El winlogon.exe es de Windows y el proceso incativo del sistema se refiere a eso mismo, osea a lo que tienes libre en ese momento.
El csrss.exe puede ser un troyano. O el Client Server Runtime Process de Microsoft
Como eliminarlo manualmente (en el caso de que sea un troyano), por supuesto desconectate de internet y mata el proceso, el ejcutable lo encontrarás en la carpeta Windows.
Editar el archivo WIN.INI y SYSTEM.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
load=c:\windows\csrss.exe
run=c:\windows\csrss.exe
Debe quedar como:
[windows]
load=
run=
3. Grabe los cambios y salga del bloc de notas.
4. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
5. Busque lo siguiente:
[boot]
shell=Explorer.exe c:\windows\csrss.exe
y déjelo así:
[boot]
shell=Explorer.exe
6. Grabe los cambios y salga del bloc de notas
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir cada una de las siguientes ramas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft
\Windows NT\CurrentVersion\Windows\Run
3. Pinche en cada caso en las carpetas "Run" o "RunServices", y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Runtime Process
Repita este proceso con todas las entradas indicadas en el punto (2).
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Active Setup
\Installed Components
\{44BBA855-CC51-11CF-AAFA-00AA00B6017B}
5. Pinche en la carpeta "{44BBA855-CC51-11CF-AAFA-00AA00B6017B}" y bórrela.
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows
7. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas para quitar "c:\windows\csrss.exe":
load = "c:\windows\csrss.exe"
run = "c:\windows\csrss.exe"
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
9. Pinche en la carpeta "Winlogon" y en el panel de la derecha, bajo la columna "Nombre", busque y modifique las siguientes entradas para quitar "c:\windows\csrss.exe":
Si encuentra esto:
shell = "Explorer.exe c:\windows\csrss.exe"
Modifíquelo para que quede así:
shell = "Explorer.exe"
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
INFO:
http://www.vsantivirus.com/back-ciadoor12.htm
El archivo bueno está en C:\WINDOWS\system32\csrss.exe y en C:\WINDOWS\system32\system32\dllcache\csrss.exe . Si tienes algún otro es un troyano.
salu2
