智星论坛(IQSTAR BBS) » 电脑杂谈 » [求助]csrss.exe中毒

打印

[求助]csrss.exe中毒

神风怪盗贞德

人见人爱花见花开

版主

Rank: 10

风雨堂天宫宫主

获赠礼品

1^# 大中小发表于 2006-11-14 20:27 只看该作者

[求助]csrss.exe中毒

昨天晚上,我电脑开始出现异常

先是任务管理器上的程序都点不出来,明明联了网却上不了网.点桌面图标没反映,刷新桌面就显示程序出问题,然后桌面只剩下我的电脑,我的文档和回收站……

我重启电脑，开机后卡巴弹了个病毒出来，说csrss.exe中毒。然后卡巴执行删除命令。接着电脑一切正常了。

可是过了一会，进程里显示各个程序轮流占内存，一会很低，一会可以高到100%。重启后又正常，只是重启的时候卡巴依旧弹这个病毒出来，删了下次重启又出……

到了今天，开机没弹了，但是突然网络一下就断了，CPU占用100%，电脑慢得要死。重启后卡巴又开始弹。显示是“C:\WINDOWS\system32\Com\csrss.exe”这个文件中毒，但我在system32\Com下又找不到csrss.exe，包括隐藏文件……只有system32下有一个

在网上搜索了N多解决的办法，都是针对system32下的csrss.exe

目前虽然电脑没啥大的影响，可我怕一会网又要断……这个毒怎么杀啊……再杀不了我真得重装了……

瑶宫寂寞锁千秋，九天御风只影游

TOP

双子撒卡

版主

Rank: 10

2^# 大中小发表于 2006-11-14 21:43 只看该作者

第一步，结束病毒进程csrss.exe，注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。
第二步，找到以下文件并删除
System\dxdiag.com
System\finder.com
System\msconfig.com
C:\\autorun.inf
Programfiles\Internet Explorer\iexplore.com
Programfiles\Common Files\iexplore.pif
Windows\1.com
Windows\csrss.exe
Windows\ExERoute.exe
Windows\explorer1.com
Windows\finder.com
Windows\Debug\DebugProgram.exe
system\command.pif
System\regedit.com
System\rundll32.com
同时查看“开始”---“程序”中是否有以下连接安全测试.lnk、计算机安全中心.lnk、系统信息管理器.ink，删！
第三步，打开注册表编辑器：
(1)分别查找“finder.com”、“rundll32.com”、“command.pif”的信息，把找到值中的“finder.com”、“rundll32.com”、“command.pif”改为“rundll32.exe”
(2)查找“iexplore.com”的信息，把找到值中的“iexplore.com”改为“iexplore.exe”；查找“iexplore.pif”的信息，把找到值中类似“%ProgramFiles%\\Common Files\\iexplore.pif”的信息改为类似“%ProgramFiles%\\Internet Explorer\\iexplore.exe”
(3)查找“explorer1.com”的信息，把找到值中的“explorer1.com”改为“explorer.exe”
第四步，删除病毒启动项：
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"Torjan Program"="%Windows%\\CSRSS.exe"
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]
"Torjan Program"="%Windows%\\CSRSS.exe"
在[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
删除[HKEY_CLASSES_ROOT\\Applications\\iexplore.com]项和[HKEY_CLASSES_ROOT\\winfiles]项
第五步，重启计算机，完成。
cdnup.exe是goole工具栏的一个进程，进入安全模式后，在C盘PROFILE——里删除goole文件夹后，在启动项里删除这个启动项就可以了。具体方法如下：开始——运行——msconfig——启动。找到删除就可以了

[此贴子已经被作者于2006-11-17 23:56:26编辑过]

[glow=255,red,2]说吧，你用什么武器，短剑、还是长矛？！ [/glow]

TOP

双子撒卡

版主

Rank: 10

3^# 大中小发表于 2006-11-14 21:47 只看该作者

简易办法：用系统的查找功能查看是否有以下几个文件：netstart.exe、WinSocks.dll、netserv.exe、sinaproc327.exe、NMWizardA14.exe，见一个删一个。

[glow=255,red,2]说吧，你用什么武器，短剑、还是长矛？！ [/glow]

TOP

神风怪盗贞德

人见人爱花见花开

版主

Rank: 10

风雨堂天宫宫主

获赠礼品

4^# 大中小发表于 2006-11-15 00:14 只看该作者

你的办法我满网络都搜到了
你没有看清楚我的问题……

瑶宫寂寞锁千秋，九天御风只影游

TOP

双子撒卡

版主

Rank: 10

5^# 大中小发表于 2006-11-15 19:59 只看该作者

对不起，我在灌水[em01]

[glow=255,red,2]说吧，你用什么武器，短剑、还是长矛？！ [/glow]

TOP

神风怪盗贞德

人见人爱花见花开

版主

Rank: 10

风雨堂天宫宫主

获赠礼品

6^# 大中小发表于 2006-11-18 14:14 只看该作者

算啦算啦，偶重装了~~~~~~~

瑶宫寂寞锁千秋，九天御风只影游

TOP

‹‹ 上一主题 | 下一主题 ››

当前时区 GMT+8, 现在时间是 2008-12-5 19:22

Processed in 0.070070 second(s), 10 queries, Gzip enabled.