[電腦病毒求救]工作管理員裡有兩個csrss.exe

生活體驗,心情故事,文化休閒,吃喝玩樂等話題分享。

[電腦病毒求救]工作管理員裡有兩個csrss.exe

文章阿榮 發表於 週三 1月 17, 2007 1:34 am

我現在開啟工作管理員的時候, 裡面會有兩個csrss.exe

我已經到處查過資料了...

有人說大寫的CSRSS.EXE才是病毒..

可是我這兩個都是小寫的..

也有資料寫到這個病毒會自我複製成%windor%\csrss.exe

可是我的C:\WINNT裡又找不到這個檔..

也有人說用ntsd 可以把它殺掉..

可是工作管理員裡PID較前面的那個csrss.exe不能殺..

較後面的那個csrss.exe一殺掉馬上又換個PID繼續執行...

防毒軟體本來用的是AVAST HOME EDITION..

可是因為中了毒.. 所以我現在換成卡巴斯基6.XXXXXX版..

可是卡巴斯基好像也沒有辦法查到這個csrss.exe...

我想請問一下... 這個工作管理員裡有兩個csrss.exe應該是中病毒沒有錯吧?

那有沒有什麼辦法解掉他呢?

會發現有這個問題..

是在我申請3G上網後.. 因為我只要一把網路卡停掉..

馬上csrss.exe的CPU LOADING就會飆到100%

我連關機都關不了..... 得要強制用POWER SWITCH關機...

這樣對硬碟的資料實在不是很好...

對了, 我的作業系統是WINDOWS 2000 PROFESSIONAL / SP4

請大家幫忙解答! 謝謝!
H1: SONY SCD-XE600 + USHER AU-3500A + USHER S-520
D1: PC + LOGITECH S-150 USB SPEAKER
D2: PC + U-CUTE + AKG K-701
C1: PC + FIRESTONE FIREYE II + AUDIO TECHNICA ATH-AD300
C2: PIONEER DV-233 + BIG JOE + FOSTEX FE-87E
P1: SONY PSP + FIREYE I + SONY MDR-E804
頭像
阿榮
SR40
SR40
 
文章: 7
註冊時間: 週一 4月 12, 2004 2:08 pm
來自: TEAM LP

文章hclin 發表於 週三 1月 17, 2007 1:41 am

先試試進階版的工作管理員

http://www.microsoft.com/technet/sysint ... lorer.mspx

捉一個、殺一個、砍一個
頭像
hclin
SR40
SR40
 
文章: 0
註冊時間: 週三 3月 19, 2003 1:56 pm
來自: Taipei City

文章阿榮 發表於 週三 1月 17, 2007 2:11 am

用這個PROCESS EXPLORER, csrss.exe還是會自動生出另外一個..

圖檔

:( :( :( :( :(
H1: SONY SCD-XE600 + USHER AU-3500A + USHER S-520
D1: PC + LOGITECH S-150 USB SPEAKER
D2: PC + U-CUTE + AKG K-701
C1: PC + FIRESTONE FIREYE II + AUDIO TECHNICA ATH-AD300
C2: PIONEER DV-233 + BIG JOE + FOSTEX FE-87E
P1: SONY PSP + FIREYE I + SONY MDR-E804
頭像
阿榮
SR40
SR40
 
文章: 7
註冊時間: 週一 4月 12, 2004 2:08 pm
來自: TEAM LP

文章阿榮 發表於 週三 1月 17, 2007 4:33 am

圖檔

總之就是很奇怪... 我已經完全搞不清楚了....

現在家裡的電腦正在用NOD32全機深入分析中...

到底還有哪一個防毒軟體是很好用的呢? :( :( :(
H1: SONY SCD-XE600 + USHER AU-3500A + USHER S-520
D1: PC + LOGITECH S-150 USB SPEAKER
D2: PC + U-CUTE + AKG K-701
C1: PC + FIRESTONE FIREYE II + AUDIO TECHNICA ATH-AD300
C2: PIONEER DV-233 + BIG JOE + FOSTEX FE-87E
P1: SONY PSP + FIREYE I + SONY MDR-E804
頭像
阿榮
SR40
SR40
 
文章: 7
註冊時間: 週一 4月 12, 2004 2:08 pm
來自: TEAM LP

文章小旋風 發表於 週三 1月 17, 2007 7:34 am

ˊˋ。。。

首先可以的話 還是換換XP吧

畢竟XP安全性比2000高多了 :ale: (雖然M$都差不多XD")

然後就是看能不能找出你那個csrss。exe的資料夾吧∼

我這裡是有個記憶體管理程式。。。有個附加功能是可以直接前往現在正開著的程式的資料夾

但是第一下載網址是英文∼而且也沒有直接載點

第二是這玩意兒要破解 :D

所以說。。。要弄請PM在下 8) 但是當然要等在下上線才有辦法替閣下解決 :mad:

啊還有就是∼這是不是病毒也不太明朗。。。因為還要特地停掉網路卡才會"發作" :ale:

最後就是∼看看到安全模式下面能不能用ntsd -c q -p PID"關關"看@@∼(ntsd是拿來關閉程式用的指令。。。 :b14:

一點淺見
↖真的是我本人XD...
頭像
小旋風
SR40
SR40
 
文章: 0
註冊時間: 週日 11月 13, 2005 9:17 pm

文章AD 發表於 週三 1月 17, 2007 11:22 am

有先看過幾個登錄檔的地方嗎?
先進安全模式.執行regedit
找到可能的.先備份在砍.以免殺錯.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

然後再用關鍵字去找一遍

然後看看host檔有沒有被動過.
如果確認病毒的檔名及位置.但是會不斷重生的話.找找"費爾安全實驗室"
http://www.filseclab.com/cht/tech/infos ... ineage.htm
下載powerrmv.zip來用

都處理好後.更新病毒碼.全系統掃瞄.掃除餘虐~~
頭像
AD
SR40
SR40
 
文章: 32
註冊時間: 週五 12月 06, 2002 9:10 am
來自: 台北

文章阿榮 發表於 週三 1月 17, 2007 11:51 am

去硬碟裡面找了一下.. 有以下幾個csrss.exe

磁碟區 C 中的磁碟是 W2K
磁碟區序號: 3017-EF2C

目錄: C:\WINNT\$NtServicePackUninstall$

2000/01/10 12:00p 5,392 csrss.exe
1 個檔案 5,392 位元組

目錄: C:\WINNT\ServicePackFiles\i386

2003/06/19 12:05p 5,392 csrss.exe
1 個檔案 5,392 位元組

目錄: C:\WINNT\system32

2003/06/19 12:05p 5,392 CSRSS.EXE
1 個檔案 5,392 位元組

目錄: C:\WINNT\system32\drivers

2004/08/08 04:00a 245,760 csrss.exe
1 個檔案 245,760 位元組

檔案數目總計:
4 個檔案 261,936 位元組
0 個目錄 14,715,953,152 位元組可用

哪一個看起來比較像是病毒?

是前三個同容量的? 還是後面那個太大的? :aa: :aa: :aa:
H1: SONY SCD-XE600 + USHER AU-3500A + USHER S-520
D1: PC + LOGITECH S-150 USB SPEAKER
D2: PC + U-CUTE + AKG K-701
C1: PC + FIRESTONE FIREYE II + AUDIO TECHNICA ATH-AD300
C2: PIONEER DV-233 + BIG JOE + FOSTEX FE-87E
P1: SONY PSP + FIREYE I + SONY MDR-E804
頭像
阿榮
SR40
SR40
 
文章: 7
註冊時間: 週一 4月 12, 2004 2:08 pm
來自: TEAM LP

文章AD 發表於 週三 1月 17, 2007 12:43 pm

阿榮 寫: 目錄: C:\WINNT\system32\drivers

2004/08/08 04:00a 245,760 csrss.exe
1 個檔案 245,760 位元組



這個有問題~~~~~ :x

斃了他 :ho: :ho:
頭像
AD
SR40
SR40
 
文章: 32
註冊時間: 週五 12月 06, 2002 9:10 am
來自: 台北

文章阿榮 發表於 週三 1月 17, 2007 12:48 pm

:ho: :ho: :ho:

我已經斃掉它啦!! :D

目前工作管理員裡已經剩下一個csrss.exe囉.. :ya:

順便問一下.. 有辦法分辨工作管理員裡的TASK哪個是正常的哪個是異常的嗎? :aa:

看到一堆PROCESS搞都搞不清楚... :aa:
最後由 阿榮 於 週三 1月 17, 2007 12:50 pm 編輯,總共編輯了 1 次。
H1: SONY SCD-XE600 + USHER AU-3500A + USHER S-520
D1: PC + LOGITECH S-150 USB SPEAKER
D2: PC + U-CUTE + AKG K-701
C1: PC + FIRESTONE FIREYE II + AUDIO TECHNICA ATH-AD300
C2: PIONEER DV-233 + BIG JOE + FOSTEX FE-87E
P1: SONY PSP + FIREYE I + SONY MDR-E804
頭像
阿榮
SR40
SR40
 
文章: 7
註冊時間: 週一 4月 12, 2004 2:08 pm
來自: TEAM LP

文章iqgame 發表於 週三 1月 17, 2007 12:49 pm

AD 寫:
阿榮 寫: 目錄: C:\WINNT\system32\drivers

2004/08/08 04:00a 245,760 csrss.exe
1 個檔案 245,760 位元組



這個有問題~~~~~ :x

斃了他 :ho: :ho:

csrss會出現在drivers裡面!? :ho: :mad: :eeh: :x :o
藏也藏好一點吧 :D
頭像
iqgame
SR40
SR40
 
文章: 6
註冊時間: 週一 2月 06, 2006 2:21 pm
來自: A.J.H.G.

文章hclin 發表於 週三 1月 17, 2007 2:02 pm

阿榮 寫::ho: :ho: :ho:

我已經斃掉它啦!! :D

目前工作管理員裡已經剩下一個csrss.exe囉.. :ya:

順便問一下.. 有辦法分辨工作管理員裡的TASK哪個是正常的哪個是異常的嗎? :aa:

看到一堆PROCESS搞都搞不清楚... :aa:

看看Process Explorer內的"Company Name"

正牌的csrss有顯示Microsoft
冒牌的就沒有

如果說是將"csrss" Kill process後馬上又重生,那很可能電腦裡有共犯喔∼
最好再搜搜看
頭像
hclin
SR40
SR40
 
文章: 0
註冊時間: 週三 3月 19, 2003 1:56 pm
來自: Taipei City

文章阿榮 發表於 週三 1月 17, 2007 5:03 pm

謝謝大家的回答..

目前工作管理員裡確定是只有一個csrss.exe了, 所以應該是解決了..

不過我要再問一個問題..

就是工作管理員裡的svchost.exe有幾個才算是正常?

我看過網路上的文章說WINDOWS 2000應該是兩個

WINDOWS XP才會有四個...

不過我是WINDOWS 2000 SP4.. 我有四個svchost.exe的PROCESS..

這樣是正常的嗎? 在PROCESS EXPLORER裡看..

這四個的COMPANY NAME都是顯示MICROSOFT CORPORATION...

病毒真是討厭呀.. 一日被蛇咬.. 十年怕草繩...

杯弓蛇影講的就是這樣的情況吧?

現在看工作管理員裡的PROCESS.. 怎麼看怎麼就是覺得怪怪的...

老是怕又有病毒偽裝的很好.. 看都看不出來...

:aa: :aa: :aa: :aa: :aa:
H1: SONY SCD-XE600 + USHER AU-3500A + USHER S-520
D1: PC + LOGITECH S-150 USB SPEAKER
D2: PC + U-CUTE + AKG K-701
C1: PC + FIRESTONE FIREYE II + AUDIO TECHNICA ATH-AD300
C2: PIONEER DV-233 + BIG JOE + FOSTEX FE-87E
P1: SONY PSP + FIREYE I + SONY MDR-E804
頭像
阿榮
SR40
SR40
 
文章: 7
註冊時間: 週一 4月 12, 2004 2:08 pm
來自: TEAM LP

文章Terencecool 發表於 週三 1月 17, 2007 5:15 pm

阿榮 寫:謝謝大家的回答..

目前工作管理員裡確定是只有一個csrss.exe了, 所以應該是解決了..

不過我要再問一個問題..

就是工作管理員裡的svchost.exe有幾個才算是正常?

我看過網路上的文章說WINDOWS 2000應該是兩個

WINDOWS XP才會有四個...

不過我是WINDOWS 2000 SP4.. 我有四個svchost.exe的PROCESS..

這樣是正常的嗎? 在PROCESS EXPLORER裡看..

這四個的COMPANY NAME都是顯示MICROSOFT CORPORATION...

病毒真是討厭呀.. 一日被蛇咬.. 十年怕草繩...

杯弓蛇影講的就是這樣的情況吧?

現在看工作管理員裡的PROCESS.. 怎麼看怎麼就是覺得怪怪的...

老是怕又有病毒偽裝的很好.. 看都看不出來...

:aa: :aa: :aa: :aa: :aa:


啊哈哈 我用XP有6個svchost :ho:
可是系統一直很正常...用好幾種掃毒也都沒掃到東西

宿網非常毒
要是連上網路沒裝防毒沒更新windows
大概十分鐘內就會中標
反正後來就會習慣了
隨時做好備份
有事不管它直接重灌最快XD
平常用火狐,不要亂抓東西的話
其實也沒那麼容易中毒
當然那是在沒被攻擊的狀況下啦QQ
one is the loneliest number that you'll ever do
頭像
Terencecool
SR40
SR40
 
文章: 0
註冊時間: 週二 9月 13, 2005 10:25 am
來自: NCTU CM


回到 生活休閒哈拉討論版

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 11 位訪客