进程里多了csrss.exe，关闭后又会自动运行，且不断打开和下载一些“另类程序”。

[ 本帖最后由 PH-Winter 于 2008-7-28 12:56 编辑 ]

样本及扫描报告

csrss.exe在xp中只有一个，在进程是csrss.exe非Administrator，可以用资源管理器的搜索功能找csrss.exe，真正的csrss.exe只有4k左右，楼主找到后，比较下大小

.......
不知道楼上的回复这些要说明什么，看附件的大小都知道不是正常的csrss。

如果可以的话把 C:\WINDOWS\system32\aschost.exe

这个东西也打包发上来

另外把 C:\WINDOWS\system32\Backup\csrss.exe 删除然后重启看看会不会再生

如果会再生的话把以下服务禁用看看

[aschost] [已启用]             <C:\WINDOWS\system32\aschost.exe>
        文件路径: C:\WINDOWS\system32\aschost.exe [分析中]

会不会再生

楼上的你好。
C:\WINDOWS\system32\aschost.exe 文件在清理专家里面无法定位文件，搜索也搜索不到。
C:\WINDOWS\system32\Backup\csrss.exe 进程被强制关闭后会自动消失，数秒钟后会自动出现并运行。
禁用aschost.exe服务后强制关闭C:\WINDOWS\system32\Backup\csrss.exe，仍然会继续再生。

服务里面另有项目名Adobe LM Service
路径：C:\WINDOWS\system32\Backup\smss.exe
不知道是否是病毒项目？

C:\WINDOWS\system32\Backup\smss.exe 同样无法定位文件

扫描的内容，清理专家显示为正常。

用清理专家重新扫一份诊断报告来看看 这次隐藏安全项...

哦。谢谢楼上的，我确定多的csrss.exe很可疑。而且手动删除不了。

要求的报告

引用:

原帖由 KSDA9595074 于 2008-7-28 13:49 发表
哦。谢谢楼上的，我确定多的csrss.exe很可疑。而且手动删除不了。

尝试用金山清理专家安全百宝箱中的文件粉碎器试试看呢

将这项服务也禁用

[wbengins] [已启用]            <C:\WINDOWS\System32\odsvc.exe>

另外根据这些路径都找不到响应文件么?

文件夹选项中是否显示了隐藏文件?

隐藏文件有开，系统文件没开。现在能找到了。

C:\WINDOWS\System32\odsvc.exe 在系统服务里是自动，但是没有启用。已改成禁用。

提供另一个可疑程序

可以出文件大小辩别文件？一个相同的文件，从他本身的大小都可以辨别出是可疑

看看使用文件粉碎器或者以下链接中的金山强制删除器能否删除 backup 中的 csrss

删除后重启是否会再生

那两项服务和 backup 中两个伪系统进程应该都是病毒

请在清理专家中修复此两项服务并用上面所说的两个工具来删除那两个伪系统进程

最后如果能把

C:\WINDOWS\System32\odsvc.exe

这个文件也上传上来就最好了

C:\WINDOWS\System32\odsvc.exe文件已经找不到了。
用强制删除可以删除 backup 中的 csrss ，重起后暂时没发生再生。

引用:

原帖由 KSDA9595074 于 2008-7-28 12:43 发表
.......
不知道楼上的回复这些要说明什么，看附件的大小都知道不是正常的csrss。

文件: C:\WINDOWS\system32\csrss.exe
大小: 6144 字节
文件版本: 5.1.2600.5512 (xpsp.080413-2111)
修改时间: 2008年4月13日, 19:13:58
MD5: FEA5C15E63790770B1E8216A7D64D90D
SHA1: 5E25A9920A3A94DA917E24B2BE44DDD017DB9407
CRC32: 92C6299C


楼主看这儿，但请你注意我提供大小和MD5可能和你不一样，如果不一样可能是你还没升级到XP　SP3！