前言：
CSRSS.exe木马不是一般的木马
并不能用一般的方式来解决
因为这个木马关连了EXE文件
这就是该木马的鲜明之处
 
症状：
（1）
表现在任务管理器的进程菜单中
一开机就连续执行多个CSRSS.EXE
CPU使用100%
（2）
表现在任务管理器的应用程序菜单中
出现一个“龍”字图标的应用程序
（3） 
表现在开机进入桌面的过程中
直接打开ms-dos窗口

分析：
中了木马是肯定的
但是我们不能盲目的使用HIJACKTHIS扫描后来操作
HIJACKTHIS虽然是一个很优秀的查杀恶意程序的小工具
特别对于浏览器劫持来说
因为HIJACKTHIS的LOG中并没有详细说明各个恶意程序的功能
下面附上各个工具的分析结果：
＜一＞checkrun
用checkrun扫描自启动项
发现两处问题
（1）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
=================================================
Torjan Program----------C:\WINDOWS\CSRSS.exe
（2）
SYSTEM.INI
=================================================
shell = Explorer.exe 1
 
＜二＞HIJACKTHIS
用HIJACKTHIS导出LOG
发现两处问题
（1） 
F2 - REG:system.ini: Shell=Explorer.exe 1
（2） 
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\CSRSS.exe

＜三＞上网助手
用上网助手导出LOG
发现六处问题
（1）
1.O04 - 自动运行项(Run) - 疑似木马病毒程序，Microsoft Corporation，
相关文件：(隐藏)(系统)C:\WINDOWS\CSRSS.exe
内容：C:\WINDOWS\CSRSS.exe
安全等级：危险
（2）
2.O29 - .EXE文件关联 - ExERoute.exe，Microsoft Corporation，
相关文件：(隐藏)(系统)C:\WINDOWS\ExERoute.exe "%1" %*
内容：C:\WINDOWS\ExERoute.exe "%1" %*
安全等级：危险
（3）
11.F00 - System.ini中的shell项 - Explorer.exe 1，，
相关文件：(文件不存在)(隐藏)(系统)1
内容：Explorer.exe 1
安全等级：有风险
（4）
12.O25 - http协议缺省启动程序 - "C:\Program Files\common~1\iexplore.pif" -nohome，"C:\Program Files\common~1\iexplore.pif" -nohome，
相关文件：(隐藏)(系统)C:\Program Files\Common Files\iexplore.pif -nohome
内容："C:\Program Files\common~1\iexplore.pif" -nohome
安全等级：有风险
（5）
13.O25 - ftp协议缺省启动程序 - "C:\Program Files\Internet Explorer\iexplore.com" %1，"C:\Program Files\Internet Explorer\iexplore.com" %1，
相关文件：(隐藏)(系统)C:\Program Files\Internet Explorer\iexplore.com %1
内容："C:\Program Files\Internet Explorer\iexplore.com" %1
安全等级：有风险
（6） 
14.O25 - htmlfile协议缺省启动程序 - "C:\Program Files\Internet Explorer\iexplore.com" -nohome，"C:\Program Files\Internet Explorer\iexplore.com" -nohome，
相关文件：(隐藏)(系统)C:\Program Files\Internet Explorer\iexplore.com -nohome
内容："C:\Program Files\Internet Explorer\iexplore.com" -nohome
安全等级：有风险

＜四＞System Repair Engineer 
用System Repair Engineer 导出LOG
发现三个问题
（1）
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Torjan Program><C:\WINDOWS\CSRSS.exe>
（2）
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe 1> 
（3）
.EXE  Error. [C:\WINDOWS\ExERoute.exe "%1" %*]

诊断：
通过以上的分析
我们发现只有上网助手的分析结果还算比较完美
在这里我们不讨论上网助手的功与过 呵呵
诊断结果如下：
（1）
CSRSS.exe是木马主程序　
并插入自启动项
同时修改SYSTEM.INI中的shell = Explorer.exe为shell = Explorer.exe 1
（2）
ExERoute.exe 是派生的木马程序
关连EXE文件
（3）
iexplore.pif和iexplore.com分别充当了 
http协议缺省启动程序 ，ftp协议缺省启动程序和htmlfile协议缺省启动程序
可以说冒充了系统的计划任务
每次都随机运行
这是任务管理器的应用程序菜单中出现一个“龍”字图标的应用程序和每次开机进入桌面的过程中直接打开ms-dos窗口的根本原因

解决：
（1）
按[Ctrl+Alt+Del]组合键
调出任务管理器
结束C:\WINDOWS\CSRSS.exe进程

（2）
开始－－运行,键入regedit,确定
直接删除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Torjan Program><C:\WINDOWS\CSRSS.exe>

（3）
开始－－运行,键入regedit,确定
修改
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe 1>为
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe>
同时修改
[HKEY＿CLASSES＿ROOT\exefile\shell\open\command]<C:\WINDOWS\ExERoute.exe "%1" %*>为 [HKEY＿CLASSES＿ROOT\exefile\shell\open\command]< "%1" %*>
这一项也可用regfix来修复EXE文件关连
（4）
开机时按住F8<可以不停地按动F8>
选择安全模式或SAFE　MODE进入系统
然后删除
C:\WINDOWS\CSRSS.exe
C:\WINDOWS\ExERoute.exe 
C:\Program Files\Common Files\iexplore.pif
C:\Program Files\Internet Explorer\iexplore.com

附注：
如果[HKEY＿CLASSES＿ROOT\exefile\shell\open\command]<C:\WINDOWS\ExERoute.exe "%1" %*>修改不成功
但我们已经删除C:\WINDOWS\ExERoute.exe的话
将会导致所有的EXE文件无法打开
参考方法：
（方法1）
将regedit这个程序的后缀改为regedit.com或regedit.bat
然后
开始－－运行,键入regedit.com或regedit.bat,确定
修改
[HKEY＿CLASSES＿ROOT\exefile\shell\open\command]<C:\WINDOWS\ExERoute.exe "%1" %*>为
[HKEY＿CLASSES＿ROOT\exefile\shell\open\command]< "%1" %*>
完成后再将regedit.com或regedit.bat还原即可
（方法2）
注意该方法只适用于Win2000/XP
1，将cmd.exe改名为cmd.com或cmd.scr
2，运行cmd.com
3，运行下面两个命令：
  ftype exefile="%1" %*
  assoc .exe=exefile(assoc与.exe之间有一空格)
4，将cmd.com改回cmd.exe
（方法3）
1，重新启动计算机,在出现“正在启动Windows…”时按[F8]键＜可以不停地按动F8＞
选择“带命令行提示的安全模式”选项
然后进入系统
2，先在命令行command输入：assoc .exe(assoc与.exe之间有一空格)
来显示EXE文件关联
接着输入：ftype | more＜“|”是管道符号，在键盘上位于Backspace键左边)＞
来分屏显示系统中所有的文件类型
其中有一行显示为“exefile="%1" %*”
在命令行输入：assoc .exe=exefile(assoc与.exe之间有一空格)
屏幕显示“.exe=exefile”
关闭命令提示符窗口
按[Ctrl+Alt+Del]组合键调出“Windows安全”窗口
按[关机]按钮后选择“重新启动”选项
按正常模式启动系统。

建议：
其它的就不再多说了
只有一点再次提醒
一定要养成的上网习惯

小知识：
找不到恶意程序请参考图片附件：

baohe已经发过此贴 请看http://forum.ikaka.com/topic.asp?board=28&artid=7619884  还有上网助手属于流氓软件装上去容易 删除就难了

【回复“帅的有型”的帖子】
我以前经常光顾上网助手论坛
所以也安装了上网助手
现在上网助手论坛变成了雅虎助手论坛
我的上网助手已经彻底卸载了

上网助手真的能彻底清除？？？！！不是吧，我已经卸载上网助手N久了，可每次用不同清除恶意软件工具扫描时，总显示有上网助手的文件残留哦。

楼主的办法 我全试过了 还是杀不掉 怎么办