问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

电脑自动切换到桌面

发布网友 发布时间:2022-04-29 19:58

我来回答

3个回答

热心网友 时间:2022-06-22 05:30

是病毒
纯手工查杀木马csrss.exe

注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程

前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。

这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。

然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字节,生成时间为12月9日12:37。而真正的csrss.exe只有4k,生成时间是2003年3月27日12:00,位于C:\Windows\Syetem32下。

于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。灭!

试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。

然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。

此后在12:38分生成了一个tmp.dat文件,内容是

@echo off

debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

C:\WINDOWS\system32\netstart.exe

好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。

汇编大约进行了1分钟,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:\Windows\System32下,后两个在当前用户的Temp文件夹里。

这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。

现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果,也是一个木马。

这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
如果还是不行请往下看:
用"冰刃"去安全模式下删除这个病毒文件"csrss_Hook.DLL"然后去注册表搜索注册表里这个文件"csrss_Hook.DLL"的键值,全部删除!!重启,这病毒就清理了!!
http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,解压后即可使用
这个是它的详细用法。
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm

热心网友 时间:2022-06-22 05:31

因为你游戏没有加进注册表,你把游戏重新安装一遍,肯定能解决

热心网友 时间:2022-06-22 05:31

那你用个软件把仙三窗口化玩,这样就没有关系了
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
sometimesome timesometimessome times的区别 瓜地的午餐怎么造句 夏季宝宝不吃饭应该怎么办 狼人杀里面的白狼王模式怎么玩? 狼人杀白狼王和骑士:操作至上的高效玩法指南 狼人杀手游白狼王怎么玩 详细玩法攻略 狼人杀 狼人杀的白狼王怎么玩? 国产轮毂品牌有哪些 国产轮毂品牌哪个品牌好 国内轮毂有哪些品牌 岗位和职务怎么填 笔记本电脑中 excel 单元格内实现在固定符号后面自动alt+回车换行? 两个共同好友,拉黑了其中一个,她还能收到发的信息吗? 因为矛盾微信好友把我拉黑,今天我们共同的好友对拉黑我的好友朋友圈之前的发表评论时,我能看到评论怎么 我把对方拉黑了,对方评论我们之间共同好友的朋友圈,我能看到吗?_百度问一问 微信拉黑一个好友后,我们还有共同的好友共同好友,发表的说说,我评论了,拉黑的那个还能看见我的评论吗 抖音三个共同好友把其中一个拉黑了,那拉黑那个人能不能再别人那里看到我关注? 之前是共同好友,后面她把他拉黑了,我还能看到他之前给她的评论吗? 如果对方微信把我拉黑了,我在我们共同好友上的评论他还能看到吗_百度问一问 我是他俩共同好友,他俩之间拉黑了,我还能看着他俩以前的评论吗? 快手三人是共同好友,其中一个人把另一个人拉黑了为什么还能看到对方还是关注?_百度问一问 QQ里如果一个和我有很多共同好友的人把我拉黑了,那我在可能认识的人中还能找到他吗? 我俩共同有一个通讯录好友!好友把另一个拉黑,抖音里面还显示共同联系人吗?_百度问一问 兴业银行信用卡怎么绑定手机号 兴业银行信用卡改电话号码现在怎么要一个工作日,不是立即生效了,这一个工作日具体要多少小时 砂锅煮米饭放多少水 兴业信用卡可以更换电话号码吗? oracle监听程序配置与网络服务名配置有什么用 ASEMI-MBR20150CT肖特基二极管质量好坏辨认方法? 经纬度的来历和计算方法? MBR10100CT可以代替MBR10150CT吗 电脑自动切出桌面怎么回事? 电脑自动切换到桌面怎么办?麻烦告诉我 电脑老是自动切换到桌面怎么办,急求解决!!! 电脑老是自动切换到桌面怎么办,急求解决 汝字在生肖当中有什么意义 汝是代表什么生肖 汝猜一生肖是什么? 为国为民都是汝匹对什么动物? 汝字拆开是什么生肖 为国为民皆是汝指哪个生肖? 笑骂从汝猜出什么生肖来? 请问笑骂从汝这句成语在十二生肖中代表什么生肖? 笑骂从汝怎么解释,它指什么生肖谢了 为国为民皆是汝~猜一生肖 等汝千年猜一生肖 汝南晨鸡` 是 代表 哪个动物`12生肖里面的` 求解答一下 笑骂从汝 猜一生肖 帮解答一下笑骂从汝猜一生肖 汽油92和95的哪个贵 十二生肖什么动物是为国为民皆是汝
懂视 51dongshi.com 版权所有
Copyright © 2019-2024