danshi123 - 2006-5-4 20:54:00
文件名为csrss的,在安全模式下也因“正在运行”而不能删掉,见下表:
-----------
系统信息报告写在: 2006-05-04 09:53:11
[正在运行任务]
名称 路径 过程 ID 优先级 最小工作集 最大工作集 开始时间 版本 大小 文件日期
system idle process 不能用 0 0 不能用 不能用 不能用 未知 未知 未知
system 不能用 8 8 0 1413120 不能用 未知 未知 未知
smss.exe c:\winnt\system32\smss.exe 112 11 204800 1413120 2006-5-4 9:41:19 5.00.2195.6601 44.77 KB (45,840 字节) 2003-6-19 4:05:04
csrss.exe 不能用 140 13 不能用 不能用 2006-5-4 9:41:22 未知 未知 未知
winlogon.exe c:\winnt\system32\winlogon.exe 160 13 204800 1413120 2006-5-4 9:41:22 5.00.2195.6714 176.77 KB (181,008 字节) 2003-6-19 4:05:04
services.exe c:\winnt\system32\services.exe 188 9 204800 1413120 2006-5-4 9:41:23 5.00.2195.6700 87.27 KB (89,360 字节) 2003-6-19 4:05:04
lsass.exe c:\winnt\system32\lsass.exe 200 9 204800 1413120 2006-5-4 9:41:23 5.00.2195.6695 32.77 KB (33,552 字节) 2003-6-19 4:05:04
danshi123 - 2006-5-4 21:44:00
如果可能,也请帮看下:system idle process、system两项是否正确,我很担心中毒了。谢
Japig - 2006-5-4 21:51:00
系统进程
叶·幽思 - 2006-5-4 21:53:00
楼主的csrss.exe、system idle process进程都很占CPU?
Japig - 2006-5-4 21:55:00
| 引用: |
【叶·幽思的贴子】楼主的csrss.exe、system idle process进程都很占CPU?
........................... |
system idle process 为系统空闲CPU
自然是越大越好
花落花又开 - 2006-5-4 22:05:00
偶觉得还是扫个日志上来计较妥当。
还有说明安装了什么软件删不了?
Japig - 2006-5-4 22:09:00
| 引用: |
【叶·幽思的贴子】【回复“Japig”的帖子】偶问反话呢!
........................... |
听着不像
danshi123 - 2006-5-4 22:22:00
就是“csrss”,从网上下的,无意一点就安上了,就怎么也删不掉了。还有哪儿去“扫日志”?
听Japig的意思, system idle process 是正常程序罗?!你是从哪儿看出它占用CPU的?
花落花又开 - 2006-5-4 22:25:00
Japig - 2006-5-4 22:26:00
不用看就知道,任务管理器-进程管理能看到
如果是网络软件伪装的名称,一般在MSCONFIG中禁了就可以
danshi123 - 2006-5-4 22:29:00
我用的是WIN2000,MSCONFIG不能用
Japig - 2006-5-4 22:46:00
注册表RUN值
baohe - 2006-5-4 22:51:00
| 引用: |
【danshi123的贴子】就是“csrss”,从网上下的,无意一点就安上了,就怎么也删不掉了。还有哪儿去“扫日志”?
听Japig的意思, system idle process 是正常程序罗?!你是从哪儿看出它占用CPU的?
........................... |
你从哪里下载的呀?
最近,不少人中那个难缠的木马(见:http://forum.ikaka.com/topic.asp?board=28&artid=7495863)。木马主体文件名可以是:csrss.exe、lsass.exe、winlogon.exe等。
ら旋涡鸣人の - 2006-5-5 0:31:00
跟中艘差不多 都是不能郁卸 要去找到文件 进入安全模式删除
danshi123 - 2006-5-6 10:15:00
csrss.exe、lsass.exe、winlogon.exe
我三个都有!!!
在注册表里删了和csrss有关的项结果电脑重启就不能进入系统只好重装系统。但现在看系统信息报告,居然都在!!!!只是原来屏幕右下的csrss产生的小图标没有了。
绝望!!!
华盟☆小敏 - 2006-5-6 10:20:00
什么东西???????看不懂!!!!!!!!
wwpwwz - 2006-5-6 10:24:00
纯手工查杀木马csrss.exe,rundll32.exe(转)
电脑与网络
永恒的热情 发表于 2005-2-3 21:14:00
前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。
然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字节,生成时间为12月9日12:37。而真正的csrss.exe只有4k,生成时间是2003年3月27日12:00,位于C:\Windows\Syetem32下。
于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。灭!
试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。
然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。
此后在12:38分生成了一个tmp.dat文件,内容是
@echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat <C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS\system32\netstart.exe
好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。
汇编大约进行了1分钟,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:\Windows\System32下,后两个在当前用户的Temp文件夹里。
这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。
现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果,也是一个木马。
这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
© 2000 - 2026 Rising Corp. Ltd.