最好再搜搜看

謝謝大家的回答..

目前工作管理員裡確定是只有一個csrss.exe了, 所以應該是解決了..

不過我要再問一個問題..

就是工作管理員裡的svchost.exe有幾個才算是正常?

我看過網路上的文章說WINDOWS 2000應該是兩個

WINDOWS XP才會有四個...

不過我是WINDOWS 2000 SP4.. 我有四個svchost.exe的PROCESS..

這樣是正常的嗎? 在PROCESS EXPLORER裡看..

這四個的COMPANY NAME都是顯示MICROSOFT CORPORATION...

病毒真是討厭呀.. 一日被蛇咬.. 十年怕草繩...

杯弓蛇影講的就是這樣的情況吧?

現在看工作管理員裡的PROCESS.. 怎麼看怎麼就是覺得怪怪的...

老是怕又有病毒偽裝的很好.. 看都看不出來...

阿榮 寫:謝謝大家的回答..

目前工作管理員裡確定是只有一個csrss.exe了, 所以應該是解決了..

不過我要再問一個問題..

就是工作管理員裡的svchost.exe有幾個才算是正常?

我看過網路上的文章說WINDOWS 2000應該是兩個

WINDOWS XP才會有四個...

不過我是WINDOWS 2000 SP4.. 我有四個svchost.exe的PROCESS..

這樣是正常的嗎? 在PROCESS EXPLORER裡看..

這四個的COMPANY NAME都是顯示MICROSOFT CORPORATION...

病毒真是討厭呀.. 一日被蛇咬.. 十年怕草繩...

杯弓蛇影講的就是這樣的情況吧?

現在看工作管理員裡的PROCESS.. 怎麼看怎麼就是覺得怪怪的...

老是怕又有病毒偽裝的很好.. 看都看不出來...

啊哈哈 我用XP有6個svchost
可是系統一直很正常...用好幾種掃毒也都沒掃到東西

宿網非常毒
要是連上網路沒裝防毒沒更新windows
大概十分鐘內就會中標
反正後來就會習慣了
隨時做好備份
有事不管它直接重灌最快XD
平常用火狐，不要亂抓東西的話
其實也沒那麼容易中毒
當然那是在沒被攻擊的狀況下啦QQ