csrss.exe，系統進程，是微軟客戶端、服務端運行時子系統，管理Windows圖形相關任務，對系統的正常運行非常重要，但也有可能是W32.Netsky.AB@mm等病毒創建的。

目錄

進程信息

進程描述

系統csrss.exe錯誤的危害

修復方法

csrss.exe進程

csrss.exe***

清除csrss.exe ***的方法

?

編輯本段進程信息

　　進程：csrss.exe 、 csrss 　　進程文件：csrss or csrss.exe 　　進程名稱：Microsoft Client/ServerRuntime Subsystem 　　進程類別：其他進程 　　出品者：Microsoft Corp 　　屬于：Microsoft Windows Operating System 　　系統進程：是 　　后臺程序：是 　　網絡相關：否 　　常見錯誤：未知 　　內存使用：未知 　　安全等級 (0-5): 0 　　間諜軟件：否 　　廣告軟件：否 　　病毒：否 　　***：否

編輯本段進程描述

　　英文描述： 　　csrss.exe is the main executable for the Microsoft Client/Server Runtime Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated 　　注意：csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒創建的。該病毒通過Email郵件進行傳播，當你打開附件時，即被感染。該蠕蟲會在受害者機器上建立SMTP服務，用以自身傳播。該病毒允許***者訪問你的計算機，竊取密碼和個人數據。這個進程的安全等級是建議立即進行刪除。 　　介紹:Client/Server Runtime Server Subsystem，客戶端服務子系統，用以控制 Windows 圖形相關子系統。正常情況下在Windows NT/2000/XP/2003系統中只有一個csrss.exe進程，位于System32文件夾中，若以上系統中出現兩個csrss.exe 進程(其中一個位于 Windows 文件夾中)，或在Windows 9X/Me系統中出現該進程，則是感染了病毒。Windows Vista有兩個csrss.exe進程。 　　注意，正常的csrss.exe雙擊后會出現“不能在Win32模式下運行”的提示，終止進程后會藍屏。 　　根據csrss.exe的位置判斷csrss.exe的危險度 　　如果 csrss.exe 位于在 “C:\Program Files” 下的子目錄下，那么威脅危險度是 70% 。文件大小是 1,111,688 字節 （占總出現比率 11% ），49,152 字節，311,808 字節，1,189,549 字節，141,606 字節，769,536 字節，1,201,827 字節，1,056,768 字節，1,175,073 字節。 　　如果 csrss.exe 位于在 C:\Windows\System32 下的子目錄下，那么威脅危險度是 77% 。文件大小是 2,121,216 字節 （占總出現比率 22% ），28,160 字節，29,696 字節，20,480 字節，2,932,736 字節，470,528 字節，76,800 字節，43,072 字節。 　　如果 csrss.exe 位于在目錄 C:\Windows\System32\drivers下，那么威脅危險度是 64% 。文件大小是 81,920 字節 （占總出現比率 40% ），335,872 字節，542,720 字節，6,144 字節。 　　如果 csrss.exe 位于在 “C:\Documents and Settings” 下的子目錄下，那么威脅危險度是 57% 。文件大小是 58,033 字節 （占總出現比率 50% ），385,536 字節，24,576 字節。 　　純手工查殺***csrss.exe 　　注意：csrss.exe進程屬于系統進程，這里提到的***csrss.exe是***偽裝成系統進程 　　前兩天突然發現在C:\Program Files\下多了一個rundll32.exe文件。這個程序記得是關于登錄和開關機的，不應該在這里，而且它的圖標是98下notepad.exe的老記事本圖標，在我的2003系統下面很扎眼。但是當時我沒有在意。因為平時沒有感到系統不穩定，也沒有發現內存和CPU大量占用，網絡流量也正常。 　　這兩天又發現任務管理器里多了這個rundll32.exe和一個csrss.exe的進程。它和系統進程不一樣的地方是用戶為Administrator，就是我登錄的用戶名，而非system，另外它們的名字是小寫的，而由SYSTEM啟動的進程都是大寫的RUNDLL32.EXE和CSRSS.EXE，覺得不對勁。 　　然后按F3用資源管理器的搜索功能找csrss.exe，果然在C:\Windows下，大小52736字節，生成時間為12月9日12:37。而真正的csrss.exe只有6k，生成時間是2003年3月27日12:00，位于C:\Windows\Syetem32下。 　　于是用超級無敵的UltraEdit打開它，發現里面有kavscr.exe，mailmonitor一類的字符，這些都是金山毒霸的進程名。在該字符前面幾行有SelfProtect的字符。自我保護和反病毒軟件有關的程序，不是病毒就是***了。滅！ 　　試圖用任務管理器結束csrss.exe進程失敗，稱是系統關鍵進程。先進注冊表刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相應值，注銷重登錄，該進程消失，可見它沒有象3721那樣加載為驅動程序。 　　然后要查找和它有關的文件。仍然用系統搜索功能，查找12月9日生成的所有文件，然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe，但kavsrc.exe的圖標也是98下的記事本圖標，它和rundll32.exe的大小都是33792字節。 　　此后在12:38分生成了一個tmp.dat文件，內容是 　　@echo off 　　debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out 　　copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out 　　del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out 　　del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp 　　>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out 　　C:\WINDOWS\system32\netstart.exe 　　好像是用debug匯編了一段什么程序，這年頭常用debug的少見，估計不是什么善茬，因為商業程序員都用Delphi、PB等大程序寫軟件。 　　匯編大約進行了1分鐘，在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一個0字節的tmp.out文件。netstart.exe大小117786字節，另兩個大小也是52736字節。前兩個位于C:\Windows\System32下，后兩個在當前用戶的Temp文件夾里。 　　這樣我就知道為什么我的系統沒有感染的表現了。netstart.exe并沒有一直在運行，因為我在任務管理器中沒有見過它。把這些文件都刪除，我的辦法是用winrar壓縮并選中完成后刪除源文件，然后在rar文件注釋中做說明，放一個文件夾里，留待以后研究。這個監獄里都是我的戰利品，不過還很少。 　　現在***已經清除了。使用搜索引擎查找關于csrss.exe的內容，發現結果不少，有QQ病毒，傳奇盜號***，新浪游戲病毒，但是文件大小和我中的這個都不一樣。搜索netstart.exe只有一個日文網站結果，也是一個***。 　　這個病毒是怎么進入我的電腦的呢？搜索時發現在12月9日12:36分生成了一個快捷方式，名為dos71cd.zip，它是我那天從某網站下載的DOS7.11版啟動光盤，但是當時下載失敗了。現在看來根本就不是失敗，是因為這個網站的鏈接本來就是一段網頁注入程序，點擊后直接把病毒下載來了。 　　補充： 　　Windows XP SP3 系統下關于該文件的信息如下： 　　csrss.exe - csrss - 進程管理信息 進程文件： csrss or csrss.exe 　　系統進程：Yes 　　后臺程序：Yes 　　網絡相關：No 　　大小：6KB 　　所在位置：C:\Boot Files\C_\WINDOWS\SYSTEM32 　　再次提醒：正常的csrss.exe雙擊后會出現“不能在Win32模式下運行”的提示。 　　創建日期：2007年6月1日 星期五, 0:00:00。 　　如果 csrss.exe 位于在 "C:\Program Files" 下的子目錄下，那么威脅危險度是 70% 。文件大小是 1,111,688 字節 (占總出現比率 11% )，49,152 字節，311,808 字節，1,189,549 字節，141,606 字節，769,536 字節，1,201,827 字節，1,056,768 字節，1,175,073 字節。 　　如果 csrss.exe 位于在 C:\Windows\System32 下的子目錄下，那么威脅危險度是 77% 。文件大小是 2,121,216 字節 (占總出現比率 22% )，28,160 字節，29,696 字節，20,480 字節，2,932,736 字節，470,528 字節，76,800 字節，43,072 字節。 　　如果 csrss.exe 位于在目錄 C:\Windows\System32\drivers下，那么威脅危險度是 64% 。文件大小是 81,920 字節 (占總出現比率 40% )，335,872 字節，542,720 字節，6,144 字節。 　　如果 csrss.exe 位于在 "C:\Documents and Settings" 下的子目錄下，那么威脅危險度是 57% 。文件大小是 58,033 字節 (占總出現比率 50% )，385,536 字節，24,576 字節。 　　手工清除csrss.exe病毒步驟： 　　第一步，結束病毒進程csrss.exe，注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。 　　第二步，找到以下文件并刪除（這些文件并非都有，可能只有幾個，但只要有，就刪！） 　　>> System\dxdiag.com 　　>> System\finder.com 　　>> System\msconfig.com 　　>> C:\\autorun.inf 　　>> Programfiles\Internet Explorer\iexplore.com 　　>> Programfiles\Common Files\iexplore.pif 　　>> Windows\1.com 　　>> Windows\csrss.exe 　　>> Windows\ExERoute.exe 　　>> Windows\explorer1.com 　　>> Windows\finder.com 　　>> Windows\Debug\DebugProgram.exe 　　>> system\command.pif 　　>> System\regedit.com 　　>> System\rundll32.com 　　同時查看“開始”---“程序”中是否有以下連接安全測試.lnk、計算機安全中心.lnk、系統信息管理器.ink，刪！ 　　第三步，打開注冊表編輯器： 　　(1)分別查找“finder.com”、“rundll32.com”、“command.pif”的信息，把找到值中的“finder.com”、“rundll32.com”、“command.pif”改為“rundll32.exe” 　　(2)查找“iexplore.com”的信息，把找到值中的“iexplore.com”改為“iexplore.exe”；查找“iexplore.pif”的信息，把找到值中類似“%ProgramFiles%\\Common Files\\iexplore.pif”的信息改為類似“%ProgramFiles%\\Internet Explorer\\iexplore.exe” 　　(3)查找“explorer1.com”的信息，把找到值中的“explorer1.com”改為“explorer.exe” 　　第四步，刪除病毒啟動項： 　　[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] 　　“Torjan Program”=“%Windows%\\CSRSS.exe” 　　[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices] 　　“Torjan Program”=“%Windows%\\CSRSS.exe” 　　在[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] 　　把“Shell”=“Explorer.exe 1”恢復為“Shell”=“Explorer.exe” 　　刪除[HKEY_CLASSES_ROOT\\Applications\\iexplore.com]項和[HKEY_CLASSES_ROOT\\winfiles]項 　　第五步，重啟計算機，完成。^[1]

編輯本段系統csrss.exe錯誤的危害

　　系統文件csrss.exe出錯，極有可能是盜號***、流氓軟件等惡意程序所導致，其感染相關文件并加載起來，一旦殺毒軟件刪除被感染的文件，就會導致相關組件缺失，游戲等常用軟件運行不起來，通常會伴隨下幾種情況： 　　1、桌面圖標無法刪除 　　2、網絡游戲打不開 　　3、電腦無故藍屏 　　4、電腦沒聲音 　　5、桌面無法顯示 　　6、主頁被修改為網址導航

編輯本段修復方法

　　csrss.exe出錯，很多是因為系統中了流氓軟件，如果不了解系統，不知道csrss.exe在電腦中的存放位置，那么建議使用修復工具對系統進行最全面的掃描和修復。 　　首先，建議使用金山毒霸。 　　然后，點擊主界面的快速掃描，進行全面的系統掃描。 　　最后，按提示重新啟動電腦，csrss.exe下載修復完畢。

編輯本段csrss.exe進程

　　csrss.exe是系統的正常進程，所在的進程文件是csrss或csrss.exe，為windows的核心進程之一。csrss是Client/Server Runtime Server Subsystem的簡稱，即客戶/服務器運行子系統，用以控制Windows圖形相關子系統，必須一直運行。csrss用于維持Windows的控制，創建或者刪除線程和一些16位的虛擬MS-DOS環境。

編輯本段csrss.exe***

　　在正常情況下，csrss.exe位于System32文件夾中，若系統中出現兩個csrss.exe文件(其中一個位于Windows文件夾中)，則很有可能是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。

編輯本段清除csrss.exe ***的方法

　　用系統的查找功能看看系統盤里是否有以下幾個文件：netstart.exe、WinSocks.dll、netserv.exe、sinaproc327.exe、NMWizardA14.exe，如果有，則刪除它們。

轉載于:https://blog.51cto.com/498904836/852798

總結

以上是生活随笔為你收集整理的windows 进程之csrss.ext的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。