CSRSS.EXE – часть пользовательской Win32 подсистемы.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
Что такое csrss.exe?
|
25.08.2009 19:25:47
CSRSS.EXE – часть пользовательской Win32 подсистемы. |
|
|
|
|
|
25.08.2009 20:41:40
надо сравнить дату когда файл был изменен в \Windows\System32 и \Windows\ServicePackFiles\i386, если разные скорее всего вирус. Также Csrss.exe "настоящий" не должен быть в автозагрузке.
|
|
|
|
|
|
02.09.2009 15:26:28
точно сталкивался со стареньким уже вирусом который под него маскируется.
Поищите по реестру csrcs он будет в каком то из параметров проводника. Только не спутайте с действительно файлом csrssа то бует  Присутствие за частую проявляется ошибкой вываливаемой при загрузке системы о не найденном файле , такое бывает потому что большинство антивирусов убивают найденный вирус но не чистят его ключ из реестра  |
|
|
|
|
|
10.09.2009 00:32:38
всем привет. натолкнулся на вот такой виряк на своем ноуте: XP-E4CF99ED.EXE
штампует червей в систем32. в автозагрузку закидывает еще одного вируса. на shift+del не реагирует. аваст его в упор не видит размер: 1 510 870 b делает себе дубли: XP-E4CF99ED.EXE 1 510 870 b XP-ED0A1494.EXE 1 510 870 b кто нибудь с этим сталкивался? |
|
|
|
|
|
10.09.2009 09:45:48
Локально: wmic process list wmic process list brief Удаленно: wmic /node:hostname process list wmic /node:hostname process list brief Правда для локального использования wmic нужны права локального админа. И наличие, как минимум, XP/2003 (это, я думаю, уже давно и повсеместно не ограничение). Хотя, если уже есть проблемы с вирусами, то, скорее всего, права админа используются давно и часто  Кроме того, некоторые трояны работат под похожим именем процесса csrcs.exe, что будет заметно сразу, поскольку они никак не пытаются маскироваться. |
|||
|
|
|
|
07.10.2009 01:56:18
Тип вопроса: другое
Рейтинг опасности: не знаю подскажите пожалуйста, читал много тем по поводу этого файла, но так и не смог найти ответа. видимо когда-то у меня оригинал csrss был заражен и при проверке антивирусом был удалён. так вот теперь у меня его нету, вообще. неудобство в том, что при каждой загрузке винды выскакивает ошибка, система не может найти данный файл. гдеб его добыть то( |
|
|
|
|
|
07.10.2009 02:13:45
Да и ещё, процесс сам по себе есть (csrss.exe), есс-но удалить его нельзя, даже ПроцессЕксплорером, в реестре ничего не нашёл по этому поводу, система чиста, оптимизирована и работает отлично (тьфу тьфу тьфу), мешается только эта ванючая ошибка!!! Подскажите умоляю...
Сорри за даблпостинг  |
|
|
|
|
|
07.10.2009 07:57:55
Как вариант - скопировать с заведомо рабочей и "чистой" машинки и положить сюда - C:\WINDOWS\system32\
|
|
|
|
|
|
07.10.2009 10:37:30
to Dmitry Numerov
Вероятно у вас осталась запись в автозапуске на фальшивый csrss.exe (сейчас удаленный) отсюда и ошибка. Попробуйте найти способ запуска фальшивки при помощи например autoruns и отключить.
У него чистый похоже на месте. |
|||
|
|
|
|
07.10.2009 15:50:45
Не при использовании поиска, не при мануальном поиске, файл не обнаруживается, в реестре в ветках с ехе файлами и в ветках автозагрузки тоже какая-либо информация о файле отсутствует.
|
|
|
|
|
|
07.10.2009 16:59:58
to Dmitry Numerov:
Если с вирусом разобраться не удалось, то надо сходить на virusinfo.info или на форум к касперскому в раздел лечения ПК. |
|
|
|
|
|
07.10.2009 18:38:29
в том то и дело что вируса нету, как и файла csrss.exe
|
|
|
|
|
|
26.10.2009 14:53:29
Тип вопроса: другое
Рейтинг опасности: не знаю
у тебя пишет что не может найти csrCs.exe, а не csrSs.exe это вирус, который "косит" под процесс csrSs.exe, антивирь его удалил, но он остался в автозагрузке. Что бы удалить это сообщение сделай: Start => Run => regedit => Ctrl+F => введи в поиск csrCs => поиск должен найти целый список всего, но тебе нужна тоько строка Shell REG_SZ, в значении которой написано "Explorer.exe csrcs.exe", тебе нужно исправить значение на "Explorer.exe", т.е., удалить "csrcs.exe". Значение "Explorer.exe" удалять нельзя. |
|||
|
|
|
|
31.10.2009 07:39:43
здравствуйте, друзья)во первых я тут новичок и не зная решил именно в этот раздел решил написать свою проблему, с целью получить от вас должную помощь, 23 числа взломали мой компьютер, а именно изменили страницу, расскажу подробно на данном сайте, у меня в данный момент показывает НОМЕР ТОЧКИ ЛОГИН ПИН КОД,кодовое слово,ПАРОЛЬ и цифры которые должны ввести, а как вы заметили на это сайте пин и кодовое слово не должно быть, большие средства были списаны с моего счета, но суть обращения к вам в другом, я специально ни переустанавливаю свою винду, чтоб посмотреть где находится ВИРУС В СИСТЕМЕ ВИНДОВС, ХОТЯ ИХ МОЖЕТ БЫТЬ МНОГО. НО ХОЧЕТЬСЯ ЗНАТЬ ГДЕ НАХОДИТСЯ ТОТ ВИРУС КОТОРЫЙ ВИДОИЗМЕНИЛ СТРАНИЦУ. ВТОРОЯ ВОПРОС У МЕНЯ К ВАМ, МНЕ ВЫДАЛИ IP С КОТОРОГО БЫЛ ПРОИЗВЕДЕН ВХОД, КАК МНЕ БЫТЬ К КОМУ ОБРАТИТСЯ, ПИСАЛ ЗАЯВЛЕНИЕ В МВД по региону а ответа никакого,:-(хотел бы, и очень прошу чтоб мне на этом сайте,помогли,как мне быть, какую программу скачать чтоб проверить, и ЕЩЕ ОДИН МОМЕНТ, как мне самому узнать, не нужные данные на какой сервер на какой комп. отправляются с моего компа. оставляю вам почту и номер аськи asif18@rambler.ru 366080443.заранее всем спасибо.
|
|
|
|
|
|
01.11.2009 09:00:04
Ну тут врядли вам помогут, нужен физический доступ.
А вот как определить того кто вам может помочь это можно подсказать. Это если МВД повернулось к вам не тем местом. Просто они если найдут то могут физически сапогом на горло наступить, а вы если найдете то только обматерить и сможете злоумышленника Если человек пришел снял копию посекторную вашего винта (ну это конечно если стоит того) и ушел искать, то ему можно доверять, иначе он скорее еще больше затрет следы. Ну а если вы сами хотите найти источник - есть утиль для поиска. Вот как бы я стал искать. Сохранил бы то что есть (посекторно!, это чтоб можно все вернуть в исходное состояние(мы же человеки читай ошибка природы )), тут мне помог бы Winhex (бывают и другие утилиты, просто мне он нравится).Им же и стал бы искать по строке "e-port" и поверьте нашел бы все места где это вообще присутствует (даже в удаленных, но не затертых файлах). А дальше анализ полученной информации. Скорее всего у вас было банальное перенаправление. Возможно прописанное в файле \system32\drivers\etc\host. А может быть вы попались на фейк (подделку сайта). Можно поискать малварь process explorer'ом (правда скрытую от api гадость (rootkit) он не покажет). Тут можно поискать RootkitRevealer'ом или ProcessHacker тоже может показать скрытое т. к. работает на уровне ядра. Можно осмотрется по коннектам, тут поможет что нибудь типа Tcpview. А еще можно можно послушать (sniff) вашу сетевую карточку. тут может помочь любой снифер (например smartsniff (попроще) или ethereal (это посложнее)) |
|
|
|
|
|
16.11.2009 10:40:26
Тип вопроса: дополнить описание
Рейтинг опасности: не знаю
|
|||
|
|
|
|
12.01.2010 02:48:04
csrss.exe управляет отображением окон в Windows.Если вы обнаружили более двух записей csrss.exe в списке Диспетчера задач и эти файлы сильно загружают процессор,с высокой долей вероятности можно сказать,что за этим скрывается вредоносная программа.Удачи! 8)
 |
|
|
|
|
|
14.01.2010 16:00:59
Тип вопроса: подозрение на вирус
Рейтинг опасности: не знаю У себя на компе я обнаружил вот такой файл csrCs.exe, он находился в реестре, принял решение его удалить от туда, так как думаю, что это вирус. Система загрузилась все нормально. Но вот вопрос сколько должен загружать памяти и должен ли он все время висеть в диспетчере задач вот этот файл csrss.exe ? Всем огромное спасибо. |
||||
|
|
|
|||
Читают тему