瑞星卡卡安全论坛

最经电脑运行很慢，老是突然就卡住，什么都动不了，类似死机，但等一会儿就会好
出现这情况的时候CPU被占用100%，发现是系统的CSRSS.EXE占用了98%以上。因为是系统的，所以没办法结束进程，只能等，或者强行重启。
怀疑是有病毒，用瑞星和360都查不出来。
后来用WINDOWS清理助手，查出一个RootKit.BeepEx
并显示是在HKEY_LOCAL_MACHINE,SYSTEM\CURRENTCONTROLSET\SERVICES\BEEP\ENUM,INITSTARTFAILED

麻烦的是处理过后只要重启电脑，再用清理助手查还是能查出这个，无法彻底清理。

用SRENG扫描日志的时候，总有两个入口错误
API名字是CreateProcessA  目的地址是0x010f1ffd
以及        CreateProcessW  目的地址是0x010f20e5


已上传SRENG日志附件，请楼主帮忙看看，万分感谢！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; QQDownload 1.7; TencentTraveler ; TencentTraveler 4.0; CIBA)

附件: SREngLOG.log

附件: 新建文件夹.rar

将下面这文件复制并压缩发来看看

C:\WINDOWS\Explorer.exe

下面这些不认识
==================================
计划任务
[已启用] User_Feed_Synchronization-{69B1C901-B7DB-49FF-BE5D-4A21605F56E9}.job
        C:\WINDOWS\system32\msfeedssync.exe
[已启用] SogouImeMgr.job
        D:\SOGOUI~1\360~1.165\PinyinRepair.exe
[已启用] AppleSoftwareUpdate.job
        C:\Program Files\Apple Software Update\SoftwareUpdate.exe

没看出什么

你去安全模式下用清理助手再清理试试

在安全模式下用清理助手清理过后，正常启动还是能查出这个
RootKit.BeepEx
郁闷了。。。
在清理之前用SRENG又扫了一遍，在附件里更新了，麻烦再看看
辛苦了

附件: SREngLOG.log

你必须去相同系统里找BEEP.sys文件

先替换C:\WINDOWS\system32\dllcache文件夹里的，再替换C:\WINDOWS\system32文件夹里的。

可以这贴里找相关文件下载。
http://bbs.ikaka.com/showtopic-8417665.aspx

替换完以后，重启电脑，再清理试试

这清理助手不知道怎么这阵都提示这玩意

要在哪里去找安全的BEEP.SYS文件？在你提供的帖里找到了这个，可是不知道怎么下载啊

不会吧？？

就点击一下，下载文件，再解压出来不会？？？

那么你平时下载QQ软件，下载迅雷什么的，没下载过？？？

汗。。
问题是它的链接不是下载，而是查找其他的MD值不同的文件。
http://file.ikaka.com/Info/FileInfo.aspx?FileID=55857&FileMD5=da1f27d85e0d1525f6621372e7b685e9
但是还是谢谢。

请下载那个帖子3楼最下面那个2.57MB的附件（压缩包），解压缩后找对应文件……:default2:

不要直接点文件的MD5值，那是便于你校验MD5的……

文件已经下好了，可是在系统文件在用的过程中怎样替换呢？

晕，如果你下载的是我说的3楼的附件，那就弄错了，应该下载2楼的（你机是SP2系统）……:default21:

替换文件就是把正常文件复制到同名问题文件所在目录下，系统会提示“某文件已存在，请选择：1、替换；2、重命名；3、……”，当然是选择1后点“确定”了。

建议楼主有空的话多了解下系统基础知识吧……:default24:

我也汗了！我还不至于连SP2,SP3都分不清，我下的是二楼的，文件没下错，不用担心
另外，普通文件的替换是谁都会的，可我说的不是普通文件。而且，你也知道这个是系统文件啊，我选择了同目录下的替换，可电脑提示是系统文件正在使用无法替换啊。在任务管理器里面我也无法停止这个进程。麻烦先看清楚我说的问题。谢谢！

安全模式替换试试

http://bbs.ikaka.com/showtopic-8561436.aspx

看我这贴，用同样方法，使用wsyscheck工具替换

以及使用wsyscheck终止进程

谢谢你了，:default15:
另外，能够补充下CSRSS.EXE的文件下载么，我在那没找到这个呢~
辛苦啦~~

楼主是否现在需要文件？需要的话

我发一个上来

非常感谢！:default5:

你要CSRSS.EXE这个文件干什么？

EXE的MD5：3502114E4CB83E491A80FC361C1DC7B7

附件: csrss.rar

最近它不太正常，老是占用CPU99%，让我死机N次了。。

还有，能否帮我解决下这个

注册表AppInit-DLLs值被修改为非正常值——（kmon.dll）
sreng日志在现在的附件里

麻烦了

附件: SREngLogEm.LOG

计划任务
[已启用] User_Feed_Synchronization-{69B1C901-B7DB-49FF-BE5D-4A21605F56E9}.job

        C:\WINDOWS\system32\msfeedssync.exe
什么东东
msfeedssync.exe 发上来

2.AppInit-DLLs里的kmon.dll
那是卡卡上网助手的

哦，在附件里，我也不知道是啥

附件: msfeedssync.rar

是微软的
但很奇怪:default2:

安全级别：安全      文件名：msfeedssync.exe  MD5:9F9CDCE490B6C90E1717B3246F8C9AAF
      文件大小：13312 byte, 出品公司：Microsoft Corporation, 版本号：8.00.6001.18241 (longhor
      文件上报时间：2008-9-19 14:31:21  查看评论(0)

奇怪？是你没见过的？

日志里很少见