返回列表 回復 發帖
vincent978

浪人
1#
發表於 2010-12-6 11:32 PM | 顯示全部帖子 ::: 一按馬上把這個話題放上你的facebook!! :::
Found on Internet

情況一:csrss.exe是微軟客戶端客戶端服務子系統,用以控制 Windows 圖形相關子系統。

    * 正常情況下在Windows NT/2000/XP/2003系統中只有一個csrss.exe進程,位於System32文件夾中。
    * Windows Vista有兩個csrss.exe進程。
    * 正常的csrss.exe雙擊後會出現「不能在Win32模式下運行」的提示,終止進程後會藍屏。

情況二:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒創建的。

    * 若系統中出現兩個csrss.exe 進程(其中一個位於 Windows 文件夾中),或在Windows 9X/Me系統中出現該進程,則是感染了病毒。
    * 該病毒通過Email郵件進行傳播,當你打開附件時,即被感染。該蠕蟲會在受害者機器上建立SMTP服務,用以自身傳播。該病毒允許攻擊者訪問你的計算機,竊取木馬和個人數據。這個進程的安全等級是建議立即進行刪除。

清除csrss.exe木馬的方法

方法一:

1、結束病毒進程csrss.exe,注意是Windowscsrss.exe而不是WindowsSystem32csrss.exe。

2、找到以下文件並刪除(這些文件並非都有,可能只有幾個,但只要有,就刪!)

  Code:

  >> Systemdxdiag.com

  >> Systemfinder.com

  >> Systemmsconfig.com

  >> C:autorun.inf

  >> ProgramfilesInternet Exploreriexplore.com

  >> ProgramfilesCommon Filesiexplore.pif

  >> Windows.com

  >> Windowscsrss.exe

  >> WindowsExERoute.exe

  >> Windowsexplorer1.com

  >> Windowsfinder.com

  >> WindowsDebugDebugProgram.exe

  >> systemcommand.pif

  >> Systemregedit.com

  >> Systemrundll32.com

  同時查看「開始」---「程序」中是否有以下連接安全測試.lnk、計算機安全中心.lnk、系統信息管理器.ink,刪!

3、打開註冊表編輯器:

  (1)分別查找「finder.com」、「rundll32.com」、「command.pif」的信息,把找到值中的「finder.com」、「rundll32.com」、「command.pif」改為「rundll32.exe」

  (2)查找「iexplore.com」的信息,把找到值中的「iexplore.com」改為「iexplore.exe」;查找「iexplore.pif」的信息,把找到值中類似「%ProgramFiles%Common Filesiexplore.pif」的信息改為類似「%ProgramFiles%Internet Exploreriexplore.exe」

  (3)查找「explorer1.com」的信息,把找到值中的「explorer1.com」改為「explorer.exe」

4、刪除病毒啟動項:

  Code:

  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

  "Torjan Program"="%Windows%CSRSS.exe"

  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]

  "Torjan Program"="%Windows%CSRSS.exe"

  在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

  把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe"

  刪除[HKEY_CLASSES_ROOTApplicationsiexplore.com]項和[HKEY_CLASSES_ROOTwinfiles]項

5、重啟計算機,完成。


方法二:

   1. 安裝WINRAR;
   2. Windowscsrss.exe,在csrss.exe上右擊滑鼠,選擇「添加到壓縮文件」;
   3. 這時WINRAR會出現提示窗「壓縮文件名和參數」,選擇「壓縮后刪除源文件」,確定;
   4. 生成壓縮文件,這時發現csrss.exe沒了,不要高興太早,現在只是把沖在最前面的病毒體刪掉了,而那些幕後指使者們還在逍遙自在。
   5. 運行註冊表醫生(要英文原版的,菜單單詞都很簡單);
   6. 選擇掃描修復所有錯誤;
   7. 待修復完成後,重新啟動計算機,csrss.exe病毒就被徹底清除了。
回復 引用

TOP

返回列表