-
CSRSS
鎖定
- 程序名稱
- CSRSS
- 出品者
- Microsoft Corp
- 常見錯誤
- 未知N/A
- 內存使用
- 未知N/A
- 介 紹
- 是用户模式Win32子系統的一部分
- 危 害
- 桌面圖標無法刪除等六個危害
CSRSS簡要介紹
本進程的主要是控制圖形子系統、負責管理線程,並執行MS-DOS環境的圖形窗口及其他某些部分。這是一個重要的進程,他會隨系統的啓動而自動開啓並一直運行。在大多數情況下它是安全的,你不應該將其終止;但也有與其類似的病毒出現
[1]
。
CSRSS描述
出品者: Microsoft Corp
屬於: Microsoft Windows Operating System
系統進程: 是
後台程序: 是
使用網絡: 否
硬件相關: 否
常見錯誤: 未知N/A
內存使用: 未知N/A
安全等級 (0-5): 0
間諜軟件: 否
廣告軟件: 否
病毒: 否
木馬: 否
介 紹: 這個是用户模式Win32子系統的一部分。csrss代表客户/服務器運行子系統而且是一個基本的子系統必須一直運行。csrss用於維持Windows的控制,創建或者刪除線程和一些16位的虛擬MS-DOS環境。
CSRSS注意
前兩天突然發C:\Program Files\下多了一個rundll32.exe文件。這個程序記得是關於登錄和開關機的,不應該在這裏,而且它的圖標是98下notepad.exe的老記事本圖標,在我的2003系統下面很扎眼。但是當時我沒有在意。因為平時沒有感到系統不穩定,也沒有發現內存和CPU大量佔用,網絡流量也正常。
這兩天又發現任務管理器裏多了這個rundll32.exe和一個csrss.exe的進程。它和系統進程不一樣的地方是用户為Administrator,就是我登錄的用户名,而非system,另外它們的名字是小寫的,而由SYSTEM啓動的進程都是大寫的RUNDLL32.EXE和CSRSS.EXE,覺得不對勁。
然後按F3用資源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字節,生成時間為12月9日12:37。而真正的csrss.exe只有4k,生成時間是2003年3月27日12:00,位於C:\Windows\System32下。
於是用超級無敵的UltraEdit打開它,發現裏面有kavscr.exe,mailmonitor一類的字符,這些都是金山毒霸的進程名。在該字符前面幾行有SelfProtect的字符。自我保護和反病毒軟件有關的程序,不是病毒就是木馬了。
試圖用任務管理器結束csrss.exe進程失敗,稱是系統關鍵進程。先進註冊表刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相應值,註銷重登錄,該進程消失,可見它沒有象3721那樣加載為驅動程序。
然後要查找和它有關的文件。仍然用系統搜索功能,查找12月9日生成的所有文件,然後看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的圖標也是98下的記事本圖標,它和rundll32.exe的大小都是33792字節。
此後在12:38分生成了一個tmp.dat文件,內容是
@echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat
很重要的一點,vista下面有兩個csrss進程,結束掉一個會立即藍屏。算是bug。
windows7下面也有兩個csrss進程。
CSRSS危害
系統文件csrss.exe出錯,極有可能是盜號木馬、流氓軟件等惡意程序所導致,其感染相關文件並加載起來,一旦殺毒軟件刪除被感染的文件,就會導致相關組件缺失,遊戲等常用軟件運行不起來,通常會伴隨下幾種情況:
1、桌面圖標無法刪除
2、網絡遊戲打不開
3、電腦無故藍屏
4、電腦沒聲音
5、桌面無法顯示
6、主頁被修改為網址導航
CSRSS修復方法
csrss.exe是系統的正常進程,所在的進程文件是csrss或csrss.exe,為windows的核心進程之一。csrss是Client/Server Runtime Subsystem的簡稱,即客户/服務器運行子系統,用以控制Windows圖形相關子系統,必須一直運行。csrss維持Windows的控制,創建或者刪除線程和16位的虛擬MS-DOS環境。
- 參考資料
-
- 1. 有關Csrss.exe是什麼進程的一些實例參照 .穆童博客[引用日期2012-12-07]
