开机加载10个CSRSS进程，求助 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛开机加载10个CSRSS进程，求助

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

开机加载10个CSRSS进程，求助

HolySword 初生襁褓狮帖子:75 注册: 2005-08-19 来自:	发表于： 2005-08-19 21:39 \| 只看楼主短消息资料字号：小中大 1楼开机加载10个CSRSS进程，求助最近发现开机的时候很卡，看一下进程，才发现有10个CSRSS进程（本人昏厥）这是怎么回事啊高手请帮忙啊还有，开网页的时候也是，有一个CSRSS进程配合一个System狂占cpu（CSRSS的用户名是本人的用户名，但结束其进程的时候却说是系统进程，无法结束，System的用户名是SYSTEM) 2005-08-20 10:22:30
HolySword 初生襁褓狮帖子:75 注册: 2005-08-19 来自:	分享到：

猪七戒飘泊而立狮帖子:486 注册: 2004-11-13 来自:四川省宜宾市	发表于： 2005-08-19 21:48 \| 短消息资料字号：小中大 2楼 Client/Server Runtime Server Subsystem，客户端服务子系统，用以控制Windows图形相关子系统。正常情况下在Windows NT4/2000/XP/2003系统中只有一个CSRSS.EXE进程，正常位于System32文件夹中，若以上系统中出现两个(其中一个位于Windows文件夹中)，或在Windows 9X/Me系统中出现该进程，则是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外，目前新浪利用了系统漏洞传播的一个类似于病毒的小插件，它会产生名为nmgamex.dll、sinaproc327.exe、csrss.exe三个常驻文件，并且在系统启动项中自动加载，在桌面产生一个名为“新浪游戏总动园”的快捷方式，不仅如此，新浪还将Nmgamex.dll文件与系统启动文件rundll32.exe进行绑定，并且伪造系统文件csrss.exe，产生一个同名的文件与系统绑定加载到系统启动项内，无法直接关闭系统进程后删除。手工清除方法：先先修改注册表，清除名为启动项：NMGameX.dll、csrss.exe，然后删除System32\NMGameX.dll、System32\sinaproc327.exe和Windows\NMWizardA14.exe三个文件，再修改Windows文件夹中的csrss.exe文件为任意一个文件名，从新启动计算机后删除修改过的csrss.exe文件。
猪七戒飘泊而立狮帖子:486 注册: 2004-11-13 来自:四川省宜宾市

才来的初生襁褓狮帖子:13 注册: 2005-08-19 来自:	发表于： 2005-08-19 21:57 \| 短消息资料字号：小中大 3楼【回复“猪七戒”的帖子】我就是这问题，和楼主的一模一样，而且我这边还有个好象是exe关联问题，就是我现在机器只要是exe文件就打不开，显示Windows找不到文件，现在电脑只能上网战而已。麻烦猪七戒讲的详细点好吗？谢谢了。我在注册表里找不到什么NMGameX.dll、csrss.exe啊
才来的初生襁褓狮帖子:13 注册: 2005-08-19 来自:

猪七戒飘泊而立狮帖子:486 注册: 2004-11-13 来自:四川省宜宾市	发表于： 2005-08-19 22:15 \| 短消息资料字号：小中大 4楼可把exe文件改名为com或者修改exe文件的打开方式，在注册表找到“hkey-classes-root下.exe”正常的应为“exefile”找到“hkey-classes-root\exfile\shell\open\command",正常的应为””%1”%”
猪七戒飘泊而立狮帖子:486 注册: 2004-11-13 来自:四川省宜宾市

HolySword 初生襁褓狮帖子:75 注册: 2005-08-19 来自:	发表于： 2005-08-19 23:32 \| 只看楼主短消息资料字号：小中大 5楼【回复“猪七戒”的帖子】请问 Trojan.Gutta W32.Netsky.AB@mm 一般驻扎在什么地方啊
HolySword 初生襁褓狮帖子:75 注册: 2005-08-19 来自:

才来的初生襁褓狮帖子:13 注册: 2005-08-19 来自:	发表于： 2005-08-20 09:49 \| 短消息资料字号：小中大 6楼我想请问下猪七戒，任何把exe文件改名为com或者修改exe文件的打开方式，能告诉我具体的方法么？在注册表找到“hkey-classes-root下.exe”正常的应为“exefile”找到“hkey-classes-root\exfile\shell\open\command",正常的应为””%1”%” 我的注册表里“hkey-classes-root\exfile\shell\open\command",是”%1”%”但是“hkey-classes-root下.exe”却不是“exefile”，而且也无法修改，就算改了，重起之后就又变回去了，我要怎么做？请指教，谢谢
才来的初生襁褓狮帖子:13 注册: 2005-08-19 来自:

JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:	发表于： 2005-08-20 09:50 \| 短消息资料字号：小中大 7楼安全模式下干掉
JayFaye 叱咤花甲狮帖子:3546 注册: 2004-08-15 来自:

HolySword 初生襁褓狮帖子:75 注册: 2005-08-19 来自:	发表于： 2005-08-20 10:22 \| 只看楼主短消息资料字号：小中大 8楼问题是安全模式也干不掉，删了 windows下的 CSRSS 重起的时候又来了
HolySword 初生襁褓狮帖子:75 注册: 2005-08-19 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT