wly023 - 2005-11-3 9:08:00
我系统进程里有个csrss.exe这个进程,是不是我中木马了,还是这个进程没问题.
ljb396 - 2005-11-3 9:25:00
http://forum.ikaka.com/topic.asp?board=33&artid=695222
看看这个.
wly023 - 2005-11-3 9:29:00
系统的csrss.exe应该只有4K大呀,而`我搜索到两个csrss.exe文件,一个是systems文件夹里,一个确在windows/prefetch这个文件夹里,并且有32K大,是不是我中木马了,那位高手大哥帮我看下
wly023 - 2005-11-3 9:31:00
32K的那个csrss.exe并且是2005年9月分创建的,偶不是很懂,谁帮我下
wly023 - 2005-11-3 9:46:00
谁来帮帮我
xingerzeng - 2005-11-3 9:49:00
是不是中木马了,用瑞星查杀一下就知道了.
wly023 - 2005-11-3 10:01:00
查了的没,
漂亮妹妹1989 - 2005-11-3 11:21:00
| 引用: |
【wly023的贴子】查了的没,
........................... |
截个任务管理器的大图上来!
梅边吹笛 - 2005-11-3 14:33:00
来自何处 - 2005-11-3 14:33:00
我也是电脑老菜帮你找到一个小资料自已对着看看查一下吧.如下:Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制Windows图形相关子系统。正常情况下在Windows NT4/2000/XP/2003系统中只有一个CSRSS.EXE进程,正常位于System32文件夹中,若以上系统中出现两个(其中一个位于Windows文件夹中),或在Windows 9X/Me系统中出现该进程,则是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外,目前新浪利用了系统漏洞传播的一个类似于病毒的小插件,它会产生名为nmgamex.dll、sinaproc327.exe、csrss.exe三个常驻文件,并且在系统启动项中自动加载,在桌面产生一个名为“新浪游戏总动园”的快捷方式,不仅如此,新浪还将Nmgamex.dll文件与系统启动文件rundll32.exe进行绑定,并且伪造系统文件csrss.exe,产生一个同名的文件与系统绑定加载到系统启动项内,无法直接关闭系统进程后删除。手工清除方法:先先修改注册表,清除名为启动项:NMGameX.dll、csrss.exe,然后删除System32\NMGameX.dll、System32\sinaproc327.exe和Windows\NMWizardA14.exe三个文件,再修改Windows文件夹中的csrss.exe文件为任意一个文件名,从新启动计算机后删除修改过的csrss.exe文件
© 2000 - 2026 Rising Corp. Ltd.
