16-разрядная подсистема MS-DOS: csrss.exe

2172
Wesley

Я только что загрузил свой нетбук Samsung N120 (с Windows XP Home SP3), и за ним появилось диалоговое окно с окном командной строки. Диалоговое окно озаглавлено, 16 bit MS-DOS Subsystemи сообщение выглядит следующим образом:

C:\DOCUME~1\SAMSUNG\csrss.exe The NTVDM CPU has encountered an illegal instruction. CS:0544 IP:0117 OP:63 00 64 00 34 Choose 'Close' to terminate the application.

Это только началось с моей последней загрузки. Стоит отметить, что когда я скачал установщик Dropbox и открыл его, Panda Cloud Antivirus обнаружил подозрительный файл, который был csrss.exe«нейтрализован». Однако настоящий вирус или троян не был обнаружен непосредственно перед тем, как файл был обнаружен и обезврежен.

Чуть менее двух недель назад по какой-то странной причине был обнаружен троян и два вируса. (Я только пошел на сайт, который я знал, и я не торрент и не просматриваю сайты для взрослых.) Так или иначе, два вируса появились во временных файлах, и троян был «нейтрализован».

В любом случае, главный вопрос: как я могу восстановить файл csrss.exe, чтобы Windows XP запускалась правильно?

Скриншот может быть размещен по запросу. Заранее спасибо!

РЕДАКТИРОВАТЬ 1: Ну ... кажется, что Панда Облако на самом деле принял избиение. AVG обнаружил это, и Панда должен идти.

РЕДАКТИРОВАТЬ 2: После поиска "csrss" единственной найденной записью была запись в C: \ WINDOWS \ system32. Я запускаю, sfc /scannowно мой диск XP не работает с ним - ОБНОВЛЕНИЕ: Я только что понял, что использую диск XP Pro SP3, когда мой нетбук был предустановлен с XP Home SP3 ... и у меня нет ясно, оригинальный установочный диск - поэтому я не могу получить дополнительные библиотеки DLL для сканирования ...

РЕДАКТИРОВАТЬ 3: Я просто использовал Google, чтобы найти все, что я мог об этой проблеме, и эта ссылка предполагает, что я делаю некоторые изменения реестра ... это действительно исправляет csrss.exeили это просто мешает запуску в первую очередь?

РЕДАКТИРОВАТЬ 4: Я прочитал страницу, которая связана выше и, кажется, нашел запись в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Существует строковое там называется, Taskmanчье значение C:\Documents and Settings\SAMSUNG\csrss.exe. Я собираюсь посмотреть, какой должна быть действительная стоимость. ОБНОВЛЕНИЕ: я ссылался на чистую машину, чтобы увидеть, какова должна быть правильная ценность Taskman. Оказывается, Taskmanимеет такое же значение на другой машине. Я несколько озадачен.

РЕШЕНИЕ, РАЗМЕЩЕННОЕ В МОЕМ ОТВЕТЕ!

0

3 ответа на вопрос

2
fretje

Из сообщения я вижу, что упомянутый csrss.exe находится под c:\docume~1\samsung. Этот файл должен быть не там, а под c:\windows\system32.

Проверьте, есть ли еще (надеюсь, нетронутая) версия этого файла в вашей папке system32. Если это так, вы можете просто удалить тот, который находится под вашей папкой документов.

Возможно, вам придется загрузиться с загрузочного компакт-диска и удалить файл оттуда, поскольку он, вероятно, будет использоваться.

The copy running from `C:\Docume~1\Samsung` is most likely some kind of malware. The asker might want to run a good virus scanner from a bootable CD/USB drive to make sure that his system is really clean. afrazier 14 лет назад 0
@afrazier: Спасибо. Panda был заражен, и сейчас я использую Microsoft Security Essentials. Wesley 14 лет назад 0
1
squircle

csrss.exeявляется жизненно важным компонентом установки Windows. Лучше всего открыть cmdподсказку ( start-> run, введите cmdи нажмите enter) и введите sfc /scannow. Это вызовет средство проверки системных файлов Windows, которое проверит и убедится, что все файлы присутствуют и работают. Когда он попадает csrss.exe, он должен восстановить его из своего кэша или предложить вставить диск Windows (если вы используете нетбук, если у него нет дисковода компакт-дисков, вы можете использовать внешний USB-накопитель или USB-накопитель установщика Windows), Это должно восстановить csrss.exeв нужном вам месте.

+1 Не думал о опции `sfc / scannow`. Берегись с этим, хотя. Я видел системы, в которых даже кэш из System File Checker был заражен, поэтому выполнение этой команды фактически вернуло вирус! fretje 14 лет назад 0
It happens sometimes. But I usually tell people who get viruses/trojans/other infections that the only true way to make sure it's gone is to format & reinstall the operating system (maybe too harsh an answer for this question). squircle 14 лет назад 1
@thepurplepixel: Это именно то, что я делаю. fretje 14 лет назад 0
@thepurplepixel: Я хочу избежать переформатирования этого нетбука, поскольку у производителя есть много предустановленных конфигураций, с которыми я не хочу связываться. Однако я сделаю это, если не смогу это исправить ... Wesley 14 лет назад 0
@Wesley: Exactly, that's why I answered with the `sfc` option instead of *just reformat it*. Hope you get a quick & easy solution! squircle 14 лет назад 0
@thepurplepixel: К сожалению, у меня нет диска XP Home SP3 ... Я просто запускаю сканирование, не используя свой диск вообще ... не знаю, имеет ли это смысл ... Wesley 14 лет назад 0
@Wesley: он должен восстановить его из встроенного кеша DLL; Вам не нужен диск, если он не поврежден в кеше DLL. Даже тогда есть способы получить его от Microsoft без диска. squircle 14 лет назад 0
`"Even then, there are ways of getting it from Microsoft without a disc."` @thepurplepixel: What does that mean? Also, Microsoft Security Essentials still detected something... have yet to see what it is... Wesley 14 лет назад 0
@Wesley: проще всего скопировать его из работающей системы. Или найти кого-то с диском Windows. Или загрузите чистый, работающий ISO установочного диска и распакуйте его там. Тонны способов. (При необходимости я могу извлечь файл с моего диска Windows и отправить его вам по электронной почте). squircle 14 лет назад 0
@thepurplepixel: У меня есть несколько чистых машин с XP, и я скопировал csrss.exe с одного. Тем не менее, я не очень уверен, как я могу заменить текущий на моем нетбуке ... Я не могу завершить процесс, потому что он всегда используется ... Wesley 14 лет назад 0
@Wesley: я обычно использую [MoveOnBoot] (http://www.softpedia.com/get/System/Boot-Manager-Disk/MoveOnBoot.shtml) (или эквивалентный) для такого рода вещей. squircle 14 лет назад 0
@thepurplepixel: I used that to rename the current csrss.exe to csrss.old and copied a fresh csrss.exe to the system32 folder. Still, the dialog box pops up. After looking into `C:\Documents and Settings\SAMSUNG\csrss.exe` it doesn't seem to exist even when hidden files/folders are enabled. Did the virus change the boot path for csrss.exe? Wesley 14 лет назад 0
@ Уэсли: Если честно, понятия не имею. Вы знаете, что это был за вирус? squircle 14 лет назад 0
@thepurplepixel: Я действительно не знаю, после удаления Panda Cloud. Wesley 14 лет назад 0
0
Wesley

Итак, это было решение:

Во-первых, было проведено базовое сканирование антивирусного программного обеспечения для определения оставшихся угроз на компьютере. Использование двух разных программ AV было полезно, так как мое оригинальное программное обеспечение AV было заражено.

Во-вторых, в большинстве ответов считалось, что жизненно важное приложение Windows csrss.exeне должно существовать где-либо еще, кроме как в C:\WINDOWS\system32\. Однако csrss.exeфактически существует как полностью скрытый файл в папке пользователя в C:\Documents and Settings\USER\.

Версия файла system32 не пострадала, но именно файл в пользовательской папке вызывал всплывающее диалоговое окно при запуске. Простым решением было скопировать чистую копию с другого компьютера, а затем скопировать и вставить ее в папку пользователя, даже если она фактически не видна.

Спасибо другим за помощь!

Похожие вопросы