发现进程里面有两个csrss， 在Windows NT/2000/XP/2003是应该就一个的，是客户端服务子系统，用以控制Windows图形相关子系统。而在vista下，到没有注意过。今天偶然注意到了。发现了进程中有两个csrss，然后就觉得是不是病毒啊。搜索出了可疑的csrss在C:\WINDOWS\WinSxS\x86_microsoft-windows-csrss_31bf3856ad364e35_6.0.6000.16386_none_56ad21dbe72a9d78，（原本的在system32下）。然后查看时间日期以及公司等都正常（当然可以修改）。扫描了数字签名，也是正常的微软签名。然后又上传到http://virscan.org，扫描结果如下。初步觉得是正常的。而在Windows NT/2000/XP/2003下，在Windows目录下的csrss就一定是病毒了，跟这个不一样。所以，我觉得不是病毒，可以放心。

文件名称 :	csrss.exe
文件大小 :	7680 byte
文件类型 :	MS-DOS executable (EXE), OS/2 or MS Windows
MD5 :	117b7c8a8b026a5dce5e3180ed05e823
SHA1 :	927392b285fcf8947f5ef104d6f19426599e8e35

软件名称	引擎版本	病毒库版本	病毒库时间	扫描结果	时间
a-squared	3.5.0.18	2008.06.08	2008-06-08	-	12.756
安博士V3	2008.06.10.01	2008.06.10	2008-06-10	-	13.337
AntiVir	7.8.0.55	7.0.4.167	2008-06-10	-	3.657
Arcavir	1.0.4	200806091912	2008-06-09	-	4.880
AVAST!	1.0.8	080609-2	2008-06-09	-	4.924
AVG	7.5.51.442	270.2.0/1493	2008-06-09	-	6.530
BitDefender	7.60825.1257189	7.19441	2008-06-10	-	9.081
CA (VET)	9.0.0.143	31.6.5858	2008-06-08	-	28.377
ClamAV	0.93	7417	2008-06-10	-	0.007
Comodo	2.11	2.0.0.550	2008-06-09	-	3.280
CP Secure	1.1.0.715	2008.06.10	2008-06-10	-	11.819
Dr.Web	4.44.0.9170	2008.06.09	2008-06-09	-	6.820
ewido	4.0.0.2	2008.06.09	2008-06-09	-	17.309
F-Prot	4.4.1.52	20080609	2008-06-09	-	1.893
F-Secure	5.51.6100	2008.06.10.02	2008-06-10	-	6.987
飞塔	2.81-3.11	9.186	2008-06-10	-	2.590
ViRobot	20080609	2008.06.09	2008-06-09	-	0.642
Ikarus	T3.1.01.26	2008.06.10.70895	2008-06-10	-	3.074
江民杀毒	11.0.706	2008.06.10	2008-06-10	-	1.935
卡巴斯基	5.5.10	2008.06.10	2008-06-10	-	8.694
金山毒霸	2008.1.14.15	2008.6.10.14	2008-06-10	-	0.949
迈克菲	5.2.00	5313	2008-06-09	-	2.325
Microsoft	1.3604	2008.06.10	2008-06-10	-	7.176
mks_vir	2.01	2008.06.09	2008-06-09	-	2.865
Norman	5.92.08	5.92.00	2008-06-09	-	6.525
熊猫卫士	9.04.03.0001	2008.06.09	2008-06-09	-	2.711
趋势科技	8.700-1004	5.336.01	2008-06-09	-	0.040
Prevx	V2	20080610	2008-06-10	-	7.667
Quick Heal	9.00	2008.06.09	2008-06-09	-	0.304
瑞星	20.0	20.48.11.00	2008-06-10	-	1.430
Sophos	2.74.1	4.30	2008-06-10	-	5.082
赛门铁克	1.3.0.24	20080609.003	2008-06-09	-	0.010
nProtect	2008-06-10.00	1538223	2008-06-10	-	6.667
The Hacker	6.2.92	v00341	2008-06-09	-	1.072
VBA32	3.12.6.7	20080609.0826	2008-06-09	-	2.850
VirusBuster	4.3.19:9	9.131.5/11.0	2008-06-09	-	2.517

brss01a.exe  名称 Brother Print Processor 一个打印相关的程序，太像病毒，当然也不排除有这样的病毒了

runonce - runonce.exe  runonce.exe是微软Run Once的包装。它用于第三方应用程序的安装程序。它允许安装程序添加到启动项中，用于再次启动后，进行进一步配置。这个程序对你系统的正常运行是非常重要的。与注册表中的那个runonce一联系就会起疑心的进程。

autochk - autochk.exe  微软操作系统的一部分。它会备份和还原系统设定到初始状态。Auto的东西总会让你高度怀疑的。

backweb-8876480.exe 罗技Logitech相关产品软件。它用于自动检测升级罗技相关产品。数字的东西一多，就让人想到随机数字病毒了。呵呵。

System Idle Process - System Idle Process  System Idle不是一个进程，更多用于统计剩余的CPU资源情况。无法删除。记得是XP的里面，很多人一看以为占用了那么多CPU资源，又删不掉，呵呵。

ctfmon - ctfmon.exe  Microsoft Office产品套装的一部分。它可以选择用户文字输入程序，和微软Office XP语言条。这不是纯粹的系统程序。注册表run里及其msconfig里经常看到，可以结束，结束了话会不支持你的输入法的，呵呵。

spoolsv.exe 用于将Windows打印机任务发送给本地打印机。因为它有可能就是真的木马。所以要是正常的话也让你不放心，所以还是删除了好，呵呵。