csrss.exe，系統(tǒng)進(jìn)程，是微軟客戶端、服務(wù)端運(yùn)行時(shí)子系統(tǒng)，管理Windows圖形相關(guān)任務(wù)，對(duì)系統(tǒng)的正常運(yùn)行非常重要，但也有可能是W32.Netsky.AB@mm等病毒創(chuàng)建的。

目錄

進(jìn)程信息

進(jìn)程描述

系統(tǒng)csrss.exe錯(cuò)誤的危害

修復(fù)方法

csrss.exe進(jìn)程

csrss.exe***

清除csrss.exe ***的方法

?

編輯本段進(jìn)程信息

　　進(jìn)程：csrss.exe 、 csrss 　　進(jìn)程文件：csrss or csrss.exe 　　進(jìn)程名稱：Microsoft Client/ServerRuntime Subsystem 　　進(jìn)程類別：其他進(jìn)程 　　出品者：Microsoft Corp 　　屬于：Microsoft Windows Operating System 　　系統(tǒng)進(jìn)程：是 　　后臺(tái)程序：是 　　網(wǎng)絡(luò)相關(guān)：否 　　常見(jiàn)錯(cuò)誤：未知 　　內(nèi)存使用：未知 　　安全等級(jí) (0-5): 0 　　間諜軟件：否 　　廣告軟件：否 　　病毒：否 　　***：否

編輯本段進(jìn)程描述

　　英文描述： 　　csrss.exe is the main executable for the Microsoft Client/Server Runtime Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated 　　注意：csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒創(chuàng)建的。該病毒通過(guò)Email郵件進(jìn)行傳播，當(dāng)你打開(kāi)附件時(shí)，即被感染。該蠕蟲(chóng)會(huì)在受害者機(jī)器上建立SMTP服務(wù)，用以自身傳播。該病毒允許***者訪問(wèn)你的計(jì)算機(jī)，竊取密碼和個(gè)人數(shù)據(jù)。這個(gè)進(jìn)程的安全等級(jí)是建議立即進(jìn)行刪除。 　　介紹:Client/Server Runtime Server Subsystem，客戶端服務(wù)子系統(tǒng)，用以控制 Windows 圖形相關(guān)子系統(tǒng)。正常情況下在Windows NT/2000/XP/2003系統(tǒng)中只有一個(gè)csrss.exe進(jìn)程，位于System32文件夾中，若以上系統(tǒng)中出現(xiàn)兩個(gè)csrss.exe 進(jìn)程(其中一個(gè)位于 Windows 文件夾中)，或在Windows 9X/Me系統(tǒng)中出現(xiàn)該進(jìn)程，則是感染了病毒。Windows Vista有兩個(gè)csrss.exe進(jìn)程。 　　注意，正常的csrss.exe雙擊后會(huì)出現(xiàn)“不能在Win32模式下運(yùn)行”的提示，終止進(jìn)程后會(huì)藍(lán)屏。 　　根據(jù)csrss.exe的位置判斷csrss.exe的危險(xiǎn)度 　　如果 csrss.exe 位于在 “C:\Program Files” 下的子目錄下，那么威脅危險(xiǎn)度是 70% 。文件大小是 1,111,688 字節(jié) （占總出現(xiàn)比率 11% ），49,152 字節(jié)，311,808 字節(jié)，1,189,549 字節(jié)，141,606 字節(jié)，769,536 字節(jié)，1,201,827 字節(jié)，1,056,768 字節(jié)，1,175,073 字節(jié)。 　　如果 csrss.exe 位于在 C:\Windows\System32 下的子目錄下，那么威脅危險(xiǎn)度是 77% 。文件大小是 2,121,216 字節(jié) （占總出現(xiàn)比率 22% ），28,160 字節(jié)，29,696 字節(jié)，20,480 字節(jié)，2,932,736 字節(jié)，470,528 字節(jié)，76,800 字節(jié)，43,072 字節(jié)。 　　如果 csrss.exe 位于在目錄 C:\Windows\System32\drivers下，那么威脅危險(xiǎn)度是 64% 。文件大小是 81,920 字節(jié) （占總出現(xiàn)比率 40% ），335,872 字節(jié)，542,720 字節(jié)，6,144 字節(jié)。 　　如果 csrss.exe 位于在 “C:\Documents and Settings” 下的子目錄下，那么威脅危險(xiǎn)度是 57% 。文件大小是 58,033 字節(jié) （占總出現(xiàn)比率 50% ），385,536 字節(jié)，24,576 字節(jié)。 　　純手工查殺***csrss.exe 　　注意：csrss.exe進(jìn)程屬于系統(tǒng)進(jìn)程，這里提到的***csrss.exe是***偽裝成系統(tǒng)進(jìn)程 　　前兩天突然發(fā)現(xiàn)在C:\Program Files\下多了一個(gè)rundll32.exe文件。這個(gè)程序記得是關(guān)于登錄和開(kāi)關(guān)機(jī)的，不應(yīng)該在這里，而且它的圖標(biāo)是98下notepad.exe的老記事本圖標(biāo)，在我的2003系統(tǒng)下面很扎眼。但是當(dāng)時(shí)我沒(méi)有在意。因?yàn)槠綍r(shí)沒(méi)有感到系統(tǒng)不穩(wěn)定，也沒(méi)有發(fā)現(xiàn)內(nèi)存和CPU大量占用，網(wǎng)絡(luò)流量也正常。 　　這兩天又發(fā)現(xiàn)任務(wù)管理器里多了這個(gè)rundll32.exe和一個(gè)csrss.exe的進(jìn)程。它和系統(tǒng)進(jìn)程不一樣的地方是用戶為Administrator，就是我登錄的用戶名，而非system，另外它們的名字是小寫(xiě)的，而由SYSTEM啟動(dòng)的進(jìn)程都是大寫(xiě)的RUNDLL32.EXE和CSRSS.EXE，覺(jué)得不對(duì)勁。 　　然后按F3用資源管理器的搜索功能找csrss.exe，果然在C:\Windows下，大小52736字節(jié)，生成時(shí)間為12月9日12:37。而真正的csrss.exe只有6k，生成時(shí)間是2003年3月27日12:00，位于C:\Windows\Syetem32下。 　　于是用超級(jí)無(wú)敵的UltraEdit打開(kāi)它，發(fā)現(xiàn)里面有kavscr.exe，mailmonitor一類的字符，這些都是金山毒霸的進(jìn)程名。在該字符前面幾行有SelfProtect的字符。自我保護(hù)和反病毒軟件有關(guān)的程序，不是病毒就是***了。滅！ 　　試圖用任務(wù)管理器結(jié)束csrss.exe進(jìn)程失敗，稱是系統(tǒng)關(guān)鍵進(jìn)程。先進(jìn)注冊(cè)表刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相應(yīng)值，注銷重登錄，該進(jìn)程消失，可見(jiàn)它沒(méi)有象3721那樣加載為驅(qū)動(dòng)程序。 　　然后要查找和它有關(guān)的文件。仍然用系統(tǒng)搜索功能，查找12月9日生成的所有文件，然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe，但kavsrc.exe的圖標(biāo)也是98下的記事本圖標(biāo)，它和rundll32.exe的大小都是33792字節(jié)。 　　此后在12:38分生成了一個(gè)tmp.dat文件，內(nèi)容是 　　@echo off 　　debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out 　　copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out 　　del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out 　　del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp 　　>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out 　　C:\WINDOWS\system32\netstart.exe 　　好像是用debug匯編了一段什么程序，這年頭常用debug的少見(jiàn)，估計(jì)不是什么善茬，因?yàn)樯虡I(yè)程序員都用Delphi、PB等大程序?qū)戃浖? 　　匯編大約進(jìn)行了1分鐘，在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一個(gè)0字節(jié)的tmp.out文件。netstart.exe大小117786字節(jié)，另兩個(gè)大小也是52736字節(jié)。前兩個(gè)位于C:\Windows\System32下，后兩個(gè)在當(dāng)前用戶的Temp文件夾里。 　　這樣我就知道為什么我的系統(tǒng)沒(méi)有感染的表現(xiàn)了。netstart.exe并沒(méi)有一直在運(yùn)行，因?yàn)槲以谌蝿?wù)管理器中沒(méi)有見(jiàn)過(guò)它。把這些文件都刪除，我的辦法是用winrar壓縮并選中完成后刪除源文件，然后在rar文件注釋中做說(shuō)明，放一個(gè)文件夾里，留待以后研究。這個(gè)監(jiān)獄里都是我的戰(zhàn)利品，不過(guò)還很少。 　　現(xiàn)在***已經(jīng)清除了。使用搜索引擎查找關(guān)于csrss.exe的內(nèi)容，發(fā)現(xiàn)結(jié)果不少，有QQ病毒，傳奇盜號(hào)***，新浪游戲病毒，但是文件大小和我中的這個(gè)都不一樣。搜索netstart.exe只有一個(gè)日文網(wǎng)站結(jié)果，也是一個(gè)***。 　　這個(gè)病毒是怎么進(jìn)入我的電腦的呢？搜索時(shí)發(fā)現(xiàn)在12月9日12:36分生成了一個(gè)快捷方式，名為dos71cd.zip，它是我那天從某網(wǎng)站下載的DOS7.11版啟動(dòng)光盤(pán)，但是當(dāng)時(shí)下載失敗了。現(xiàn)在看來(lái)根本就不是失敗，是因?yàn)檫@個(gè)網(wǎng)站的鏈接本來(lái)就是一段網(wǎng)頁(yè)注入程序，點(diǎn)擊后直接把病毒下載來(lái)了。 　　補(bǔ)充： 　　Windows XP SP3 系統(tǒng)下關(guān)于該文件的信息如下： 　　csrss.exe - csrss - 進(jìn)程管理信息 進(jìn)程文件： csrss or csrss.exe 　　系統(tǒng)進(jìn)程：Yes 　　后臺(tái)程序：Yes 　　網(wǎng)絡(luò)相關(guān)：No 　　大小：6KB 　　所在位置：C:\Boot Files\C_\WINDOWS\SYSTEM32 　　再次提醒：正常的csrss.exe雙擊后會(huì)出現(xiàn)“不能在Win32模式下運(yùn)行”的提示。 　　創(chuàng)建日期：2007年6月1日 星期五, 0:00:00。 　　如果 csrss.exe 位于在 "C:\Program Files" 下的子目錄下，那么威脅危險(xiǎn)度是 70% 。文件大小是 1,111,688 字節(jié) (占總出現(xiàn)比率 11% )，49,152 字節(jié)，311,808 字節(jié)，1,189,549 字節(jié)，141,606 字節(jié)，769,536 字節(jié)，1,201,827 字節(jié)，1,056,768 字節(jié)，1,175,073 字節(jié)。 　　如果 csrss.exe 位于在 C:\Windows\System32 下的子目錄下，那么威脅危險(xiǎn)度是 77% 。文件大小是 2,121,216 字節(jié) (占總出現(xiàn)比率 22% )，28,160 字節(jié)，29,696 字節(jié)，20,480 字節(jié)，2,932,736 字節(jié)，470,528 字節(jié)，76,800 字節(jié)，43,072 字節(jié)。 　　如果 csrss.exe 位于在目錄 C:\Windows\System32\drivers下，那么威脅危險(xiǎn)度是 64% 。文件大小是 81,920 字節(jié) (占總出現(xiàn)比率 40% )，335,872 字節(jié)，542,720 字節(jié)，6,144 字節(jié)。 　　如果 csrss.exe 位于在 "C:\Documents and Settings" 下的子目錄下，那么威脅危險(xiǎn)度是 57% 。文件大小是 58,033 字節(jié) (占總出現(xiàn)比率 50% )，385,536 字節(jié)，24,576 字節(jié)。 　　手工清除csrss.exe病毒步驟： 　　第一步，結(jié)束病毒進(jìn)程csrss.exe，注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。 　　第二步，找到以下文件并刪除（這些文件并非都有，可能只有幾個(gè)，但只要有，就刪！） 　　>> System\dxdiag.com 　　>> System\finder.com 　　>> System\msconfig.com 　　>> C:\\autorun.inf 　　>> Programfiles\Internet Explorer\iexplore.com 　　>> Programfiles\Common Files\iexplore.pif 　　>> Windows\1.com 　　>> Windows\csrss.exe 　　>> Windows\ExERoute.exe 　　>> Windows\explorer1.com 　　>> Windows\finder.com 　　>> Windows\Debug\DebugProgram.exe 　　>> system\command.pif 　　>> System\regedit.com 　　>> System\rundll32.com 　　同時(shí)查看“開(kāi)始”---“程序”中是否有以下連接安全測(cè)試.lnk、計(jì)算機(jī)安全中心.lnk、系統(tǒng)信息管理器.ink，刪！ 　　第三步，打開(kāi)注冊(cè)表編輯器： 　　(1)分別查找“finder.com”、“rundll32.com”、“command.pif”的信息，把找到值中的“finder.com”、“rundll32.com”、“command.pif”改為“rundll32.exe” 　　(2)查找“iexplore.com”的信息，把找到值中的“iexplore.com”改為“iexplore.exe”；查找“iexplore.pif”的信息，把找到值中類似“%ProgramFiles%\\Common Files\\iexplore.pif”的信息改為類似“%ProgramFiles%\\Internet Explorer\\iexplore.exe” 　　(3)查找“explorer1.com”的信息，把找到值中的“explorer1.com”改為“explorer.exe” 　　第四步，刪除病毒啟動(dòng)項(xiàng)： 　　[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] 　　“Torjan Program”=“%Windows%\\CSRSS.exe” 　　[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices] 　　“Torjan Program”=“%Windows%\\CSRSS.exe” 　　在[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] 　　把“Shell”=“Explorer.exe 1”恢復(fù)為“Shell”=“Explorer.exe” 　　刪除[HKEY_CLASSES_ROOT\\Applications\\iexplore.com]項(xiàng)和[HKEY_CLASSES_ROOT\\winfiles]項(xiàng) 　　第五步，重啟計(jì)算機(jī)，完成。^[1]

編輯本段系統(tǒng)csrss.exe錯(cuò)誤的危害

　　系統(tǒng)文件csrss.exe出錯(cuò)，極有可能是盜號(hào)***、流氓軟件等惡意程序所導(dǎo)致，其感染相關(guān)文件并加載起來(lái)，一旦殺毒軟件刪除被感染的文件，就會(huì)導(dǎo)致相關(guān)組件缺失，游戲等常用軟件運(yùn)行不起來(lái)，通常會(huì)伴隨下幾種情況： 　　1、桌面圖標(biāo)無(wú)法刪除 　　2、網(wǎng)絡(luò)游戲打不開(kāi) 　　3、電腦無(wú)故藍(lán)屏 　　4、電腦沒(méi)聲音 　　5、桌面無(wú)法顯示 　　6、主頁(yè)被修改為網(wǎng)址導(dǎo)航

編輯本段修復(fù)方法

　　csrss.exe出錯(cuò)，很多是因?yàn)橄到y(tǒng)中了流氓軟件，如果不了解系統(tǒng)，不知道csrss.exe在電腦中的存放位置，那么建議使用修復(fù)工具對(duì)系統(tǒng)進(jìn)行最全面的掃描和修復(fù)。 　　首先，建議使用金山毒霸。 　　然后，點(diǎn)擊主界面的快速掃描，進(jìn)行全面的系統(tǒng)掃描。 　　最后，按提示重新啟動(dòng)電腦，csrss.exe下載修復(fù)完畢。

編輯本段csrss.exe進(jìn)程

　　csrss.exe是系統(tǒng)的正常進(jìn)程，所在的進(jìn)程文件是csrss或csrss.exe，為windows的核心進(jìn)程之一。csrss是Client/Server Runtime Server Subsystem的簡(jiǎn)稱，即客戶/服務(wù)器運(yùn)行子系統(tǒng)，用以控制Windows圖形相關(guān)子系統(tǒng)，必須一直運(yùn)行。csrss用于維持Windows的控制，創(chuàng)建或者刪除線程和一些16位的虛擬MS-DOS環(huán)境。

編輯本段csrss.exe***

　　在正常情況下，csrss.exe位于System32文件夾中，若系統(tǒng)中出現(xiàn)兩個(gè)csrss.exe文件(其中一個(gè)位于Windows文件夾中)，則很有可能是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。

編輯本段清除csrss.exe ***的方法

　　用系統(tǒng)的查找功能看看系統(tǒng)盤(pán)里是否有以下幾個(gè)文件：netstart.exe、WinSocks.dll、netserv.exe、sinaproc327.exe、NMWizardA14.exe，如果有，則刪除它們。

轉(zhuǎn)載于:https://blog.51cto.com/498904836/852798

總結(jié)

以上是生活随笔為你收集整理的windows 进程之csrss.ext的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。