- ベストアンサー
csrsr.exeが大量のCPUタイムを消費しています
はじめまして。 よろしくお願いいたします。 当方、WindowsXP SP1を使用しています。 本日クリーンインストールをしたのですが しばらく使用すると動作が非常に重くなるので タスクマネージャを起動してプロセスを調べてみたところ「csrsr.exe」が90%以上のCPUを使用しています。 先ほど、SP2をインストールしてみたところ 起動直後にファイヤーウォールがcsrsr.exeが外部に接続しようとしている旨の警告を告げました。 Trendomicroのオンラインスキャンでウイルスをチェックしてみたのですがないようです。 とても不安なのですが どうしたらよろしいのでしょうか?
- DSL50
- お礼率80% (4/5)
- Windows XP
- 回答数5
- ありがとう数5
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
その他の回答 (4)
No4の方の情報を元に検索した結果、下記のサイトの対策方法がよいかと思います。 シマンテック Trojan.Stealther.B http://www.symantec.com/region/jp/sarcj/data/t/trojan.stealther.b.html シマンテック Backdoor.Winshell.50 駆除ツール http://www.symantec.com/region/jp/sarcj/data/b/backdoor.winshell.50.removal.tool.html
お礼
アドバイスありがとうございます。 それはこちらに書き込みをする前に試してみましたが問題なしとのことでした。 今日一日TrendomicroやDellのサポートに問い合わせをしていたのですが駄目でした。 症状を報告しておきますと 1:しばらくネットに接続しているとHPやメールの受信ができなくなる(この時点でcsrsr.exeの負荷は0%)。 2:回線を切断するとcsrsr.exeの負荷が90%を超えネット自体に接続が困難になる(恐らく高負荷のため)。 3:csrsr.exeのプロセスを止めるとネットに接続が可能になり、以降HPやメールの受信も問題なく行える。 ※PCを起動しXPを読み込んだ時点でcsrsr.exeがネットの外にアクセスしようとする。 というところです。 明らかにcsrsr.exeがウイルスっぽいのですが ウイルスバスターで何度検索してもウイルスはでません。シマンテックのも駄目です。 Trendomicroのサポートの方もcsrsr.exeを作るウイルスは存在するがウイルスバスターで検索しても駄目なら判らないとのことでした。 結局、csrsr.exeがMicrosoftのものでもDellのものでもないのを確認したので削除しました。 そして該当レジストリを全て削除したことで 今のところ問題は沈静化したように思います。 このたびは皆様のアドバイスありがとうございました。
- taiheiyoutarou
- ベストアンサー率33% (2/6)
トロイの木馬系のウィルスではないでしょうか、こちらを参照して解決に向けてみてください thttp://www.1193.net/virus/data/t/trojan.stealther.b/
お礼
アドバイスありがとうございます。 それは真っ先に思いつき調べたのですが どうやら違うようです。 そのウイルスはcsrsr.exeが存在することを隠そうとしているものらしいのでcsrsr.exeが問題なのは判るのですが…。
- ittochan
- ベストアンサー率64% (2667/4137)
スパイウェアじゃあないの? それが他のスパイをダウンロードしようとしている可能性があります。 システムスタートアップの O4 - HKLM\..\Run: [Auto updat] crsrs.exe O4 - HKLM\..\RunServices: [Auto updat] crsrs.exe O4 - HKLM\..\RunOnce: [Auto updat] crsrs.exe O4 - HKCU\..\Run: [Auto updat] crsrs.exe O4 - HKCU\..\RunOnce: [Auto updat] crsrs.exe 5箇所も登録しているなんて いかにもスパイウェアのやりそうなことです。
お礼
アドバイスありがとうございます。 みなさんがスパイウェアの疑いが強いとのことで いろいろツールを使って調べてはみたのですが どれも反応しないようです。
- todo36
- ベストアンサー率58% (728/1234)
Spybotでスキャンすると幸せかも
補足
アドバイスありがとうございます。 リンク先を参考にしながらSpybotを使用してみました。 DSO Exploitが5件出てきたのですがver.1.3ではDSO Exploitの修正バグがあるとのことなので困りました。 Ad-Aware SE Personalも使ってみましたが致命的なものは発見されませんでした。 HijackThisのログは以下の通りです。 Logfile of HijackThis v1.98.0 Scan saved at 2:39:23, on 2004/09/21 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\hkcmd.exe C:\Program Files\Apoint\Apoint.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Apoint\Apntex.exe C:\WINDOWS\system32\conime.exe C:\Documents and Settings\Owner\デスクトップ\HijackThis\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe O4 - HKLM\..\Run: [Auto updat] crsrs.exe O4 - HKLM\..\RunServices: [Auto updat] crsrs.exe O4 - HKLM\..\RunOnce: [Auto updat] crsrs.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Auto updat] crsrs.exe O4 - HKCU\..\RunOnce: [Auto updat] crsrs.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ウイルスバスター On-Line Scan) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
お礼
アドバイスありがとうございます。 早速、参考URL先を読んでみたのですが どうやらHijackThisを使ったログを使ったアドバイスのようですので自分もHijackThisを入れて使ってみます。