注意：csrss.exe进程属于系统进程，这里提到的木马csrss.exe是木马伪装成系统进程
   前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的，不应该在这里，而且它的图标是98下notepad.exe的老记事本图标，在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定，也没有发现内存和CPU大量占用，网络流量也正常。
   这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator，就是我登录的用户名，而非system，另外它们的名字是小写的，而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE，觉得不对劲。
   然后按F3用资源管理器的搜索功能找csrss.exe，果然在C:\Windows下，大小52736字节，生成时间为12月9日12:37。而真正的csrss.exe只有4k，生成时间是2003年3月27日12:00，位于C:\Windows\Syetem32下。


   于是用超级无敌的UltraEdit打开它，发现里面有kavscr.exe，mailmonitor一类的字符，这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序，不是病毒就是木马了。灭！
   试图用任务管理器结束csrss.exe进程失败，称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值，注销重登录，该进程消失，可见它没有象3721那样加载为驱动程序。
   然后要查找和它有关的文件。仍然用系统搜索功能，查找12月9日生成的所有文件，然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe，但kavsrc.exe的图标也是98下的记事本图标，它和rundll32.exe的大小都是33792字节。


补充：
   Windows XP SP3 系统下关于该文件的信息如下：
   csrss.exe - csrss - 进程管理信息 进程文件： csrss or csrss.exe
   系统进程：Yes
   后台程序：Yes
   网络相关：No
   大小：6KB
   所在位置：C:\Boot Files\C_\WINDOWS\SYSTEM32
   再次提醒：正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示。
   创建日期：2007年6月1日 星期五, 0:00:00。
   如果 csrss.exe 位于在 "C:\Program Files" 下的子目录下，那么威胁危险度是 70% 。文件大小是 1,111,688 字节 (占总出现比率 11% )，49,152 字节，311,808 字节，1,189,549 字节，141,606 字节，769,536 字节，1,201,827 字节，1,056,768 字节，1,175,073 字节。
   如果 csrss.exe 位于在 C:\Windows\System32 下的子目录下，那么威胁危险度是 77% 。文件大小是 2,121,216 字节 (占总出现比率 22% )，28,160 字节，29,696 字节，20,480 字节，2,932,736 字节，470,528 字节，76,800 字节，43,072 字节。
   如果 csrss.exe 位于在目录 C:\Windows\System32\drivers下，那么威胁危险度是 64% 。文件大小是 81,920 字节 (占总出现比率 40% )，335,872 字节，542,720 字节，6,144 字节。
   如果 csrss.exe 位于在 "C:\Documents and Settings" 下的子目录下，那么威胁危险度是 57% 。文件大小是 58,033 字节 (占总出现比率 50% )，385,536 字节，24,576 字节。

end

看不懂