buenas noche tengo un problema con este virus (csrss.exe), el cual me tiene la pc muy lenta sobre todo cuando accedo a internet y mas cuando abro el messenger por favor que hago.

ya hize un escaner con el HijackThis y este es el resultado

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:03:55 p.m., on 21/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
**Editado por Moderador**
En este subforo no se permiten logs de HijackThis
y este es mi inicio de windows

StartupList report, 21/05/2008, 08:04:27 p.m.
StartupList version: 1.52.2
Started from : C:\DOCUME~1\CANGREJO\CONFIG~1\Temp\Rar$EX01.625\Hi jackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\rnamfler\naofsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\rnamfler\naomf.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
c:\archivos de programa\rnamfler\radprcmp.exe
C:\Archivos de programa\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\system32\taskmgr.exe
C:\Archivos de programa\Opera\Opera.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\DOCUME~1\CANGREJO\CONFIG~1\Temp\Rar$EX01.625\Hi jackThis.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

wrna3ls = C:\Archivos de programa\rnamfler\naomf.exe
avast! = C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
InCD = C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe
NeroFilterCheck = C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
OpwareSE4 = "C:\Archivos de programa\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
SSBkgdUpdate = "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
SunJavaUpdateSched = "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
nwiz = nwiz.exe /install
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
PCTVOICE = pctspk.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} = "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
ares = "C:\Archivos de programa\Ares\Ares.exe" -h
updateMgr = "C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_9 -reboot 1

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=c:\windows\system32\awvttqn.dll

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Archivos de programa\Canon\Easy-WebPrint\EWPBrowseLoader.dll - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE}
(no name) - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - (no file) - {7E853D72-626A-48EC-A868-BA8D5E23E045}
(no name) - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910}
(no name) - (no file) - {bf19ca7c-6861-4b55-93ef-877a07a3b4e1}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Analizar el equipo - CANGREJO.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\system32\macromed\Director\SwDir.dll
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

[ewidoOnlineScan Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\EWIDOO~1.DLL
CODEBASE = http://downloads.ewido.net/ewidoOnlineScan.cab

[MSN Photo Upload Tool]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll
CODEBASE = http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

[Windows Live Photo Upload Control]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\CONFLICT.1\MsnPUpld.dll
CODEBASE = http://jhlcangrejo.spaces.live.com/PhotoUpload/MsnPUpld.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9d.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[{D27CDB6E-AE6D-11CF-96B8-444553540121}]
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll
WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll

--------------------------------------------------
End of report, 8.228 bytes
Report generated in 0,109 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

agradeciendo todo lo que puedan ayudar

Descarga y actualiza SUPERAntiSpyware (http://www.forospyware.com/t102977.html)
Descarga CCleaner (http://www.forospyware.com/t105564.html)



Desactiva Restaurar Sistema (http://www.forospyware.com/292280-post2.html)

Reinicia en Modo Seguro (http://www.forospyware.com/292284-post4.html)

Busca y elimina este archivo:
C:\WINDOWS\system32\csrss.exe

Si se resiste, usa File Assassin (http://www.forospyware.com/298547-post10.html) para eliminarlo

Ejecuta SUPERAntiSpyware y limpia lo que encuentre.

Haz una Limpieza con CCleaner, usa la opción Limpiador para borrar cookies y temporales, y la opción Registro para efectuar una limpieza del registro de Windows.

Reinicia en Modo Normal y pasa Ewido on line (http://www.forospyware.com/t42048.html), pegando aquí el reporte que genere. Recuerda usar la opción Remove Infections para eliminar lo que encuentre.

Una vez terminados los pasos, vuelve a activar Restaurar Sistema

Hola,

porque C:\WINDOWS\system32\csrss.exe es un virus???

No lo borres, segun recuerdo es un archiuvo legitimo de windows (por la ruta).

Pasa un antivirus online antes de eliminar el archivo, digamos kaspersky, y nos pegas el reporte que genera, el link est'a aca:
Foro de Spyware - Avisos en Foro : Foro de Virus y Spywares (http://www.forospyware.com/foro-de-virus-y-spywares/aviso-7.html)


Saludos

buenas dias, acabo de escanear mi pc con kaspersky y este fue el resultado

sábado, 24 de mayo de 2008 6:33:55
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 23/05/2008
Registros en la base antivirus: 712513


Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
C:\
D:\
F:\

Estadísticas
Número de objeros analizados 84911
Virus encontrados 1
Objetos infectados 3 / 0
Objetos sospechosos 0
Duración del análisis 05:10:30

Bombre del objeto infectado Nombre del virus Última acción
C:\Archivos de programa\Alwil Software\Avast4\DATA\aswResp.dat Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\Avast4.db Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\integ\avast.int Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\log\nshield.log Object is locked saltado

C:\Archivos de programa\Alwil Software\Avast4\DATA\report\Protección residente.txt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\CANGREJO\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\CANGREJO\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\CANGREJO\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\CANGREJO\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\CANGREJO\Configuración local\Historial\History.IE5\MSHist0120080523200805 24\index.dat Object is locked saltado

C:\Documents and Settings\CANGREJO\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\CANGREJO\Datos de programa\OpenOffice.org2\user\registry\data\org\op enoffice\Office\Common.xcu_tmp Object is locked saltado

C:\Documents and Settings\CANGREJO\Mis documentos\todo\Ejecutables\avast! professional edition 4 7 869 + key gen\Avast! Professional Edition 4.7.869 + key gen\keygen.exe Infectados: Trojan-Downloader.Win32.Delf.hky saltado

C:\Documents and Settings\CANGREJO\Mis documentos\todo\Ejecutables\avast! professional edition 4 7 869 + key gen.rar/Avast! Professional Edition 4.7.869 + key gen/keygen.exe Infectados: Trojan-Downloader.Win32.Delf.hky saltado

C:\Documents and Settings\CANGREJO\Mis documentos\todo\Ejecutables\avast! professional edition 4 7 869 + key gen.rar RAR: infectado - 1 saltado

C:\Documents and Settings\CANGREJO\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\CANGREJO\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Temp\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Temp\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\DEFAULT.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\SOFTWARE.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\SYSTEM.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\Perflib_Perfdata_650.dat Object is locked saltado

C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

Hola,

El reporte de kaspersky solo muestra este archivo como infectado:
C:\Documents and Settings\CANGREJO\Mis documentos\todo\Ejecutables\avast! professional edition 4 7 869 + key gen.rar
Eliminalo.

Sobre el proceso csrss.exe, al parecer no est'a infectado. Puede que aparezca como que est'a consumiendo muhcos recursos, peor es porque es parte del sistema.

Nos comentas...

Saludos