進程:csrss.exe 、 csrss
進程文件:csrss or csrss.exe
進程名稱:Microsoft
Client/ServerRuntime Subsystem
進程類別:其他進程
出品者:Microsoft Corp
屬於:Microsoft Windows Operating System
系統進程:是
後臺程序:是
網絡相關:否
常見錯誤:未知
內存使用:未知
安全等級 (0-5): 0
間諜軟件:否
廣告軟件:否
病毒:否
***:否
英文描述:
csrss.exe is the main executable for the Microsoft Client/Server Runtime Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated
注意:csrss.exe也有可能是
W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒創建的。該病毒通過Email郵件進行傳播,當你打開附件時,即被感染。該
蠕蟲會在受害者機器上建立SMTP服務,用以自身傳播。該病毒允許***者訪問你的計算機,竊取密碼和個人數據。這個進程的安全等級是建議立即進行刪除。
介紹:Client/Server Runtime Server Subsystem,
客戶端服務子系統,用以控制 Windows 圖形相關子系統。正常情況下在Windows NT/2000/XP/2003系統中只有一個csrss.exe進程,位於System32文件夾中,若以上系統中出現兩個csrss.exe 進程(其中一個位於 Windows 文件夾中),或在Windows 9X/Me系統中出現該進程,則是感染了
病毒。Windows Vista有兩個csrss.exe進程。
注意,正常的csrss.exe雙擊後會出現“不能在Win32模式下運行”的提示,終止進程後會藍屏。
根據csrss.exe的位置判斷csrss.exe的危險度
如果 csrss.exe 位於在 “C:\Program Files” 下的子目錄下,那麼威脅危險度是 70% 。文件大小是 1,111,688 字節 (佔總出現比率 11% ),49,152 字節,311,808 字節,1,189,549 字節,141,606 字節,769,536 字節,1,201,827 字節,1,056,768 字節,1,175,073 字節。
如果 csrss.exe 位於在 C:\Windows\System32 下的子目錄下,那麼威脅危險度是 77% 。文件大小是 2,121,216 字節 (佔總出現比率 22% ),28,160 字節,29,696 字節,20,480 字節,2,932,736 字節,470,528 字節,76,800 字節,43,072 字節。
如果 csrss.exe 位於在目錄 C:\Windows\System32\drivers下,那麼威脅危險度是 64% 。文件大小是 81,920 字節 (佔總出現比率 40% ),335,872 字節,542,720 字節,6,144 字節。
如果 csrss.exe 位於在 “C:\Documents and Settings” 下的子目錄下,那麼威脅危險度是 57% 。文件大小是 58,033 字節 (佔總出現比率 50% ),385,536 字節,24,576 字節。
純手工查殺
***csrss.exe
注意:csrss.exe進程屬於系統進程,這裏提到的***csrss.exe是***僞裝成系統進程
前兩天突然發現在C:\Program Files\下多了一個
rundll32.exe文件。這個程序記得是關於登錄和開關機的,不應該在這裏,而且它的圖標是98下notepad.exe的老
記事本圖標,在我的2003系統下面很扎眼。但是當時我沒有在意。因爲平時沒有感到系統不穩定,也沒有發現內存和CPU大量佔用,網絡流量也正常。
這兩天又發現
任務管理器裏多了這個rundll32.exe和一個csrss.exe的進程。它和系統進程不一樣的地方是用戶爲Administrator,就是我登錄的用戶名,而非system,另外它們的名字是小寫的,而由SYSTEM啓動的進程都是大寫的RUNDLL32.EXE和CSRSS.EXE,覺得不對勁。
然後按F3用
資源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字節,生成時間爲12月9日12:37。而真正的csrss.exe只有6k,生成時間是2003年3月27日12:00,位於C:\Windows\Syetem32下。
於是用超級無敵的UltraEdit打開它,發現裏面有kavscr.exe,mailmonitor一類的字符,這些都是
金山毒霸的進程名。在該字符前面幾行有SelfProtect的字符。自我保護和反病毒
軟件有關的程序,不是病毒就是***了。滅!
試圖用任務管理器結束csrss.exe進程失敗,稱是系統關鍵進程。先進註冊表刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相應值,註銷重登錄,該進程消失,可見它沒有象3721那樣加載爲驅動程序。
然後要查找和它有關的文件。仍然用系統搜索功能,查找12月9日生成的所有文件,然後看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的圖標也是98下的記事本圖標,它和rundll32.exe的大小都是33792字節。
此後在12:38分生成了一個tmp.dat文件,內容是
@echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp
>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS\system32\netstart.exe
好像是用debug彙編了一段什麼程序,這年頭常用debug的少見,估計不是什麼善茬,因爲商業程序員都用Delphi、PB等大程序寫軟件。
彙編大約進行了1分鐘,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一個0字節的tmp.out文件。netstart.exe大小117786字節,另兩個大小也是52736字節。前兩個位於C:\Windows\System32下,後兩個在當前用戶的Temp文件夾裏。
這樣我就知道爲什麼我的系統沒有感染的表現了。netstart.exe並沒有一直在運行,因爲我在任務管理器中沒有見過它。把這些文件都刪除,我的辦法是用winrar壓縮並選中完成後刪除源文件,然後在rar文件註釋中做說明,放一個文件夾裏,留待以後研究。這個監獄裏都是我的戰利品,不過還很少。
現在***已經清除了。使用搜索引擎查找關於csrss.exe的內容,發現結果不少,有QQ病毒,傳奇盜號***,新浪遊戲病毒,但是文件大小和我中的這個都不一樣。搜索netstart.exe只有一個日文網站結果,也是一個***。
這個病毒是怎麼進入
我的電腦的呢?搜索時發現在12月9日12:36分生成了一個快捷方式,名爲dos71cd.zip,它是我那天從某網站下載的DOS7.11版啓動光盤,但是當時下載失敗了。現在看來根本就不是失敗,是因爲這個網站的鏈接本來就是一段網頁注入程序,點擊後直接把病毒下載來了。
補充:
Windows XP SP3 系統下關於該文件的信息如下:
csrss.exe - csrss -
進程管理信息 進程文件: csrss or csrss.exe
系統進程:Yes
後臺程序:Yes
網絡相關:No
大小:6KB
所在位置:C:\Boot Files\C_\WINDOWS\SYSTEM32
再次提醒:正常的csrss.exe雙擊後會出現“不能在Win32模式下運行”的提示。
創建日期:2007年6月1日 星期五, 0:00:00。
如果 csrss.exe 位於在 "C:\Program Files" 下的子目錄下,那麼威脅危險度是 70% 。文件大小是 1,111,688 字節 (佔總出現比率 11% ),49,152 字節,311,808 字節,1,189,549 字節,141,606 字節,769,536 字節,1,201,827 字節,1,056,768 字節,1,175,073 字節。
如果 csrss.exe 位於在 C:\Windows\System32 下的子目錄下,那麼威脅危險度是 77% 。文件大小是 2,121,216 字節 (佔總出現比率 22% ),28,160 字節,29,696 字節,20,480 字節,2,932,736 字節,470,528 字節,76,800 字節,43,072 字節。
如果 csrss.exe 位於在目錄 C:\Windows\System32\drivers下,那麼威脅危險度是 64% 。文件大小是 81,920 字節 (佔總出現比率 40% ),335,872 字節,542,720 字節,6,144 字節。
如果 csrss.exe 位於在 "C:\Documents and Settings" 下的子目錄下,那麼威脅危險度是 57% 。文件大小是 58,033 字節 (佔總出現比率 50% ),385,536 字節,24,576 字節。
手工清除csrss.exe病毒步驟:
第一步,結束病毒進程csrss.exe,注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。
第二步,找到以下文件並刪除(這些文件並非都有,可能只有幾個,但只要有,就刪!)
>> System\dxdiag.com
>> System\finder.com
>> System\msconfig.com
>> C:\\
autorun.inf
>> Programfiles\Internet Explorer\iexplore.com
>> Programfiles\Common Files\iexplore.pif
>> Windows\1.com
>> Windows\csrss.exe
>> Windows\ExERoute.exe
>> Windows\explorer1.com
>> Windows\finder.com
>> Windows\Debug\DebugProgram.exe
>> system\command.pif
>> System\
regedit.com
>> System\rundll32.com
同時查看“開始”---“程序”中是否有以下連接安全測試.lnk、計算機安全中心.lnk、
系統信息管理器.ink,刪!
第三步,打開
註冊表編輯器:
(1)分別查找“finder.com”、“rundll32.com”、“command.pif”的信息,把找到值中的“finder.com”、“rundll32.com”、“command.pif”改爲“rundll32.exe”
(2)查找“iexplore.com”的信息,把找到值中的“iexplore.com”改爲“
iexplore.exe”;查找“iexplore.pif”的信息,把找到值中類似“%ProgramFiles%\\Common Files\\iexplore.pif”的信息改爲類似“%ProgramFiles%\\Internet Explorer\\iexplore.exe”
(3)查找“explorer1.com”的信息,把找到值中的“explorer1.com”改爲“
explorer.exe”
第四步,刪除病毒啓動項:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
“Torjan Program”=“%Windows%\\CSRSS.exe”
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]
“Torjan Program”=“%Windows%\\CSRSS.exe”
在[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
把“Shell”=“Explorer.exe 1”恢復爲“Shell”=“Explorer.exe”
刪除[HKEY_CLASSES_ROOT\\Applications\\iexplore.com]項和[HKEY_CLASSES_ROOT\\winfiles]項
第五步,重啓計算機,完成。
[1]
編輯本段系統csrss.exe錯誤的危害
系統文件csrss.exe出錯,極有可能是盜號***、流氓軟件等惡意程序所導致,其感染相關文件並加載起來,一旦殺毒軟件刪除被感染的文件,就會導致相關組件缺失,遊戲等常用軟件運行不起來,通常會伴隨下幾種情況:
1、桌面圖標無法刪除
2、網絡遊戲打不開
3、電腦無故藍屏
4、電腦沒聲音
5、桌面無法顯示
6、主頁被修改爲網址導航
csrss.exe出錯,很多是因爲系統中了流氓軟件,如果不瞭解系統,不知道csrss.exe在電腦中的存放位置,那麼建議使用修復工具對系統進行最全面的掃描和修復。
首先,建議使用金山毒霸。
然後,點擊主界面的快速掃描,進行全面的系統掃描。
最後,按提示重新啓動電腦,csrss.exe下載修復完畢。
編輯本段csrss.exe進程
csrss.exe是系統的正常進程,所在的進程文件是csrss或csrss.exe,爲windows的核心進程之一。csrss是Client/Server Runtime Server Subsystem的簡稱,即客戶/服務器運行子系統,用以控制Windows圖形相關子系統,必須一直運行。csrss用於維持Windows的控制,創建或者刪除線程和一些16位的虛擬MS-DOS環境。
編輯本段csrss.exe***
在正常情況下,csrss.exe位於System32文件夾中,若系統中出現兩個csrss.exe文件(其中一個位於Windows文件夾中),則很有可能是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。
編輯本段清除csrss.exe ***的方法
用系統的查找功能看看系統盤裏是否有以下幾個文件:netstart.exe、WinSocks.dll、netserv.exe、sinaproc327.exe、NMWizardA14.exe,如果有,則刪除它們。
