[Question] Processes lạ trong Windows Vista Home Pre? |
25/05/2009 10:00:26 (+0700) | #1 | 181688 |
|
freeze_love
Member
|
0 |
|
|
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
|
|
Các bác ơi ai đó giúp em với, cái Win vista của em sao có nhiều Processes chạy mà lại trùng tên nữa), em ngại Virus nhưng quét = KIS 8 không có. Nó chạy làm Win chậm lại.Đây là ảnh chụp của Tast Manager:
Mấy cái dòng khoanh đỏ đó là em nghi. Đây là file log Hijack this:
http://www.megaupload.com/?d=JRINTKS0.Thanks các các! |
|
do{
học đến điên;
}while (sống); |
|
|
|
[Question] Re: Processes lại trong Windows Vista Home Pre? |
25/05/2009 12:45:08 (+0700) | #2 | 181710 |
|
ham_choi
Member
|
0 |
|
|
Joined: 03/09/2006 21:42:03
Messages: 396
Offline
|
|
Processes trùng là chuyện bình thường thôi.
Riêng file csrss.exe thì coi chừng là virus đó , vì file này không có lý do gì mà phải chạy 2 lần hết (chỉ chạy 1 lần mặc định khi khởi động Win thôi) ! Bạn kiểm tra xem nó có phải virus không . Nếu scan bằng KIS 8 mà không thấy thì dùng soft khác scan (mà KIS 8 có cập nhật mới nhất không đó ?! )
Đọc thêm cái này :
This is the user-mode portion of the Win32 subsystem (with Win32.sys being the kernel-mode portion). Csrss stands for client/server run-time subsystem and is an essential subsystem that must be running at all times. Csrss is responsible for console windows, creating and/or deleting threads, and some parts of the 16-bit virtual MS-DOS environment.
Note: The csrss.exe file is located in the folder C:\Windows\System32. In other cases, csrss.exe is a virus, spyware, trojan or worm! Check this with Security Task Manager.
Virus with same name: Nimda.E
|
|
If love were human it would know me
In a lost space come and show me
Hold me and control me and then
Melt me slowly down
Like chocolate ! |
|
|
|
[Question] Re: Processes lại trong Windows Vista Home Pre? |
25/05/2009 13:51:12 (+0700) | #3 | 181721 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
Thời này mà nimda.E còn để chạy được trên vista sao trời. Bác trên kia sài vista nên tìm hiểu cho kỹ nó và xem thử những người dùng vista các phiên bản, có gặp tình huống thông thường như bác không. Vista có nhiều thứ không như XP đâu đấy. |
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Question] Re: Processes lại trong Windows Vista Home Pre? |
25/05/2009 14:02:27 (+0700) | #4 | 181723 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
Chỉ dựa vào HJT log thì bạn nên fix mục sau :
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Restart lại máy, scan lại bằng HJT 1 lần nữa xem có còn 2 mục trên ko, báo lên đây .
Chụp hình process qua Task Manager thì tôi chịu, bạn có thể tham khảo các post của tôi trong box này, upload log của GetSystemInfo và đưa lên đây, tôi sẽ cho bạn nhận định cụ thể :
http://telecharger.kaspersky.fr/GSI/GetSystemInfo.exe |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Question] Re: Processes lại trong Windows Vista Home Pre? |
26/05/2009 00:16:51 (+0700) | #5 | 181769 |
|
freeze_love
Member
|
0 |
|
|
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
|
|
Cảm ơn các bác.
@ham_choi:
@tmd:
Cảm ơn bács đã cho lời khuyên. (số nhiều đấy nhé)
@bolzano_1989:
http://www.megaupload.com/?d=EQGE76F9 là file log quét = GetsysInfor. Bác xem rồi giúp em nhé. Cái Regedit đó là do em Disable. Em đã Enable troở lại rồi mới quét. |
|
do{
học đến điên;
}while (sống); |
|
|
|
[Question] Re: Processes lại trong Windows Vista Home Pre? |
26/05/2009 03:20:19 (+0700) | #6 | 181784 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
Đã kiểm tra những process trùng tên đó ko phải malware và cũng ko bị inject bởi malware .
Bạn upload giùm mình file sau : C:\Users\Le Quoc Nam\AppData\Local\Temp\bpkun.exe
Sau đó thì delete file đó trong máy bạn luôn . Vậy là xong .
Gần đây , bạn có cài keylogger để tự tìm hiểu phải ko ?
|
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Question] Re: Processes lại trong Windows Vista Home Pre? |
26/05/2009 04:31:25 (+0700) | #7 | 181795 |
|
freeze_love
Member
|
0 |
|
|
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
|
|
Khi trước, đâu có nhiều processes vậy đâu. Giờ tắt một số process svshost.exe là win log out và khởi động lại. Đúng, lúc trước có cài key log nghịch nhưng đã remove rồi. Sao mà nó còn? Mà hình như file đó là file uninstall. Bạn nghĩ đó của key log ah? Mình remove nó cả tuần nay rồi, hông lẽ nó là thủ phạm (khi trước chưa move, thì có ít process chạy lắm chứ không 4 bức ảnh vậy mới lấy hết tast manager)?
http://www.megaupload.com/?d=64KTFJ3H là cái bạn y/c. |
|
do{
học đến điên;
}while (sống); |
|
|
|
[Question] Re: Processes lại trong Windows Vista Home Pre? |
26/05/2009 06:31:35 (+0700) | #8 | 181843 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
freeze_love wrote:
Khi trước, đâu có nhiều processes vậy đâu. Giờ tắt một số process svshost.exe là win log out và khởi động lại. Đúng, lúc trước có cài key log nghịch nhưng đã remove rồi. Sao mà nó còn? Mà hình như file đó là file uninstall. Bạn nghĩ đó của key log ah? Mình remove nó cả tuần nay rồi, hông lẽ nó là thủ phạm (khi trước chưa move, thì có ít process chạy lắm chứ không 4 bức ảnh vậy mới lấy hết tast manager)?
Do gần đây bạn cài thêm nhiều thứ vào máy thôi .Bạn tự tìm hiểu msconfig, dùng nó tắt bớt 1 số service và các chương trình khởi động cùng máy thì sẽ giảm các process cùng tên .
|
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Question] Re: Processes lại trong Windows Vista Home Pre? |
26/05/2009 10:20:45 (+0700) | #9 | 181870 |
|
freeze_love
Member
|
0 |
|
|
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
|
|
Cái msconfig đó mình đã làm rồi mà không được. Sau đây là dịch vụ mà mình cho nó chạy:
.
Làm không được nên mình mới hỏi trên HVA. Vậy là bạn cũng bó tay? Nhưng dù sao cũng cảm ơn bạn đã chia sẻ |
|
do{
học đến điên;
}while (sống); |
|
|
|
[Question] Re: Processes lạ trong Windows Vista Home Pre? |
26/05/2009 11:01:29 (+0700) | #10 | 181879 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
Bạn chỉ mới làm phần Startup , còn phần Services nữa, tự làm tiếp tục đi . |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Question] Re: Processes lạ trong Windows Vista Home Pre? |
26/05/2009 11:04:33 (+0700) | #11 | 181880 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
Bạn chỉ mới làm phần Startup , còn phần Services nữa, tự làm tiếp tục đi .
Tui refresh click post 2 lần làm lặp post nên tiện nói thêm luôn . Đã xác định ko phải malware và ko có malware inject là đã nhẹ nhàng cho bạn nhiều lắm rồi . Bạn chỉ việc tìm hiểu service nào ko cần thiết và tắt nó đi . Có chuyện nhỏ vậy mà ko làm được thì kiếm dịch vụ vậy . |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Question] Re: Processes lạ trong Windows Vista Home Pre? |
26/05/2009 11:06:53 (+0700) | #12 | 181882 |
|
freeze_love
Member
|
0 |
|
|
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
|
|
Nhưng nhiều dịch vụ quá mình biết tắt cái nào để khỏi ảnh hưởng đến hệ thống đây? |
|
do{
học đến điên;
}while (sống); |
|
|
|
[Question] Re: Processes lạ trong Windows Vista Home Pre? |
26/05/2009 13:38:48 (+0700) | #13 | 181902 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
freeze_love đã message qua lại với tôi .
Thấy có vấn đề mà freeze_love nhận định sai , nêu lên đây để người dùng Vista chú ý :
freeze_love : "Sao cái đó đến hai cái process csrss.exxe" . "Trên HVA bảo là chỉ để khởi đọng là xong, vậy thì chẳng có nguyên nhân gì chạy hai lần" .
Và đây là câu trả lời :
Theo Jimmy Brush ở forum vistaheads :
Csrss.exe is the user-mode component of Windows that
manages, keeps information on/for, and provides services to Windows
applications (applications running under the Win32 subsystem).
As such, it needs to run once in each session, since the state of
Windows programs running in one session must be completely seperate
from the state of Windows programs running in another.
Since Windows Vista loads 2 sessions now on startup as opposed to just
1 in XP, you see this process duplicated when showing processes for
all users.
Nothing to be worried about
Lời bàn : Không phải thành viên nào ở HVA forum cũng kiểm tra những gì họ phát biểu, một số lại mắc bệnh theo chủ nghĩa "kinh nghiệm" nên các bạn đừng quá tin tưởng vào một nhận định nào cả, phải tự mình kiểm tra thôi . Tất nhiên là những nhận định từ staff và elite member có độ tin cậy rất cao vì họ luôn cẩn trọng khi post bài . |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Question] Re: Processes lạ trong Windows Vista Home Pre? |
26/05/2009 14:35:00 (+0700) | #14 | 181911 |
kelakent
Member
|
0 |
|
|
Joined: 13/09/2008 15:55:02
Messages: 7
Offline
|
|
Kinh nghiệm của em là end process hết đi, cái nào không end được thì thôi, còn cái svchost.exe thì không tắt ( cái này cũng không phải virus đâu mà tắt ).
Em lính mới biết sao nói thế, còn chuyện của các thành viên có thâm niên thì em chịu không bàn bạc được gì. |
|
|
|
|
[Question] Re: Processes lạ trong Windows Vista Home Pre? |
26/05/2009 14:46:23 (+0700) | #15 | 181912 |
|
ham_choi
Member
|
0 |
|
|
Joined: 03/09/2006 21:42:03
Messages: 396
Offline
|
|
bolzano_1989 wrote:
freeze_love đã message qua lại với tôi .
Thấy có vấn đề mà freeze_love nhận định sai , nêu lên đây để người dùng Vista chú ý :
freeze_love : "Sao cái đó đến hai cái process csrss.exxe" . "Trên HVA bảo là chỉ để khởi đọng là xong, vậy thì chẳng có nguyên nhân gì chạy hai lần" .
Và đây là câu trả lời :
Theo Jimmy Brush ở forum vistaheads :
Csrss.exe is the user-mode component of Windows that
manages, keeps information on/for, and provides services to Windows
applications (applications running under the Win32 subsystem).
As such, it needs to run once in each session, since the state of
Windows programs running in one session must be completely seperate
from the state of Windows programs running in another.
Since Windows Vista loads 2 sessions now on startup as opposed to just
1 in XP, you see this process duplicated when showing processes for
all users.
Nothing to be worried about
Lời bàn : Không phải thành viên nào ở HVA forum cũng kiểm tra những gì họ phát biểu, một số lại mắc bệnh theo chủ nghĩa "kinh nghiệm" nên các bạn đừng quá tin tưởng vào một nhận định nào cả, phải tự mình kiểm tra thôi . Tất nhiên là những nhận định từ staff và elite member có độ tin cậy rất cao vì họ luôn cẩn trọng khi post bài .
Cái này tôi sai thật , hôm nay đọc bài này xong , kiểm tra lại thì csrss.exe có thể chạy 2 lần (tui kiểm tra trong Vista Ultimate 32 bit , các version khác không có điều kiện kiểm tra nên không biết thế nào). Lỗi cũng do bữa đó tui đang lướt quá nhiều tab để đọc tài liệu, trả lời mà lo ra quên mất vụ check ! Chứ thường ngày thì tui không có vụ này đâu , các bạn cứ yên tâm nhé
@ bolzano_1989 : Bạn không cần nói giảm đâu , thấy tui sai thì cứ phang thẳng vào nhé ! Vì nhiều khi tui không có thời gian check . Mà công nhận cái topic này bữa đó tui post bài ẩu thật , không check kỹ.
Rút kinh nghiệm , lần sau hễ bận đọc tài liệu hay làm cái gì khác thì không post bài lên HVA nữa (để tránh post các bài kém chất lượng)
Cám ơn bạn bolzano_1989 nhiều nhé !
Sorry all ! |
|
If love were human it would know me
In a lost space come and show me
Hold me and control me and then
Melt me slowly down
Like chocolate ! |
|
|
|
[Question] Re: Processes lạ trong Windows Vista Home Pre? |
27/05/2009 00:43:56 (+0700) | #16 | 181949 |
|
freeze_love
Member
|
0 |
|
|
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
|
|
Cảm ơn các bạn đã giúp mình. Hôm qua bạn bolzano_1989 có Remote "Assitan" cho mình rồi và có thấy nhanh hơn tí. Thanks all! (@-@) |
|
do{
học đến điên;
}while (sống); |
|
|