Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 7 (http://forum.oszone.net/forumdisplay.php?f=95)
-   -   [решено] Два процесса csrss.exe: нормально ли это? (http://forum.oszone.net/showthread.php?t=163902)

The_Crystal 18-01-2010 19:18 1323668
Два процесса csrss.exe: нормально ли это?
 
Сегодня на меня была совершена атака неизвестным вирусом через ICQ. Со ЗНАКОМОГО номера (который не выходил в аську несколько дней) вдруг пришло такое сообщение:
Прямая ссылка для скачивания файла Piggy.zip
http://easyload.ru/download/?25596 (1,95 мб)
[-- Файл отправлен через сервис EasyLoad. Подробнее на сайте: http://easyload.ru/ --]

Спрашиваю у девушки, что это такое? Секунд через 10 приходит ответ «флешка про свинью ) глянь )))». Я качаю, проверяю – НОД32 с актуальными базами ничего не находит. Файл .ехе в виде свиньи. Запускаю его и ТУТ ЖЕ у меня уводиться аська, моментально! Ну аську вернул (восстановление пароля), смотрю номер той девушки сломан, инфа поменяна на:

Имя: H1N1 Infected
О себе: 01001100100101100110010110010001011011000100110000010110010001011000000101100010

У меня она тоже поменялась на аналогичную, кстати.

Просканировал систему НОД32 но ничего не нашел, скачал и запустил CureIT (свежий) от Dr.Web но и он ничего не нашел. Через HiJack Tools глянул, но подозрительных хвостов не обнаружил. Однако заметил, что у меня теперь красуется два csrss.exe в процессах! Раньше вроде один был, хотя я точно не помню. Оба процесса ведут к файлу в папке C:\Windows\System32 То есть это как бы нормальные процессы, но почему их два одинаковых? Пробовал откат – так ж картина, процессов два. Но вроде я помню, что должен быть один! У друга точно один.

ЗЫ: Процессор Core i7 860, HT включен

okshef 18-01-2010 19:54 1323698
Цитата:
Цитата The_Crystal
Два процесса csrss.exe: нормально ли это? »
Это нормально. По остальным вопросам - в раздел лечения.

Mahagon 18-01-2010 19:56 1323700
The_Crystal, Я слава богу вирусов не цеплял, но у меня в процессах висит один csrss.exe, но если включить в диспетчере задач - Отображать процессы всех пользователей, то их становится два, как и некоторых других процессов. Ну если сомневаетесь, то выполните скрипт AVZ.

The_Crystal 18-01-2010 20:00 1323707
Ну хоть убей, но я помню, что должен быть один! Может из-за этого нового зловреда (отправлен в лабораторию ESET) у меня повредился реестр и что-то в нем не восстанавливается даже после отката? Почему у других один такой процесс?

ЗЫ: АВЗ в данный момент проверяет систему

Morpheus 18-01-2010 20:06 1323710
The_Crystal, UAC включен?

The_Crystal 18-01-2010 20:12 1323714
сейчас нет

Morpheus 18-01-2010 20:48 1323747
The_Crystal, Ваша тема? http://forum.kaspersky.com/index.php?showtopic=154315

The_Crystal 18-01-2010 20:55 1323749
нет, но это ещё одна жертва.

Morpheus 18-01-2010 20:58 1323752
The_Crystal, переношу в "лечение"?
http://forum.oszone.net/announcement-87-112.html

Hel 22-01-2010 15:02 1326977
2 The_Crystal,

А размер файла какой? И он сам находиться в C:\Windows\System32, а не в подкаталогах, например, C:\Windows\System32\Drivers?

Размеры файла можно тут посмотреть какие должны быть и какие подозрительные:
filecheck

Можно еще программой попробовать проверить, правда не знаю, если совместимость с Windows 7. Security Task Manager

Valeant 22-01-2010 15:58 1327023
The_Crystal,
Процесса два. и должно быть два.
1. C:\Windows\system32\csrss.exe -
Потоки
winsrv.dll
csrsrv.dll
2. C:\Windows\system32\csrss.exe -
Потоки
cdd.dll
winsrv.dl
csrsrv.dll
Запущена служба
C:\Windows\system32\conhost.exe - Окно консоли узла

Цитата:
Множество вирусов использует данное имя приложения, чтобы не вызвать подозрения у пользователя, тем более что для каждого терминального доступа создаётся отдельный экземпляр файла, поэтому на серверных машинах их количество может доходить до нескольких десятков. Оригинальный файл хранится только в папке system32. Наличие такого имени файла в других каталогах признак заражения.

zomboy 20-07-2011 20:38 1716631
Два csrss.exe процесса...
 
Подскажите, в системе два csrss.exe процесса (в ДЗ), только кушают памяти по разному: 1616 кб и 2764 кб. Судя по свойствам, оба находятся в C:\Windows\System32. У обоих версия: 6.1.7600.16385. Вопрос - зачем два... вирус ли один из них?

Petya V4sechkin 20-07-2011 21:01 1716650
zomboy, воспользуйтесь фильтрами по названию темы по csrss.



Результат

Два процесса csrss.exe: нормально ли это?

Цитата:
Цитата Eric Perlin - MSFT
2 is actually the minimal number that's expected at anytime.
2 SYSTEM processes live per session for pretty much as long as each (TS) session exists (csrss.exe & winlogon.exe).

There are at least 2 sessions at any time, session 0 for services, other sessions for interactive logons.
There are more than 2 sessions when you use fast user switching or remote desktop.

zomboy 20-07-2011 21:07 1716655
Если честно, то всё это я уже прочёл. Вот только однозначно ответить никто не может по какой причине их два, если родитель и профиль один....

Просто до того, как написать здесь, перелопатил много рус и не рус инфы в сети.... Неделю по форумам гуляю...

Petya V4sechkin 20-07-2011 21:10 1716660
Цитата:
Цитата zomboy
Вот только однозначно ответить никто не может по какой причине их два, если родитель и профиль один....
Однозначный ответ в предыдущем посте.
Если с английским туго, вбейте в любом поисковике Изоляция сессии 0 (пример).

Цитата:
В Windows XP, Windows Server 2003 и более ранних версиях операционной системы Microsoft Windows все системные сервисы выполнялись в той же сессии, что и сессия, в которую загрузился первый пользователь системы. Такая сессия называется Сессия 0 (Session 0). Выполнение сервисов и пользовательских приложений в Сессии 0 могло приводить к определенным рискам, связанным с безопасностью, т. к. сервисы могут выполняться с повышенными привилегиями (например, под учетной записью Local System), вредоносные приложения могли пытаться использовать эти сервисы для повышения собственного уровня привилегий.

В операционной системе Windows Vista описанные выше риски устраняются за счет того, что сервисы, выполняемые в Сессии 0, изолированы и сама сессия не является интерактивной. В Windows Vista в Сессии 0 выполняются только системные процессы и сервисы. Первый пользователь, подключающийся к системе, загружается в Сессию 1, все последующие пользователи — в сессии с увеличивающими номерами. Это означает, что сервисы никогда не выполняются в той же сессии, что и пользовательские приложения и, таким образом, сервисы защищены от атак, которые могут происходить от вредоносных приложений.

Используя утилиту Task Manager, убедимся в том, что все сервисы Windows отделены от приложений и выполняются в Сессии 0.

Запустим утилиту Task Manager, выберем вкладку Process и включим отображение колонки Session ID (команда View | Select Columns). Активизируем опцию Show processes from all users для получения списка всех сервисов и убедимся в том, что они выполняются в отличной от приложений сессии — Сессии 0.

zomboy 29-07-2011 09:33 1722059
Спасибо за подробный ответ.

Москвич 11-01-2014 19:05 2286917
У меня лицензионная операционная система Windows 7 Начальная.
Сейчас в диспетчере задач работают два процесса.
Один занимает Память-9.984kb,а другой-1.540kb.
Стал проверять эти два процесса-csrss.exe
Нашёл это приложение в---
c:\Windows\System32\csrss.exe-приложение 6kb.
c:\Windows\winsxs\x86_microsoft-windows-csrss_316f3856ad364e35_6.1.7600.16
385-none-58ba39fb456943bd\csrss.exe-приложение 6kb.
c:\Windows\winsxs\Backup\x86_microsoft-windows-csrss_31bf3856ad364e35_
6.1.7600.16385_none_58ba39fb456943bd_csrss.exe_06529458-файл"EXE_
06529458"-6kb.
c:\Windows\System32\ru-RU\csrss.exe.mui-файл"mui"-2kb.
c:\Windows\winsxs\x86_microsoft-windows-csrss.resources_31bf3856ad364e35_
6.1.7600.16385_ru-ru_238878ee93c9301d\csrss.exe.mui-файл"mui"-2kb.
Везде пишут,что приложение должно быть только в одной папке System32,а тут такое скопление!
Что можете мне сказать?Всё правильно или есть вирус?
Всего всем хорошего!

Игорь Лейко 11-01-2014 20:38 2286995
Цитата:
Цитата The_Crystal
Ну хоть убей, но я помню, что должен быть один! »
Должно быть как раз не меньше двух, один для сеанса 0, второй для сеанса 1.

Москвич 12-01-2014 11:55 2287400
Цитата:
Цитата Игорь Лейко
Должно быть как раз не меньше двух, один для сеанса 0, второй для сеанса 1. »
Хорошо!Я согласен,что должно не меньше 2-х!
А как понять слова:Для сеанса 1 ?
Для сеанса 0 понятно из текста выше.А что такое Для сеанса 1 ?
И ещё одно непонятно:
Цитата:
Цитата Москвич
c:\Windows\winsxs\x86_microsoft-windows-csrss_316f3856ad364e35_6.1.7600.16
385-none-58ba39fb456943bd\csrss.exe-приложение 6kb. »
Это приложение должно ещё и в этой папке быть ? Или нет ?
Жду от всех ответа.
Всего хорошего!

Игорь Лейко 12-01-2014 13:21 2287463
Цитата:
Цитата Москвич
А как понять слова:Для сеанса 1 ? »
Для сеанса, в котором работает пользователь. Начиная с висты нормальный режим - когда пользователь и система работают в разных сеансах Поэтому сеанс 0 - это система, сеанс 1, 2, 3 и так далее - сеансы пользователей, вошедших в систему.

Petya V4sechkin 12-01-2014 16:47 2287625
Цитата:
Цитата Москвич
должно ещё и в этой папке быть ?
Должно.
Папка winsxs


Время: 20:48.

Время: 20:48.
© OSzone.net 2001-