csrss.exe通常是系統的正常進程,所在的進程檔案是csrss或csrss.exe,是微軟客戶端、服務端運行時子系統,windows的核心進程之一。管理Windows圖形相關任務,對系統的正常運行非常重要。csrss是Client/Server Runtime Server Subsystem的簡稱,即客戶/伺服器運行子系統,用以控制Windows圖形相關子系統,必須一直運行。csrss用於維持Windows的控制,創建或者刪除執行緒和一些16位的虛擬MS-DOS環境。也有可能是W32.Netsky.AB@mm等病毒創建的。
基本介紹
- 中文名:csrss.exe
- 系統進程:是
- 進程檔案:csrss or csrss.exe
- 進程類別:其他進程
進程信息,錯誤危害,修複方法,木馬病毒,清除方法,相關案例,進程描述,真實案例,
進程信息
進程名稱:MicrosoftClient/ServerRuntime Subsystem
出品者:Microsoft Corp
屬於:Microsoft Windows Operating System
後台程式:是
網路相關:否
常見錯誤:強制結束後藍屏
記憶體使用:未知
安全等級 (0-5): 0
間諜軟體:否
廣告軟體:否
病毒:否
木馬:否
本進程的主要是控制圖形子系統、負責管理執行緒,並執行MS-DOS環境的圖形視窗及其他某些部分。這是一個重要的進程,他會隨系統的啟動而自動開啟並一直運行。在大多數情況下它是安全的,你不應該將其終止;但也有與其類似的病毒出現。
錯誤危害
系統檔案csrss.exe出錯,極有可能是盜號木馬、流氓軟體等惡意程式所導致,其感染相關檔案並載入起來,一旦防毒軟體刪除被感染的檔案,就會導致相關組件缺失,遊戲等常用軟體運行不起來,通常會伴隨下幾種情況:
1、桌面圖示無法刪除
2、網路遊戲打不開
3、電腦無故藍屏
4、電腦沒聲音
5、桌面無法顯示
6、主頁被修改為網址導航
修複方法
出現csrss.exe錯誤問題的原因
1.黑客將盜號木馬以及流氓外掛程式,插入csrss.exe中,做到隱蔽的效果。
2.中毒後沒有完美修復,部分防毒軟體查殺後,沒有做到完美的修復,所以導致出現csrss.exe 應用程式錯誤,請用主流防毒軟體自帶的系統修復功能修復您的電腦系統程式。
如果您分辨不清自己電腦該進程是否安全,請用防毒軟體,進行快速查殺以及系統修復,即可消除您的顧慮。
木馬病毒
在正常情況下,csrss.exe位於System32資料夾中,若系統中出現兩個csrss.exe檔案(其中一個位於Windows資料夾中),則很有可能是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。
清除方法
用系統的查找功能看看系統盤里是否有以下幾個檔案:netstart.exe、WinSocks.dll、netserv.exe、sinaproc327.exe、NMWizardA14.exe,如果有,則刪除它們。
相關案例
進程描述
英文描述: csrss.exe is the main executable for the Microsoft Client/Server Runtime Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated
注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒創建的。該病毒通過Email郵件進行傳播,當你打開附屬檔案時,即被感染。該蠕蟲會在受害者機器上建立SMTP服務,用以自身傳播。該病毒允許攻擊者訪問你的計算機,竊取密碼和個人數據。這個進程的安全等級是建議立即進行刪除。
介紹:Client/Server Runtime Server Subsystem,客戶端服務子系統,用以控制 Windows 圖形相關子系統。正常情況下在Windows NT/2000/XP/2003系統中只有一個csrss.exe進程,位於System32資料夾中,若以上系統中出現兩個csrss.exe 進程(其中一個位於 Windows 資料夾中),或在Windows 9X/Me系統中出現該進程,則是感染了病毒。Windows Vista有兩個csrss.exe進程。
注意,正常的csrss.exe雙擊後會出現“不能在Win32模式下運行”的提示,終止進程後會藍屏。
根據csrss.exe的位置判斷csrss.exe的危險度
如果 csrss.exe 位於在 “C:\Program Files” 下的子目錄下,那么威脅危險度是 70% 。檔案大小是 1,111,688位元組(占總出現比率 11% ),49,152 位元組,311,808 位元組,1,189,549 位元組,141,606 位元組,769,536 位元組,1,201,827 位元組,1,056,768 位元組,1,175,073 位元組。
如果 csrss.exe 位於在 C:\Windows\System32 下的子目錄下,那么威脅危險度是 77% 。檔案大小是 2,121,216位元組(占總出現比率 22% ),28,160 位元組,29,696 位元組,20,480 位元組,2,932,736 位元組,470,528 位元組,76,800 位元組,43,072 位元組。
如果 csrss.exe 位於在目錄 C:\Windows\System32\drivers下,那么威脅危險度是 64% 。檔案大小是 81,920位元組(占總出現比率 40% ),335,872 位元組,542,720 位元組,6,144 位元組。
如果 csrss.exe 位於在 “C:\Documents and Settings” 下的子目錄下,那么威脅危險度是 57% 。檔案大小是 58,033位元組(占總出現比率 50% ),385,536 位元組,24,576 位元組。
真實案例
注意:csrss.exe進程屬於系統進程,這裡提到的木馬csrss.exe是木馬偽裝成系統進程
前兩天突然發現在C:\Program Files\下多了一個rundll32.exe檔案。這個程式記得是關於登錄和開關機的,不應該在這裡,而且它的圖示是98下notepad.exe的老記事本圖示,在我的2003系統下面很扎眼。但是當時我沒有在意。因為平時沒有感到系統不穩定,也沒有發現記憶體和CPU大量占用,網路流量也正常。
這兩天又發現任務管理器里多了這個rundll32.exe和一個csrss.exe的進程。它和系統進程不一樣的地方是用戶為Administrator,就是我登錄的用戶名,而非system,另外它們的名字是小寫的,而由SYSTEM啟動的進程都是大寫的RUNDLL32.EXE和CSRSS.EXE,覺得不對勁。
然後按F3用資源管理器的搜尋功能找csrss.exe,果然在C:\Windows下,大小52736位元組,生成時間為12月9日12:37。而真正的csrss.exe只有6k,生成時間是2003年3月27日12:00,位於C:\Windows\Syetem32下。
於是用超級無敵的UltraEdit打開它,發現裡面有kavscr.exe,mailmonitor一類的字元,這些都是金山毒霸的進程名。在該字元前面幾行有SelfProtect的字元。自我保護和反病毒軟體有關的程式,不是病毒就是木馬了。滅!
試圖用任務管理器結束csrss.exe進程失敗,稱是系統關鍵進程。先進註冊表刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相應值,註銷重登錄,該進程消失,可見它沒有象3721那樣載入為驅動程式。
然後要查找和它有關的檔案。仍然用系統搜尋功能,查找12月9日生成的所有檔案,然後看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的圖示也是98下的記事本圖示,它和rundll32.exe的大小都是33792位元組。
此後在12:38分生成了一個tmp.dat檔案,內容是
@echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp
>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS\system32\netstart.exe
好像是用debug彙編了一段什麼程式,這年頭常用debug的少見,估計不是什麼善茬,因為商業程式設計師都用Delphi、PB等大程式寫軟體。
彙編大約進行了1分鐘,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一個0位元組的tmp.out檔案。netstart.exe大小117786位元組,另兩個大小也是52736位元組。前兩個位於C:\Windows\System32下,後兩個在當前用戶的Temp資料夾里。
這樣我就知道為什麼我的系統沒有感染的表現了。netstart.exe並沒有一直在運行,因為我在任務管理器中沒有見過它。把這些檔案都刪除,我的辦法是用winrar壓縮並選中完成後刪除源檔案,然後在rar檔案注釋中做說明,放一個資料夾里,留待以後研究。這個監獄裡都是我的戰利品,不過還很少。
現在木馬已經清除了。使用搜尋引擎查找關於csrss.exe的內容,發現結果不少,有QQ病毒,傳奇盜號木馬,新浪遊戲病毒,但是檔案大小和我中的這個都不一樣。搜尋netstart.exe只有一個日文網站結果,也是一個木馬。
這個病毒是怎么進入我的電腦的呢?搜尋時發現在12月9日12:36分生成了一個捷徑,名為dos71cd.zip,它是我那天從某網站下載的DOS7.11版啟動光碟,但是當時下載失敗了。現在看來根本就不是失敗,是因為這個網站的連結本來就是一段網頁注入程式,點擊後直接把病毒下載來了。
補充:
Windows XP SP3 系統下關於該檔案的信息如下:
csrss.exe - csrss -進程管理信息 進程檔案: csrss or csrss.exe
系統進程:Yes
後台程式:Yes
網路相關:No
大小:6KB
所在位置:C:\Boot Files\C_\WINDOWS\SYSTEM32
再次提醒:正常的csrss.exe雙擊後會出現“不能在Win32模式下運行”的提示。
創建日期:2007年6月1日 星期五, 0:00:00。
如果 csrss.exe 位於在 "C:\Program Files" 下的子目錄下,那么威脅危險度是 70% 。檔案大小是 1,111,688位元組(占總出現比率 11% ),49,152 位元組,311,808 位元組,1,189,549 位元組,141,606 位元組,769,536 位元組,1,201,827 位元組,1,056,768 位元組,1,175,073 位元組。
如果 csrss.exe 位於在 C:\Windows\System32 下的子目錄下,那么威脅危險度是 77% 。檔案大小是 2,121,216位元組(占總出現比率 22% ),28,160 位元組,29,696 位元組,20,480 位元組,2,932,736 位元組,470,528 位元組,76,800 位元組,43,072 位元組。
如果 csrss.exe 位於在目錄 C:\Windows\System32\drivers下,那么威脅危險度是 64% 。檔案大小是 81,920位元組(占總出現比率 40% ),335,872 位元組,542,720 位元組,6,144 位元組。
如果 csrss.exe 位於在 "C:\Documents and Settings" 下的子目錄下,那么威脅危險度是 57% 。檔案大小是 58,033位元組(占總出現比率 50% ),385,536 位元組,24,576 位元組。
手工清除csrss.exe病毒步驟:
第一步,結束病毒進程csrss.exe,注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。
第二步,找到以下檔案並刪除(這些檔案並非都有,可能只有幾個,但只要有,就刪!)
>> C:\System\dxdiag.com
>> C:\System\finder.com
>> C:\System\msconfig.com
>> C:\\autorun.inf
>> C:\Programfiles\Internet Explorer\iexplore.com
>> C:\Programfiles\Common Files\iexplore.pif
>>\ Windows\1.com
>> \Windows\csrss.exe
>> \Windows\ExERoute.exe
>> \Windows\explorer1.com
>>\ Windows\finder.com
>> \Windows\Debug\DebugProgram.exe
>>\system\command.pif
>> \System\regedit.com
>> \System\rundll32.com
第三步,打開註冊表編輯器:
(1)分別查找“finder.com”、“rundll32.com”、“command.pif”的信息,把找到值中的“finder.com”、“rundll32.com”、“command.pif”改為“rundll32.exe”
(2)查找“iexplore.com”的信息,把找到值中的“iexplore.com”改為“iexplore.exe”;查找“iexplore.pif”的信息,把找到值中類似“%ProgramFiles%\\Common Files\\iexplore.pif”的信息改為類似“%ProgramFiles%\\Internet Explorer\\iexplore.exe”
(3)查找“explorer1.com”的信息,把找到值中的“explorer1.com”改為“explorer.exe”
第四步,刪除病毒啟動項:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
“Torjan Program”=“%Windows%\\CSRSS.exe”
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]
“Torjan Program”=“%Windows%\\CSRSS.exe”
在[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
把“Shell”=“Explorer.exe 1”恢復為“Shell”=“Explorer.exe”
刪除[HKEY_CLASSES_ROOT\\Applications\\iexplore.com]項和[HKEY_CLASSES_ROOT\\winfiles]項
第五步,重啟計算機,完成。
