网站地图
zenghuilan.com
生活小窍门 解释生活中的一切名词
csrss.exe 发布于:

csrss.exe通常是系统的正常进程,所在的进程文件是csrss或csrss.exe,是微软客户端、服务端运行时子系统,windows的核心进程之一。管理Windows图形相关任务,对系统的正常运行非常重要。csrss是Client/Server Runtime Server Subsystem的简称,即客户/服务器运行子系统,用以控制Windows图形相关子系统,必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。也有可能是W32.Netsky.AB@mm等病毒创建的。

进程名称:MicrosoftClient/ServerRuntime Subsystem

出品者:Microsoft Corp.

属于:Microsoft Windows Operating System

后台程序:是

网络相关:否

常见错误:Win7下强制结束后蓝屏(XP以下和Win8以上不可结束此进程)

内存使用:未知

安全等级 (0-5): 0

间谍软件:否

广告软件:否

病毒:否

木马:否

本进程的主要是控制图形子系统、负责管理线程,并执行MS-DOS环境的图形窗口及其他某些部分。这是一个重要的进程,他会随系统的启动而自动开启并一直运行。在大多数情况下它是安全的,你不应该将其终止;但也有与其类似的病毒出现 ,有些病毒(如W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a)以csrss.exe为感染的目标。

系统文件csrss.exe出错,极有可能是盗号木马、流氓软件等恶意程序所导致,其感染相关文件并加载起来,一旦杀毒软件删除被感染的文件,就会导致相关组件缺失,游戏等常用软件运行不起来,通常会伴随下几种情况:

1、桌面图标无法删除

2、网络游戏打不开

3、电脑无故蓝屏

4、电脑没声音

5、桌面无法显示

6、主页被修改为网址导航

出现csrss.exe错误问题的原因

1.黑客将盗号木马以及流氓插件,插入csrss.exe中,做到隐蔽的效果。

2.中毒后没有完美修复,部分杀毒软件查杀后,没有做到完美的修复,所以导致出现csrss.exe 应用程序错误,请用主流杀毒软件自带的系统修复功能修复您的电脑系统程序。

如果您分辨不清自己电脑该进程是否安全,请用杀毒软件,进行快速查杀以及系统修复,即可消除您的顾虑。

在正常情况下,csrss.exe位于System32文件夹中,若系统中出现两个csrss.exe文件(其中一个位于Windows文件夹中),则很有可能是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。

用系统的查找功能看看系统盘里是否有以下几个文件:netstart.exe、WinSocks.dll、netserv.exe、sinaproc327.exe、NMWizardA14.exe,如果有,则删除它们。

英文描述: csrss.exe is the main executable for the Microsoft Client/Server Runtime Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated

注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。这个进程的安全等级是建议立即进行删除。

介绍:Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制 Windows 图形相关子系统。正常情况下在Windows NT/2000/XP/2003系统中只有一个csrss.exe进程,位于System32文件夹中,若以上系统中出现两个csrss.exe 进程(其中一个位于 Windows 文件夹中),或在Windows 9X/Me系统中出现该进程,则是感染了病毒。Windows Vista有两个csrss.exe进程。

注意,正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示,终止进程后会蓝屏。

根据csrss.exe的位置判断csrss.exe的危险度

如果 csrss.exe 位于在 “C:\Program Files” 下的子目录下,那么威胁危险度是 70% 。文件大小是 1,111,688字节(占总出现比率 11% ),49,152 字节,311,808 字节,1,189,549 字节,141,606 字节,769,536 字节,1,201,827 字节,1,056,768 字节,1,175,073 字节。

如果 csrss.exe 位于在 C:\Windows\System32 下的子目录下,那么威胁危险度是 77% 。文件大小是 2,121,216字节(占总出现比率 22% ),28,160 字节,29,696 字节,20,480 字节,2,932,736 字节,470,528 字节,76,800 字节,43,072 字节。

如果 csrss.exe 位于在目录 C:\Windows\System32\drivers下,那么威胁危险度是 64% 。文件大小是 81,920字节(占总出现比率 40% ),335,872 字节,542,720 字节,6,144 字节。

如果 csrss.exe 位于在 “C:\Documents and Settings” 下的子目录下,那么威胁危险度是 57% 。文件大小是 58,033字节(占总出现比率 50% ),385,536 字节,24,576 字节。

注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程

前两天突然发C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。

这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。

然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字节,生成时间为12月9日12:37。而真正的csrss.exe只有6k,生成时间是2003年3月27日12:00,位于C:\Windows\Syetem32下。

于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。灭!

试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。

然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。

此后在12:38分生成了一个tmp.dat文件,内容是

@echo off

debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp

>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

C:\WINDOWS\system32\netstart.exe

好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。

汇编大约进行了1分钟,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:\Windows\System32下,后两个在当前用户的Temp文件夹里。

这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。

木马已经清除了。使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果,也是一个木马。

这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。

补充:

Windows XP SP3 系统下关于该文件的信息如下:

csrss.exe - csrss -进程管理信息 进程文件: csrss or csrss.exe

系统进程:Yes

后台程序:Yes

网络相关:No

大小:6KB

所在位置:C:\Boot Files\C_\WINDOWS\SYSTEM32

再次提醒:正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示。

创建日期:2007年6月1日 星期五, 0:00:00。

如果 csrss.exe 位于在 "C:\Program Files" 下的子目录下,那么威胁危险度是 70% 。文件大小是 1,111,688字节(占总出现比率 11% ),49,152 字节,311,808 字节,1,189,549 字节,141,606 字节,769,536 字节,1,201,827 字节,1,056,768 字节,1,175,073 字节。

如果 csrss.exe 位于在 C:\Windows\System32 下的子目录下,那么威胁危险度是 77% 。文件大小是 2,121,216字节(占总出现比率 22% ),28,160 字节,29,696 字节,20,480 字节,2,932,736 字节,470,528 字节,76,800 字节,43,072 字节。

如果 csrss.exe 位于在目录 C:\Windows\System32\drivers下,那么威胁危险度是 64% 。文件大小是 81,920字节(占总出现比率 40% ),335,872 字节,542,720 字节,6,144 字节。

如果 csrss.exe 位于在 "C:\Documents and Settings" 下的子目录下,那么威胁危险度是 57% 。文件大小是 58,033字节(占总出现比率 50% ),385,536 字节,24,576 字节。

手工清除csrss.exe病毒步骤:

第一步,结束病毒进程csrss.exe,注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。

第二步,找到以下文件并删除(这些文件并非都有,可能只有几个,但只要有,就删!)

>> C:\System\dxdiag.com

>> C:\System\finder.com

>> C:\System\msconfig.com

>> C:\\autorun.inf

>> C:\Programfiles\Internet Explorer\iexplore.com

>> C:\Programfiles\Common Files\iexplore.pif

>>\ Windows\1.com

>> \Windows\csrss.exe

>> \Windows\ExERoute.exe

>> \Windows\explorer1.com

>>\ Windows\finder.com

>> \Windows\Debug\DebugProgram.exe

>>\system\command.pif

>> \System\regedit.com

>> \System\rundll32.com

同时查看“开始”---“程序”中是否有以下连接安全测试.lnk、计算机安全中心.lnk、系统信息管理器.ink,删!

第三步,打开注册表编辑器:

(1)分别查找“finder.com”、“rundll32.com”、“command.pif”的信息,把找到值中的“finder.com”、“rundll32.com”、“command.pif”改为“rundll32.exe”

(2)查找“iexplore.com”的信息,把找到值中的“iexplore.com”改为“iexplore.exe”;查找“iexplore.pif”的信息,把找到值中类似“%ProgramFiles%\\Common Files\\iexplore.pif”的信息改为类似“%ProgramFiles%\\Internet Explorer\\iexplore.exe”

(3)查找“explorer1.com”的信息,把找到值中的“explorer1.com”改为“explorer.exe”

第四步,删除病毒启动项:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

“Torjan Program”=“%Windows%\\CSRSS.exe”

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]

“Torjan Program”=“%Windows%\\CSRSS.exe”

在[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]

把“Shell”=“Explorer.exe 1”恢复为“Shell”=“Explorer.exe”

删除[HKEY_CLASSES_ROOT\\Applications\\iexplore.com]项和[HKEY_CLASSES_ROOT\\winfiles]项

第五步,重启计算机,完成。


相关文章推荐:
C | S | Win7 | XP | Win8 | 流氓软件 | 系统盘 | NMWizardA14.exe | W32.Netsky.AB@mm | 蠕虫 | 字节 | 字节 | 字节 | rundll32.exe | 任务管理器 | 资源管理器 | 金山毒霸 | 任务管理器 | 驱动程序 | rundll32.exe | 任务管理器 | 进程管理 | 字节 | 字节 | autorun.inf | regedit.com | 安全测试 | 计算机安全 | 系统信息 | 注册表编辑器 | rundll32.exe | iexplore.exe | explorer.exe |