windows 进程之csrss.ext

csrss.exe，系统进程，是微软客户端、服务端运行时子系统，管理Windows图形相关任务，对系统的正常运行非常重要，但也有可能是W32.Netsky.AB@mm等病毒创建的。

进程信息

进程描述

系统csrss.exe错误的危害

修复方法

csrss.exe进程

csrss.exe***

清除csrss.exe ***的方法

编辑本段进程信息

　　进程：csrss.exe 、 csrss　　进程文件：csrss or csrss.exe 　　进程名称：Microsoft Client/ServerRuntime Subsystem 　　进程类别：其他进程　　出品者：Microsoft Corp 　　属于：Microsoft Windows Operating System 　　系统进程：是　　后台程序：是　　网络相关：否　　常见错误：未知　　内存使用：未知　　安全等级 (0-5): 0 　　间谍软件：否　　广告软件：否　　病毒：否　　***：否

编辑本段进程描述

　　英文描述：　　csrss.exe is the main executable for the Microsoft Client/Server Runtime Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated 　　注意：csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播，当你打开附件时，即被感染。该蠕虫会在受害者机器上建立SMTP服务，用以自身传播。该病毒允许***者访问你的计算机，窃取密码和个人数据。这个进程的安全等级是建议立即进行删除。　　介绍:Client/Server Runtime Server Subsystem，客户端服务子系统，用以控制 Windows 图形相关子系统。正常情况下在Windows NT/2000/XP/2003系统中只有一个csrss.exe进程，位于System32文件夹中，若以上系统中出现两个csrss.exe 进程(其中一个位于 Windows 文件夹中)，或在Windows 9X/Me系统中出现该进程，则是感染了病毒。Windows Vista有两个csrss.exe进程。　　注意，正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示，终止进程后会蓝屏。　　根据csrss.exe的位置判断csrss.exe的危险度　　如果 csrss.exe 位于在 “C:\Program Files” 下的子目录下，那么威胁危险度是 70% 。文件大小是 1,111,688 字节（占总出现比率 11% ），49,152 字节，311,808 字节，1,189,549 字节，141,606 字节，769,536 字节，1,201,827 字节，1,056,768 字节，1,175,073 字节。　　如果 csrss.exe 位于在 C:\Windows\System32 下的子目录下，那么威胁危险度是 77% 。文件大小是 2,121,216 字节（占总出现比率 22% ），28,160 字节，29,696 字节，20,480 字节，2,932,736 字节，470,528 字节，76,800 字节，43,072 字节。　　如果 csrss.exe 位于在目录 C:\Windows\System32\drivers下，那么威胁危险度是 64% 。文件大小是 81,920 字节（占总出现比率 40% ），335,872 字节，542,720 字节，6,144 字节。　　如果 csrss.exe 位于在 “C:\Documents and Settings” 下的子目录下，那么威胁危险度是 57% 。文件大小是 58,033 字节（占总出现比率 50% ），385,536 字节，24,576 字节。　　纯手工查杀***csrss.exe 　　注意：csrss.exe进程属于系统进程，这里提到的***csrss.exe是***伪装成系统进程　　前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的，不应该在这里，而且它的图标是98下notepad.exe的老记事本图标，在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定，也没有发现内存和CPU大量占用，网络流量也正常。　　这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator，就是我登录的用户名，而非system，另外它们的名字是小写的，而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE，觉得不对劲。　　然后按F3用资源管理器的搜索功能找csrss.exe，果然在C:\Windows下，大小52736字节，生成时间为12月9日12:37。而真正的csrss.exe只有6k，生成时间是2003年3月27日12:00，位于C:\Windows\Syetem32下。　　于是用超级无敌的UltraEdit打开它，发现里面有kavscr.exe，mailmonitor一类的字符，这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序，不是病毒就是***了。灭！　　试图用任务管理器结束csrss.exe进程失败，称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值，注销重登录，该进程消失，可见它没有象3721那样加载为驱动程序。　　然后要查找和它有关的文件。仍然用系统搜索功能，查找12月9日生成的所有文件，然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe，但kavsrc.exe的图标也是98下的记事本图标，它和rundll32.exe的大小都是33792字节。　　此后在12:38分生成了一个tmp.dat文件，内容是　　@echo off 　　debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out 　　copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out 　　del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out 　　del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp 　　>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out 　　C:\WINDOWS\system32\netstart.exe 　　好像是用debug汇编了一段什么程序，这年头常用debug的少见，估计不是什么善茬，因为商业程序员都用Delphi、PB等大程序写软件。　　汇编大约进行了1分钟，在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节，另两个大小也是52736字节。前两个位于C:\Windows\System32下，后两个在当前用户的Temp文件夹里。　　这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行，因为我在任务管理器中没有见过它。把这些文件都删除，我的办法是用winrar压缩并选中完成后删除源文件，然后在rar文件注释中做说明，放一个文件夹里，留待以后研究。这个监狱里都是我的战利品，不过还很少。　　现在***已经清除了。使用搜索引擎查找关于csrss.exe的内容，发现结果不少，有QQ病毒，传奇盗号***，新浪游戏病毒，但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果，也是一个***。　　这个病毒是怎么进入我的电脑的呢？搜索时发现在12月9日12:36分生成了一个快捷方式，名为dos71cd.zip，它是我那天从某网站下载的DOS7.11版启动光盘，但是当时下载失败了。现在看来根本就不是失败，是因为这个网站的链接本来就是一段网页注入程序，点击后直接把病毒下载来了。　　补充：　　Windows XP SP3 系统下关于该文件的信息如下：　　csrss.exe - csrss - 进程管理信息进程文件： csrss or csrss.exe 　　系统进程：Yes 　　后台程序：Yes 　　网络相关：No 　　大小：6KB 　　所在位置：C:\Boot Files\C_\WINDOWS\SYSTEM32 　　再次提醒：正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示。　　创建日期：2007年6月1日星期五, 0:00:00。　　如果 csrss.exe 位于在 "C:\Program Files" 下的子目录下，那么威胁危险度是 70% 。文件大小是 1,111,688 字节 (占总出现比率 11% )，49,152 字节，311,808 字节，1,189,549 字节，141,606 字节，769,536 字节，1,201,827 字节，1,056,768 字节，1,175,073 字节。　　如果 csrss.exe 位于在 C:\Windows\System32 下的子目录下，那么威胁危险度是 77% 。文件大小是 2,121,216 字节 (占总出现比率 22% )，28,160 字节，29,696 字节，20,480 字节，2,932,736 字节，470,528 字节，76,800 字节，43,072 字节。　　如果 csrss.exe 位于在目录 C:\Windows\System32\drivers下，那么威胁危险度是 64% 。文件大小是 81,920 字节 (占总出现比率 40% )，335,872 字节，542,720 字节，6,144 字节。　　如果 csrss.exe 位于在 "C:\Documents and Settings" 下的子目录下，那么威胁危险度是 57% 。文件大小是 58,033 字节 (占总出现比率 50% )，385,536 字节，24,576 字节。　　手工清除csrss.exe病毒步骤：　　第一步，结束病毒进程csrss.exe，注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。　　第二步，找到以下文件并删除（这些文件并非都有，可能只有几个，但只要有，就删！）　　>> System\dxdiag.com 　　>> System\finder.com 　　>> System\msconfig.com 　　>> C:\\autorun.inf 　　>> Programfiles\Internet Explorer\iexplore.com 　　>> Programfiles\Common Files\iexplore.pif 　　>> Windows\1.com 　　>> Windows\csrss.exe 　　>> Windows\ExERoute.exe 　　>> Windows\explorer1.com 　　>> Windows\finder.com 　　>> Windows\Debug\DebugProgram.exe 　　>> system\command.pif 　　>> System\regedit.com 　　>> System\rundll32.com 　　同时查看“开始”---“程序”中是否有以下连接安全测试.lnk、计算机安全中心.lnk、系统信息管理器.ink，删！　　第三步，打开注册表编辑器：　　(1)分别查找“finder.com”、“rundll32.com”、“command.pif”的信息，把找到值中的“finder.com”、“rundll32.com”、“command.pif”改为“rundll32.exe” 　　(2)查找“iexplore.com”的信息，把找到值中的“iexplore.com”改为“iexplore.exe”；查找“iexplore.pif”的信息，把找到值中类似“%ProgramFiles%\\Common Files\\iexplore.pif”的信息改为类似“%ProgramFiles%\\Internet Explorer\\iexplore.exe” 　　(3)查找“explorer1.com”的信息，把找到值中的“explorer1.com”改为“explorer.exe” 　　第四步，删除病毒启动项：　　[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] 　　“Torjan Program”=“%Windows%\\CSRSS.exe” 　　[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices] 　　“Torjan Program”=“%Windows%\\CSRSS.exe” 　　在[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] 　　把“Shell”=“Explorer.exe 1”恢复为“Shell”=“Explorer.exe” 　　删除[HKEY_CLASSES_ROOT\\Applications\\iexplore.com]项和[HKEY_CLASSES_ROOT\\winfiles]项　　第五步，重启计算机，完成。^[1]

编辑本段系统csrss.exe错误的危害

　　系统文件csrss.exe出错，极有可能是盗号***、流氓软件等恶意程序所导致，其感染相关文件并加载起来，一旦杀毒软件删除被感染的文件，就会导致相关组件缺失，游戏等常用软件运行不起来，通常会伴随下几种情况：　　1、桌面图标无法删除　　2、网络游戏打不开　　3、电脑无故蓝屏　　4、电脑没声音　　5、桌面无法显示　　6、主页被修改为网址导航

编辑本段修复方法

　　csrss.exe出错，很多是因为系统中了流氓软件，如果不了解系统，不知道csrss.exe在电脑中的存放位置，那么建议使用修复工具对系统进行最全面的扫描和修复。　　首先，建议使用金山毒霸。　　然后，点击主界面的快速扫描，进行全面的系统扫描。　　最后，按提示重新启动电脑，csrss.exe下载修复完毕。

编辑本段csrss.exe进程

　　csrss.exe是系统的正常进程，所在的进程文件是csrss或csrss.exe，为windows的核心进程之一。csrss是Client/Server Runtime Server Subsystem的简称，即客户/服务器运行子系统，用以控制Windows图形相关子系统，必须一直运行。csrss用于维持Windows的控制，创建或者删除线程和一些16位的虚拟MS-DOS环境。

编辑本段csrss.exe***

　　在正常情况下，csrss.exe位于System32文件夹中，若系统中出现两个csrss.exe文件(其中一个位于Windows文件夹中)，则很有可能是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。

编辑本段清除csrss.exe ***的方法

　　用系统的查找功能看看系统盘里是否有以下几个文件：netstart.exe、WinSocks.dll、netserv.exe、sinaproc327.exe、NMWizardA14.exe，如果有，则删除它们。

转载于:https://blog.51cto.com/498904836/852798