-
csrss.exe
鎖定
csrss.exe通常是系統的正常進程,所在的進程文件是csrss或csrss.exe,是微軟客户端、服務端運行時子系統,windows的核心進程之一。管理Windows圖形相關任務,對系統的正常運行非常重要。csrss是Client/Server Runtime Server Subsystem的簡稱,即客户/服務器運行子系統,用以控制Windows圖形相關子系統,必須一直運行。csrss用於維持Windows的控制,創建或者刪除線程和一些16位的虛擬MS-DOS環境。也有可能是W32.Netsky.AB@mm等病毒創建的。
- 中文名
- csrss.exe
- 系統進程
- 是
- 進程文件
- csrss or csrss.exe
- 進程類別
- 其他進程
csrss.exe進程信息
出品者:Microsoft Corp.
屬於:Microsoft Windows Operating System
後台程序:是
網絡相關:否
常見錯誤:Win7下強制結束後藍屏(XP以下和Win8以上不可結束此進程)
內存使用:未知
安全等級 (0-5): 0
間諜軟件:否
廣告軟件:否
病毒:否
木馬:否
本進程的主要是控制圖形子系統、負責管理線程,並執行MS-DOS環境的圖形窗口及其他某些部分。這是一個重要的進程,他會隨系統的啓動而自動開啓並一直運行。在大多數情況下它是安全的,你不應該將其終止;但也有與其類似的病毒出現
[1]
,有些病毒(如W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a)以csrss.exe為感染的目標。
csrss.exe錯誤危害
系統文件csrss.exe出錯,極有可能是盜號木馬、流氓軟件等惡意程序所導致,其感染相關文件並加載起來,一旦殺毒軟件刪除被感染的文件,就會導致相關組件缺失,遊戲等常用軟件運行不起來,通常會伴隨下幾種情況:
1、桌面圖標無法刪除
2、網絡遊戲打不開
3、電腦無故藍屏
4、電腦沒聲音
5、桌面無法顯示
6、主頁被修改為網址導航
csrss.exe修復方法
出現csrss.exe錯誤問題的原因
1.黑客將盜號木馬以及流氓插件,插入csrss.exe中,做到隱蔽的效果。
2.中毒後沒有完美修復,部分殺毒軟件查殺後,沒有做到完美的修復,所以導致出現csrss.exe 應用程序錯誤,請用主流殺毒軟件自帶的系統修復功能修復您的電腦系統程序。
如果您分辨不清自己電腦該進程是否安全,請用殺毒軟件,進行快速查殺以及系統修復,即可消除您的顧慮。
csrss.exe木馬病毒
在正常情況下,csrss.exe位於System32文件夾中,若系統中出現兩個csrss.exe文件(其中一個位於Windows文件夾中),則很有可能是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。
csrss.exe清除方法
用系統的查找功能看看系統盤裏是否有以下幾個文件:netstart.exe、WinSocks.dll、netserv.exe、sinaproc327.exe、NMWizardA14.exe,如果有,則刪除它們。
csrss.exe相關案例
csrss.exe進程描述
英文描述: csrss.exe is the main executable for the Microsoft Client/Server Runtime Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated
注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒創建的。該病毒通過Email郵件進行傳播,當你打開附件時,即被感染。該蠕蟲會在受害者機器上建立SMTP服務,用以自身傳播。該病毒允許攻擊者訪問你的計算機,竊取密碼和個人數據。這個進程的安全等級是建議立即進行刪除。
介紹:Client/Server Runtime Server Subsystem,客户端服務子系統,用以控制 Windows 圖形相關子系統。正常情況下在Windows NT/2000/XP/2003系統中只有一個csrss.exe進程,位於System32文件夾中,若以上系統中出現兩個csrss.exe 進程(其中一個位於 Windows 文件夾中),或在Windows 9X/Me系統中出現該進程,則是感染了病毒。Windows Vista有兩個csrss.exe進程。
注意,正常的csrss.exe雙擊後會出現“不能在Win32模式下運行”的提示,終止進程後會藍屏。
根據csrss.exe的位置判斷csrss.exe的危險度
如果 csrss.exe 位於在 “C:\Program Files” 下的子目錄下,那麼威脅危險度是 70% 。文件大小是 1,111,688字節(佔總出現比率 11% ),49,152 字節,311,808 字節,1,189,549 字節,141,606 字節,769,536 字節,1,201,827 字節,1,056,768 字節,1,175,073 字節。
如果 csrss.exe 位於在 C:\Windows\System32 下的子目錄下,那麼威脅危險度是 77% 。文件大小是 2,121,216字節(佔總出現比率 22% ),28,160 字節,29,696 字節,20,480 字節,2,932,736 字節,470,528 字節,76,800 字節,43,072 字節。
如果 csrss.exe 位於在目錄 C:\Windows\System32\drivers下,那麼威脅危險度是 64% 。文件大小是 81,920字節(佔總出現比率 40% ),335,872 字節,542,720 字節,6,144 字節。
如果 csrss.exe 位於在 “C:\Documents and Settings” 下的子目錄下,那麼威脅危險度是 57% 。文件大小是 58,033字節(佔總出現比率 50% ),385,536 字節,24,576 字節。
csrss.exe真實案例
注意:csrss.exe進程屬於系統進程,這裏提到的木馬csrss.exe是木馬偽裝成系統進程
前兩天突然發C:\Program Files\下多了一個rundll32.exe文件。這個程序記得是關於登錄和開關機的,不應該在這裏,而且它的圖標是98下notepad.exe的老記事本圖標,在我的2003系統下面很扎眼。但是當時我沒有在意。因為平時沒有感到系統不穩定,也沒有發現內存和CPU大量佔用,網絡流量也正常。
這兩天又發現任務管理器裏多了這個rundll32.exe和一個csrss.exe的進程。它和系統進程不一樣的地方是用户為Administrator,就是我登錄的用户名,而非system,另外它們的名字是小寫的,而由SYSTEM啓動的進程都是大寫的RUNDLL32.EXE和CSRSS.EXE,覺得不對勁。
然後按F3用資源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字節,生成時間為12月9日12:37。而真正的csrss.exe只有6k,生成時間是2003年3月27日12:00,位於C:\Windows\Syetem32下。
於是用超級無敵的UltraEdit打開它,發現裏面有kavscr.exe,mailmonitor一類的字符,這些都是金山毒霸的進程名。在該字符前面幾行有SelfProtect的字符。自我保護和反病毒軟件有關的程序,不是病毒就是木馬了。滅!
試圖用任務管理器結束csrss.exe進程失敗,稱是系統關鍵進程。先進註冊表刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相應值,註銷重登錄,該進程消失,可見它沒有象3721那樣加載為驅動程序。
然後要查找和它有關的文件。仍然用系統搜索功能,查找12月9日生成的所有文件,然後看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的圖標也是98下的記事本圖標,它和rundll32.exe的大小都是33792字節。
此後在12:38分生成了一個tmp.dat文件,內容是
@echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp
>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS\system32\netstart.exe
好像是用debug彙編了一段什麼程序,這年頭常用debug的少見,估計不是什麼善茬,因為商業程序員都用Delphi、PB等大程序寫軟件。
彙編大約進行了1分鐘,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一個0字節的tmp.out文件。netstart.exe大小117786字節,另兩個大小也是52736字節。前兩個位於C:\Windows\System32下,後兩個在當前用户的Temp文件夾裏。
這樣我就知道為什麼我的系統沒有感染的表現了。netstart.exe並沒有一直在運行,因為我在任務管理器中沒有見過它。把這些文件都刪除,我的辦法是用winrar壓縮並選中完成後刪除源文件,然後在rar文件註釋中做説明,放一個文件夾裏,留待以後研究。這個監獄裏都是我的戰利品,不過還很少。
木馬已經清除了。使用搜索引擎查找關於csrss.exe的內容,發現結果不少,有QQ病毒,傳奇盜號木馬,新浪遊戲病毒,但是文件大小和我中的這個都不一樣。搜索netstart.exe只有一個日文網站結果,也是一個木馬。
這個病毒是怎麼進入我的電腦的呢?搜索時發現在12月9日12:36分生成了一個快捷方式,名為dos71cd.zip,它是我那天從某網站下載的DOS7.11版啓動光盤,但是當時下載失敗了。看來根本就不是失敗,是因為這個網站的鏈接本來就是一段網頁注入程序,點擊後直接把病毒下載來了。
補充:
Windows XP SP3 系統下關於該文件的信息如下:
csrss.exe - csrss -進程管理信息 進程文件: csrss or csrss.exe
系統進程:Yes
後台程序:Yes
網絡相關:No
大小:6KB
所在位置:C:\Boot Files\C_\WINDOWS\SYSTEM32
再次提醒:正常的csrss.exe雙擊後會出現“不能在Win32模式下運行”的提示。
創建日期:2007年6月1日 星期五, 0:00:00。
如果 csrss.exe 位於在 "C:\Program Files" 下的子目錄下,那麼威脅危險度是 70% 。文件大小是 1,111,688字節(佔總出現比率 11% ),49,152 字節,311,808 字節,1,189,549 字節,141,606 字節,769,536 字節,1,201,827 字節,1,056,768 字節,1,175,073 字節。
如果 csrss.exe 位於在 C:\Windows\System32 下的子目錄下,那麼威脅危險度是 77% 。文件大小是 2,121,216字節(佔總出現比率 22% ),28,160 字節,29,696 字節,20,480 字節,2,932,736 字節,470,528 字節,76,800 字節,43,072 字節。
如果 csrss.exe 位於在目錄 C:\Windows\System32\drivers下,那麼威脅危險度是 64% 。文件大小是 81,920字節(佔總出現比率 40% ),335,872 字節,542,720 字節,6,144 字節。
如果 csrss.exe 位於在 "C:\Documents and Settings" 下的子目錄下,那麼威脅危險度是 57% 。文件大小是 58,033字節(佔總出現比率 50% ),385,536 字節,24,576 字節。
手工清除csrss.exe病毒步驟:
第一步,結束病毒進程csrss.exe,注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。
第二步,找到以下文件並刪除(這些文件並非都有,可能只有幾個,但只要有,就刪!)
>> C:\System\dxdiag.com
>> C:\System\finder.com
>> C:\System\msconfig.com
>> C:\\autorun.inf
>> C:\Programfiles\Internet Explorer\iexplore.com
>> C:\Programfiles\Common Files\iexplore.pif
>>\ Windows\1.com
>> \Windows\csrss.exe
>> \Windows\ExERoute.exe
>> \Windows\explorer1.com
>>\ Windows\finder.com
>> \Windows\Debug\DebugProgram.exe
>>\system\command.pif
>> \System\regedit.com
>> \System\rundll32.com
第三步,打開註冊表編輯器:
(1)分別查找“finder.com”、“rundll32.com”、“command.pif”的信息,把找到值中的“finder.com”、“rundll32.com”、“command.pif”改為“rundll32.exe”
(2)查找“iexplore.com”的信息,把找到值中的“iexplore.com”改為“iexplore.exe”;查找“iexplore.pif”的信息,把找到值中類似“%ProgramFiles%\\Common Files\\iexplore.pif”的信息改為類似“%ProgramFiles%\\Internet Explorer\\iexplore.exe”
(3)查找“explorer1.com”的信息,把找到值中的“explorer1.com”改為“explorer.exe”
第四步,刪除病毒啓動項:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
“Torjan Program”=“%Windows%\\CSRSS.exe”
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]
“Torjan Program”=“%Windows%\\CSRSS.exe”
在[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
把“Shell”=“Explorer.exe 1”恢復為“Shell”=“Explorer.exe”
刪除[HKEY_CLASSES_ROOT\\Applications\\iexplore.com]項和[HKEY_CLASSES_ROOT\\winfiles]項
第五步,重啓計算機,完成。
- 參考資料
-
- 1. 有關Csrss.exe是什麼進程的一些實例參照 .穆童博客[引用日期2012-12-06]
