Что это за процессы: smss.exe, lass.exe, csrss.exe? Windows XP, SP1, MUI.

Это системные процессы. Не вирусы.

Это все системные процессы. Зайдите в Управление службами (Пуск - Выполнить - services.msc) и в свойствах служб посмотрите исполняемые файлы служб. Сразу получите ответ на свой вопрос.

Всё это системные службы, необходимые для работы. Чтобы узнать, что это такое, достаточно посмотреть свойства файла: smss.exe - Диспетчер сеанса Windows NT; lass.exe - LSA Shell; csrss.exe - Client Server Runtime Process. Чтобы не ломать голову в будущем, вирус это или полезный файл, поставьте антивирус и антишпион. Какой - не важно, важно своевременно обновлять базы.

Процессы системные, однако их могут использовать для запуска любые вирусы.

Появился вирус, который "косит" под сист. модуль Записывается в C:\Windows\smss.exe См.свойства. Удалить. Также из реестра (с указанным путем - не путать с нормальным exe).

У меня такое было. Оказалось - вирус.

При инсталляции бэкдор создает папку со случайным именем в системном каталоге Windows и копирует себя в эту папку с именем csrss.exe.Например: %System%\drtusi\csrss.exeТакже в данной папке бекдор создает следующие файлы:%System%\drtusi\csrss.dat%System%\drtusi\csrss.iniПосле чего оригинальный запускаемый файл удаляется.Бекдор создает ссылку на себя в каталоге автозагрузки:%UserProfile%\Start Menu\Programs\Startup\csrss.lnkЗатем регистрирует себя в ключах автозапуска системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\Run][HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "csrss"=" "Добавляет следующие записи в системный реестр:[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] "Load"="%System%\ \csrss.exe" "Run"="%System%\ \csrss.exe"В случае Windows 95/98/ME бекдор изменяет файл win.ini, добавляя в него следующие строки:load = %System%\ \csrss.exerun = %System%\ \csrss.exeТакже бэкдор добавляет следующие записи в системный реестр:[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"="2" "SuperHidden"="0" "ShowSuperHidden"="0"[HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\System] "DisableRegistryTools"="1" "NoAdminPage"="1"Действия: Программа соединяется с различными серверами IRC и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры, скачивать файлы и т.д. Помимо этого бэкдор обладает следующей функциональностью:распространение по команде злоумышленника по каналам MSN Messenger ссылки, призывающей пользователей скачать копию данного бекдора; при этом ссылка выглядит весьма безопасно: http://www.vbulettin.com/[removed], – очень похоже на адрес авторитетного журнала антивирусной индустрии Virus Bulletin, и может вызвать заблуждение пользователей; загрузка и запуск на зараженном компьютере различных файлов; удаление файлов; остановка различных активных процесов; перезагрузка компьютера; проведение DoS-атак; отсылка злоумышелннику подробной информации о системе, в том числе вводимых с клавиатуры паролей и другой секретной информации; выполнение на зараженном компьютере различных команд; закрузка своих обновлений; прочеее.

csrss.exe-вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 6K (упакован UPX, размер распакованного файла - около 15K), написан на Visual Basic. Червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Замечание: реальное .EXE-имя файла во вложении скрыто "ложным" .JPG-именем при помощи дополнительных возможностей MS Outlook. Таким образом, зараженное EXE-вложение в письме выглядит как .JPG-файл, однако при открытии этого вложения оно обрабатывается как EXE-файл. Вложения подобного рода автоматически блокируются по умолчанию версиями MS Outlook 97 SP2 и выше. Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Инсталляция. При инсталляции червь копирует себя с именем "csrss.EXE" в системный каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\RunSystemSARS32 = %WindowsDir%\csrss.EXE Рассылка писем. При рассылке зараженных писем червь подключается к MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге. Зараженные письма содержат:Заголовок: Alert! SARS Is being Spread! Текст: Hi!, This is a beta test SARS. Please check an attachment!

Вполне возможно, что это системные процессы. Но как уже сказано выше, под них косят вири. У меня как раз один такой появилс
я, так что я не уверен на 100%, что ваши процессы - нормальные.

А как его вылечить, удалить? У меня стоит антивирус, он csrss.exe не видит. Что делать?

Только что столкнулся с этим червем. Каким образом подцепил – не знаю. Подозрение возникло, когда случайно заглянул в историю заблокированных в OutpostFirewall.scrss.exe через каждые 2 минуты пытается что-то отправить на h00k.info. Включил в поиск и нашел два таких файла, один в корне windows, другой в system32. Тот что в C:\\windows не принадлежит microsoft. Я его выключил из автозагрузки и попытался переименовать. Кончилось синим экраном. После перезагрузки он пропал. В журнале outpost все в порядке за исключением - недоступный процесс шлет IGMP на адресс 224.0.0.22 не знаю связано ли это как-то...Кстати у меня антивирусник Avast не в первый раз уже подводит! Новые вирусы он не видит!Да и еще ради интереса набрал в браузере адрес h00k.info там очень милый стишок и больше ничего. Размещен на платном хостинге tosay.ru.

csrss.exe - данный вирь был мной удален через ДОС. После его присутствия на моем компе - мои сайты (я между делом хостингом спекулирую) - некоторые из них приобрели в теле страницы код, который гнал мой траффик на урл ttp://traff.step57.info.

Сразу понял что вирус, убивал процесс, но он врубается опять, убил три .exe в папке C:\\WINDOWS, но он опять же скоро появляется. Ну что ж, будем бороться, вопрос в том как?

Только что нашел способ \"лечения\" таких хороших smss.exe. Дело в том, что в автозагрузке есть файл empty, который не показывает явно, что он запускает, и перезаписывается при каждом запуске. Решилось все просто - msconfig и отрубить его и приложение с названием на букву b и случайный набор цифр\\букв (явно виден, ибо не имеет никакого смыслового значения).

Я обнаружил два сомнительных процесса: csrss.exe и lsass.exe. Диспетчер задач показывает что csrss.exe непрерывно считывает инфу, а lsass непрерывно и записывает и считывает. Здоровые процессы должны делать это непрерывно? Если нет, то как избавиться от вирей?

Блин, я спинным мозгом чувствовал что это должно быть зараза! Только вот так и не понял, как распознать - процесс это или лошадь? Кто подскажет - буду очень благодарен. Кстати Avast! ничего не находит и файрволл всё время отмечает, что svhost с чем-то хочет соединиться - вот тоже проблема - не знаю нормально это или нет? Чиркните мне хоть пару строк кто знает, как отличить smss процесс это или вирус - буду очень благодарен.

Меня насторожило, что команда csrss требовала диск и диспетчер задач был отключен. Я сделал так (может кому-нибудь поможет мой опыт): при помощи проги RegCleaner и через команду выполнить - msconfig удалил из автозагрузки все файлы, которые вызывали подозрение (обычно с бессмысленным набором символов вместо имени), потом с последним обновлением антивируса (у меня NOD32) очистил от вирей, после чего установил анти-троян (Ad-aware) и тоже после обновления произвел глубокое сканирование. Анти-троян нашел еще пару червей, которые не видит анти-вирус, после их удаления все стало как прежде. Также необходимо удалить все вновь образованные файлы с расширением .exe (обычно папки с именем \"новая папка.exe\" или \"администратор.exe\"), ибо это и есть вирус, при двойном щелчке на котором он запустится. Их создает сам червь. Убедитесь в том, что после удаления эти папки не создаются снова, если же это происходит значит вы не удалили его из автозагрузки.После всех этих действий, на мой взгляд, все работает по-старому, как и должно, но я все же не уверен, что комп излечен!

Много я в последнее время сталкивался с подобными вирями. Только обычно клиенты обращаются тогда, когда комп или не грузится, или виснет намертво. Бывает в половине случаев, при загрузке происходит системный сбой из-за антивируса и синее окно смерти. Боролся и борюсь: Safe Mode, удаление антивиря, удаление всех временных файлов и папок, очистка Run в реестре на Current_User и Local_Machine. Затем перезагрузка, установка антивиря и полное сканирование локальных дисков. Времени занимает немного, ничего лишнего не удалишь, зато после грубой ручной чистки полная уверенность, что при загрузке системы вирус в память не попадает.

csrss.exe-системный процессcsrcs.exe-вирус

Загляни в c: Program Files - Common Fi
les - Install Shield - Update Service. Если там есть эти файлы их нужно удалить. У меня ужасно тормозил интернет. После того как удалил эти файлы из указанного места интернет заработал.