csrss.exe病毒的清除方法,这里给出两个手动清除方法。
注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。
首先先看下csrss.exe进程的说明:
进程文件:csrss or csrss.exe
进程名称:Client/Server Runtime Server Subsystem
进程类别:系统进程
进程描述:客户端服务子系统,用以控制Windows图形相关子系统。
csrss.exe病毒按病毒分类属于蠕虫病毒,它会以csrss.exe为文件名拷贝自己的副本文件到Windows目录下,
并添加下面的注册表键值,以便每次Windows启动蠕虫会自动运行:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunSystemSARS32, with value "C:WINNTcsrss.EXE"。
好了,了解完它的背景,该来对付这个小东西了^-^
方法一:
第一步,结束病毒进程csrss.exe,注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。
第二步,找到以下文件并删除(这些文件并非都有,可能只有几个,但只要有,就删!)
>> System\dxdiag.com
>> System\finder.com
>> System\msconfig.com
>> C:\autorun.inf
>> Programfiles\Internet Explorer\iexplore.com
>> Programfiles\Common Files\iexplore.pif
>> Windows\1.com
>> Windows\csrss.exe
>> Windows\ExERoute.exe
>> Windows\explorer1.com
>> Windows\finder.com
>> Windows\Debug\Debug\Program.exe
>> system\command.pif
>> Systemr\egedit.com
>> System\rundll32.com
同时查看“开始”---“程序”中是否有以下连接安全测试.lnk、计算机安全中心.lnk、系统信息管理器.ink,删!
第三步,打开注册表编辑器:
(1)分别查找“finder.com”、“rundll32.com”、“command.pif”的信息,把找到值中的“finder.com”、“rundll32.com”、“command.pif”改为“rundll32.exe”
(2)查找“iexplore.com”的信息,把找到值中的“iexplore.com”改为“iexplore.exe”;查找“iexplore.pif”的信息,把找到值中类似“%ProgramFiles%\CommonFiles\iexplore.pif”的信息改为类似“%ProgramFiles%\InternetExplorer\iexplore.exe”
(3)查找“explorer1.com”的信息,把找到值中的“explorer1.com”改为“explorer.exe”
第四步,删除病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\CSRSS.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\CSRSS.exe"
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
删除[HKEY_CLASSES_ROOT\Applications\iexplore.com]项和[HKEY_CLASSES_ROOT\winfiles]项
第五步,重启计算机,完成。
方法二:
大家都有WINRAR吧?找到Windows\csrss.exe,在csrss.exe上右击鼠标,选择“添加到压缩文件”,这时WINRAR会出现提示窗“压缩文件名和参数”,选择“压缩后删除源文件”,确定,生成压缩文件,这时发现csrss.exe没了,不要高兴太早,现在只是把冲在最前面的病毒体删掉了,而那些幕后指使者们还在逍遥自在。运行注册表医生(要英文原版的,菜单单词都很简单),选择扫描修复所有错误,待修复完成后,重新启动计算机,csrss.exe病毒就被彻底赶出你的爱机了。^o^
总结,第一个方法是大众方法,也是效果比较稳定的方法,第二个方法能解决掉这个病毒,但还不能保证对以后的变种一定有效。当然,这里说的是手动清楚方法,对于许多计算机初学者来说还是用杀毒软件来的比较方便,同时我也强烈建议朋友们即使手动清除了病毒,也要用杀毒软件彻底查一遍,以防万一。
分享到:
相关推荐
自动播放、改时间、卡巴斯基变灰、删regedit.exe、拦截窗口等,此类病毒专杀,并能免疫防御。
csrss.exe
搞辅助用提取dump工具
取消或设定关键进程,可以设置任务管理器,cmd,csrss.exe等,设为关键进程后,关闭瞬间蓝屏(慎用!)也可以取消系统关进进程,关闭也不蓝屏。注:需要输入全名如Taskmgr.exe,大小写也必须正确。可以用于防止服务器...
csrss.exe是什么进程?.docx
C++源代码,DLL工程的主文件。注入的代码和注入后执行的代码在一起。
ntsd是一个用户态进程调试...它能够结束除System、smss.exe、csrss.exe、lsass.exe及各种rootkit程序外所有的程序。但在Windows Vista及以上版本的Windows中不含ntsd, 必须手动下载至电脑中才可使用。(来自360百科)
经常成为伪装目标的是 svchost.exe, lsass.exe, alg.exe, ctfmon.exe, csrss.exe, wmiprvse.exe, wisptis.exe 和 wuauclt.exe. 官方网址:http://www.wenjian.cn/freeware/processviewer.html
system process 进程文件: [system process] or ...进程文件: csrss or csrss.exe 进程名称: Client/Server Runtime Server Subsystem 描述: 客户端服务子系统,用以控制Windows图形相关子系统。 是否为系统进程: 是
操作系统进程描述 system process ...进程文件: csrss or csrss.exe 进程名称: Client/Server Runtime Server Subsystem 描述: 客户端服务子系统,用以控制Windows图形相关子系统。 是否为系统进程: 是
关于操作系统的一些资料.system ...csrss.exe进程文件: csrss or csrss.exe进程名称: Client/Server Runtime Server Subsystem描述: 客户端服务子系统,用以控制Windows图形相关子系统。 是否为系统进程: 是
比如进程里有两个winlogon.exe,lsass.exe,csrss.exe,explorer.exe,ctfmon.exe,那极有可能有一个就是病毒。哪一个是病毒呢?往往后启动的就是病毒,但并不是绝对的,只是绝大多数情况是这样。怎么知道哪个是后启动的...
这里只检测了主要的内核模块nkrnlpa**.exe的.win32k.sys,hal.dll,比对它们的原始文件从而查找eat inline hook,iat hook ,和inline hook。Inline是从TEXT段开始一段位置开始比较的。(有点慢貌似,等待显示扫描...
可列出当前电脑中正运行的所有进程,其文件名称、所存文件夹位置及大小。... 经常成为伪装目标的是 svchost.exe, lsass.exe, alg.exe, ctfmon.exe, csrss.exe, wmiprvse.exe, wisptis.exe 和 wuauclt.exe.
csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。 (系统服务) 产生会话密钥以及...
csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。 (系统服务) 总结: 发现可疑进程的秘诀就是...
经常成为伪装目标的是 svchost.exe, lsass.exe, alg.exe, ctfmon.exe, csrss.exe, wmiprvse.exe, wisptis.exe 和 wuauclt.exe. Windows Process Viewer(进程查看器) 比系统本身的任务管理器更优胜在于:可显示进...
它能够结束除System、smss.exe、csrss.exe、lsass.exe及各种rootkit程序外所有的程序,杀系统进程时请谨慎使用! 使用方法:将ntsd.exe解压到system32目录下,然后以管理员身份打开cmd命令提示窗口,输入ntsd -c q -...
Version=1.6.5.18 Unicode ...Content Filter = Enabled Popup Filter = Enabled Auto Popup Filter = Enabled ...csrss.exe winlogon.exe services.exe lsass.exe ibmpmsvc.exe ati2evxx.exe svchost.exe
WINDOWS开机引导过程 参与启动过程的软硬件(按先后顺序): (1) ROM(Read Only Memory)中POST(Power On Self-Test)代码(固化在主板芯片中);...(8) CSRSS.EXE; (9) WinLogon.EXE; (10) Explorer.EXE:Windows的Shell