16-Bit-MS-DOS-Subsystem: csrss.exe

2259
Wesley

Ich habe gerade mein Samsung N120 Netbook (mit Windows XP Home SP3) hochgefahren und ein Dialogfeld öffnete ein Eingabeaufforderungsfenster dahinter. Das Dialogfeld hat den Titel 16 bit MS-DOS Subsystemund die Nachricht lautet wie folgt:

C:\DOCUME~1\SAMSUNG\csrss.exe The NTVDM CPU has encountered an illegal instruction. CS:0544 IP:0117 OP:63 00 64 00 34 Choose 'Close' to terminate the application.

Dies begann erst bei meinem letzten Start. Zu beachten ist, dass Panda Cloud Antivirus beim Herunterladen des Dropbox-Installationsprogramms eine verdächtige Datei entdeckte csrss.exeund diese "neutralisierte". Ein tatsächlicher Virus oder Trojaner wurde jedoch nicht unmittelbar vor dem Erkennen und Neutralisieren der Datei entdeckt.

Vor knapp zwei Wochen wurden aus irgendeinem Grund ein Trojaner und zwei Viren entdeckt. (Ich bin nur auf eine Website gegangen, die ich kannte, und ich recherchiere nicht oder störe nicht auf Websites für Erwachsene.) Die beiden Viren tauchten jedoch in temporären Dateien auf, und der Trojaner wurde "neutralisiert".

Die Hauptfrage lautet jedoch: Wie kann ich die Datei csrss.exe reparieren, sodass Windows XP ordnungsgemäß gestartet wird?

Ein Screenshot kann auf Anfrage gepostet werden. Danke im Voraus!

EDIT 1: Nun ... es scheint, dass Panda Cloud tatsächlich die Prügel genommen hat. AVG hat es erkannt und Panda muss gehen.

EDIT2: Nach einer Suche nach "csrss" war der einzige Eintrag der in C: \ WINDOWS \ system32. Ich bin gestartet, sfc /scannowaber meine XP-Disc funktioniert nicht damit - UPDATE: Ich habe gerade festgestellt, dass ich eine XP Pro SP3-Disc verwende, als mein Netbook mit XP Home SP3 vorinstalliert war ... und ich habe keine Original-Installations-CD, klar - also kann ich die zusätzlichen DLLs für den Scan nicht bekommen ...

EDIT3: Ich habe gerade Google verwendet, um alles Mögliche über dieses Problem zu suchen. Dieser Link weist darauf hin, dass ich einige Registrierungsänderungen vornehme. Wird dies tatsächlich behoben csrss.exeoder verhindert es nur, dass es überhaupt erst gestartet wird?

EDIT4: Ich habe die oben verlinkte Seite gelesen und scheint einen Eintrag in gefunden zu haben HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Es gibt dort einen String, Taskmandessen Wert is ist C:\Documents and Settings\SAMSUNG\csrss.exe. Ich werde sehen, was der tatsächliche Wert sein soll. UPDATE: Ich habe auf eine saubere Maschine verwiesen, um zu sehen, was der richtige Wert von Taskman ist. Es stellt sich heraus, Taskmanhat auf einem anderen Rechner den gleichen Wert. Ich bin etwas verstopft.

IN MEINER ANTWORT GEPOSTETE LÖSUNG!

0

3 Antworten auf die Frage

2
fretje

Aus der Nachricht sehe ich, dass sich die erwähnte csrss.exe unter befindet c:\docume~1\samsung. Diese Datei sollte nicht dort sein, sondern unter c:\windows\system32.

Überprüfen Sie, ob sich noch eine (hoffentlich unberührte) Version dieser Datei in Ihrem system32-Ordner befindet. In diesem Fall können Sie einfach den Ordner in Ihrem Dokumentenordner löschen.

Möglicherweise müssen Sie mit einer bootfähigen CD booten und die Datei von dort löschen, da sie wahrscheinlich verwendet wird.

The copy running from `C:\Docume~1\Samsung` is most likely some kind of malware. The asker might want to run a good virus scanner from a bootable CD/USB drive to make sure that his system is really clean. afrazier vor 14 Jahren 0
@afrazier: Danke. Panda war infiziert und ich verwende jetzt Microsoft Security Essentials. Wesley vor 14 Jahren 0
1
squircle

csrss.exeist eine wichtige Komponente einer Windows-Installation. Am besten öffnen Sie eine cmdEingabeaufforderung ( start-> run, Typ cmdund drücken Sie enter) und geben Sie ein sfc /scannow. Dadurch wird der Windows-Systemdatei-Checker aufgerufen, der prüft, ob alle Dateien vorhanden sind und funktionieren. Wenn es trifft csrss.exe, sollte es aus dem Cache wiederhergestellt werden oder Sie werden aufgefordert, Ihre Windows-Disc einzulegen (da es sich um ein Netbook handelt, wenn es kein CD-Laufwerk hat, können Sie ein externes USB-Laufwerk oder ein Windows-Installationsprogramm-USB-Laufwerk verwenden.) . Das sollte csrss.exean der richtigen Stelle für Sie wiederhergestellt werden .

+1 Ich habe nicht an die Option `sfc / scannow` gedacht. Aber pass auf mit diesem hier auf. Ich habe Systeme gesehen, bei denen sogar der Cache des System File Checker infiziert war. Durch Ausführen dieses Befehls wurde der Virus tatsächlich zurückgesetzt! fretje vor 14 Jahren 0
It happens sometimes. But I usually tell people who get viruses/trojans/other infections that the only true way to make sure it's gone is to format & reinstall the operating system (maybe too harsh an answer for this question). squircle vor 14 Jahren 1
@thepurplepixel: Genau das mache ich. fretje vor 14 Jahren 0
@ thepurplepixel: Ich möchte eine Neuformatierung auf diesem Netbook vermeiden, da der Hersteller viele voreingestellte Konfigurationen hat, mit denen ich mich nicht anfreunden möchte. Ich werde es jedoch tun, wenn ich das nicht reparieren kann ... Wesley vor 14 Jahren 0
@Wesley: Exactly, that's why I answered with the `sfc` option instead of *just reformat it*. Hope you get a quick & easy solution! squircle vor 14 Jahren 0
@thepurplepixel: Leider habe ich keine XP Home SP3-Disc ... Ich führe den Scan einfach aus, ohne meine Disc zu verwenden ... Ich weiß nicht, ob das von Nutzen ist ... Wesley vor 14 Jahren 0
@ Wesley: sollte es aus dem eingebauten DLL-Cache wiederherstellen; Sie sollten Ihre Disc nur dann benötigen, wenn sie im DLL-Cache beschädigt ist. Sogar dann gibt es Möglichkeiten, es ohne Disc von Microsoft zu bekommen. squircle vor 14 Jahren 0
`"Even then, there are ways of getting it from Microsoft without a disc."` @thepurplepixel: What does that mean? Also, Microsoft Security Essentials still detected something... have yet to see what it is... Wesley vor 14 Jahren 0
@ Wesley: Am einfachsten, es von einem funktionierenden System zu kopieren. Oder jemanden mit einer Windows-CD finden. Oder laden Sie eine saubere, funktionierende ISO-Datei von der Installations-CD herunter und extrahieren Sie sie dort. Tonnenweise Wege. (Bei Bedarf kann ich die Datei von meiner Windows-CD extrahieren und Ihnen eine E-Mail senden). squircle vor 14 Jahren 0
@thepurplepixel: Ich habe mehrere saubere XP-Maschinen und kopierte csrss.exe von einem. Ich bin mir jedoch nicht so sicher, wie ich das aktuelle auf meinem Netbook ersetzen kann ... Ich kann den Vorgang nicht beenden, da er immer verwendet wird ... Wesley vor 14 Jahren 0
@ Wesley: Ich verwende generell [MoveOnBoot] (http://www.softpedia.com/get/System/Boot-Manager-Disk/MoveOnBoot.shtml) (oder ein gleichwertiges Element) für diese Art von Dingen. squircle vor 14 Jahren 0
@thepurplepixel: Ich benutze das, um die aktuelle csrss.exe in csrss.old umzubenennen und eine frische csrss.exe in den system32-Ordner zu kopieren. Das Dialogfeld wird dennoch angezeigt. Nach dem Durchsuchen von "C: \ Dokumente und Einstellungen \ SAMSUNG \ csrss.exe" scheint es nicht zu existieren, selbst wenn verborgene Dateien / Ordner aktiviert sind. Hat der Virus den Startpfad für csrss.exe geändert? Wesley vor 14 Jahren 0
@ Wesley: Um ganz ehrlich zu sein, habe ich keine Ahnung. Wissen Sie, um welches Virus es sich handelt? squircle vor 14 Jahren 0
@thepurplepixel: Ich weiß es eigentlich nicht, nachdem ich Panda Cloud entfernt habe. Wesley vor 14 Jahren 0
0
Wesley

Das war also die Lösung:

Erstens gab es die grundlegenden Antivirensoftware-Scans, um verbleibende Bedrohungen auf dem Computer zu ermitteln. Die Verwendung zweier verschiedener AV-Software war hilfreich, da meine ursprüngliche AV-Software infiziert war.

Zweitens meinten die meisten Antworten, dass die lebenswichtige Windows-Anwendung csrss.exenirgendwo anders existieren sollte als in C:\WINDOWS\system32\. Allerdings csrss.exeexistiert tatsächlich als vollständig versteckte Datei unter dem Ordner des Benutzers in C:\Documents and Settings\USER\.

Die System32-Version der Datei war nicht beschädigt, aber es war die Datei im Benutzerordner, durch die beim Start ein Dialogfeld angezeigt wurde. Die einfache Lösung bestand darin, eine saubere Kopie von einem anderen Computer zu kopieren und in den Benutzerordner zu kopieren, obwohl sie eigentlich nicht sichtbar ist.

Vielen Dank für Ihre Hilfe!

Verwandte Probleme