Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制Windows图形相关子系统。正常情况下系统中只有一个csrss.exe进程,正常路径在System32文件夹中,若出现两个,则其中一个(位于Windows文件夹中)是新浪利用了系统漏洞传播的一个类似于病毒的小插件。它会产生名为nmgamex.dll、sinaproc327.exe、csrss.exe三个常驻文件,并且在系统启动项中自动加载,在桌面产生一个名为“新浪游戏总动园”的快捷方式,不仅如此,新浪还将NMgamex.dll文件与系统启动文件rundll32.exe进行绑定,并且伪造系统文件csrss.exe,产生一个同名的文件与系统绑定加载到系统启动项内,无法直接关闭系统进程后删除。手工清除方法:先先修改注册表,清除名为启动项:NMGameX.dll、csrss.exe,然后删除System32\NMGameX.dll、System32\sinaproc327.exe和Windows\NMWizardA14.exe三个文件,再修改Windows文件夹中的csrss.exe文件为任意一个文件名,从新启动计算机后删除修改过的csrss.exe文件。
收藏
