微点交流论坛

标题: csrss.exe微点不报哦!需要更正下啦 [打印本页]

作者: 微点放大是焦点 时间: 2007-3-31 01:12 标题: csrss.exe微点不报哦!需要更正下啦

今天在自己电脑上抓到的,微点没有报这个进程是病毒.其他很多杀软也报了,但是访问网络的时候微点还是能提示是否允许.至于是否有病毒行为我还不清楚.
但很明显这是一个假冒的系统进程.
邮件已发给你们了,请查收.:cool:

作者: Legend 时间: 2007-3-31 07:35
微点是依据程序行为判断病毒的，程序行为符合病毒行为，微点就会拦截并处理，正像楼主所说这个可疑进程访问网络的时候微点报警了，而楼主如果选择了其禁止访问网络，它的进一步行为就做不下去了，所以微点没有报警。

作者: chenhanmuyu 时间: 2007-4-1 11:14
csrss.exe 这个好像是系统进程啊，我系统一直有
具体的是什么　可以去那个什么进程大全网站上查查　

作者: ys19850813 时间: 2007-4-1 11:45
csrss.exe病毒按病毒分类属于蠕虫病毒，它会以csrss.exe为文件名拷贝自己的副本文件到Windows目录下，并添加下面的注册表键值，以便每次Windows启动蠕虫会自动运行：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SystemSARS32, with value "C:\WINNT\csrss.EXE"。

作者: ys19850813 时间: 2007-4-1 11:48
第一步，结束病毒进程csrss.exe，注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。
第二步，找到以下文件并删除（这些文件并非都有，可能只有几个，但只要有，就删！）
>> System\dxdiag.com
>> System\finder.com
>> System\msconfig.com
>> C:\\autorun.inf
>> Programfiles\Internet Explorer\iexplore.com
>> Programfiles\Common Files\iexplore.pif
>> Windows\1.com
>> Windows\csrss.exe
>> Windows\ExERoute.exe
>> Windows\explorer1.com
>> Windows\finder.com
>> Windows\Debug\DebugProgram.exe
>> system\command.pif
>> System\regedit.com
>> System\rundll32.com
同时查看“开始”---“程序”中是否有以下连接安全测试.lnk、计算机安全中心.lnk、系统信息管理器.ink，删！

第三步，打开注册表编辑器：
(1)分别查找“finder.com”、“rundll32.com”、“command.pif”的信息，把找到值中的“finder.com”、“rundll32.com”、“command.pif”改为“rundll32.exe”
(2)查找“iexplore.com”的信息，把找到值中的“iexplore.com”改为“iexplore.exe”；查找“iexplore.pif”的信息，把找到值中类似“%ProgramFiles%\\Common Files\\iexplore.pif”的信息改为类似“%ProgramFiles%\\Internet Explorer\\iexplore.exe”
(3)查找“explorer1.com”的信息，把找到值中的“explorer1.com”改为“explorer.exe”

作者: ys19850813 时间: 2007-4-1 11:50
第四步，删除病毒启动项：
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"Torjan Program"="%Windows%\\CSRSS.exe"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]
"Torjan Program"="%Windows%\\CSRSS.exe"

在[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

删除[HKEY_CLASSES_ROOT\\Applications\\iexplore.com]项和[HKEY_CLASSES_ROOT\\winfiles]项

第五步，重启计算机，完成。

做人要厚道~~
内容转自：http://hi.baidu.com/tswyh/blog/item/ce17a051cfd9a98e8c543091.html

作者: chenhanmuyu 时间: 2007-4-1 12:26
csrss.exe - csrss - 进程管理信息
进程文件： csrss or csrss.exe
进程名称： Microsoft Client/Server Runtime Server Subsystem
进程类别：其他进程
英文描述：
csrss.exe is the main executable for the Microsoft Client/Server Runtime Server Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated
中文参考：
csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。注意：csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播，当你打开附件时，即被感染。该蠕虫会在受害者机器上建立SMTP服务，用以自身传播。该病毒允许攻击者访问你的计算机，窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
出品者：Microsoft Corp
属于：Microsoft Windows Operating System
系统进程：Yes
后台程序：Yes
网络相关：No
常见错误：N/A
内存使用：N/A
安全等级 (0-5): 0
间谍软件：No
广告软件：No
病毒：No
木马：No

作者: chenhanmuyu 时间: 2007-4-1 12:27
上面的是我在进程大全里面找的哦，csrss.exe　不一定就是病毒的说，自己先查查毒

作者: 408983504 时间: 2007-4-1 16:35
哇~~牛人
我都看不明的!

作者: 微点放大是焦点 时间: 2007-4-2 16:17
你们有所不知啦~正常的csrss.exe微点是会把他们列入系统进程的列表的.至于我发现的这个csrss.exe微点是显示在其他软件的进程里头,而且我发现它异常访问网络了,这不用多问就是一个典型冒充系统进程的"下载者"啦!
微点向来是发现损害系统的行为才报毒的,虽然这个csrss.exe在没成功下载病毒之前它还算是个没有病毒行为的程序,但是这么明显的冒充行为的程序还会干什么好东西吗?我就是为微点要等到人家打劫的非要把刀放到脖子上才反抗的做法感到不解,虽然微点能防的住病毒,可是为啥要玩这么危险的游戏啦...(难道这也算艺高人胆大?)

作者: 100du1xia 时间: 2007-4-2 17:16
矛和盾的斗争永远不会停止

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn