csrss.exe是什么进程

csrss.exe是什么进程

csrss.exe csrss.exe - csrss - 进程管理信息 进程文件： csrss or csrss.exe 进程名称： Microsoft Client/Server Runtime Server Subsystem 进程类别：其他进程 英文描述： csrss.exe is the main executable for the Microsoft Client/Server Runtime Server Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated 中文参考： csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意：csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播，当你打开附件时，即被感染。该蠕虫会在受害者机器上建立SMTP服务，用以自身传播。该病毒允许攻击者访问你的计算机，窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。 出品者：Microsoft Corp 属于：Microsoft Windows Operating System 系统进程：Yes 后台程序：Yes 网络相关：No 常见错误：N/A 内存使用：N/A 安全等级 (0-5): 0 间谍软件：No 广告软件：No 病毒：No 木马：No 进程文件: csrss or csrss.exe 进程名称: Client/Server Runtime Server Subsystem 介绍:Client/Server Runtime Server Subsystem，客户端服务子系统，用以控制 Windows 图形相关子系统。正常情况下在Windows NT/2000/XP/2003系统中只有一个csrss.exe进程，位于System32文件夹中，若以上系统中出现两个csrss.exe 进程(其中一个位于 Windows 文件夹中)，或在Windows 9X/Me系统中出现该进程，则是感染了病毒。Windows Vista有两个csrss.exe进程。 注意，正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示，终止进程后会蓝屏。 纯手工查杀木马csrss.exe 注意：csrss.exe进程属于系统进程，这里提到的木马csrss.exe是木马伪装成系统进程 前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关唤梁机的，不应该在这里，而且它的图标是98下notepad.exe的老记事本图标，在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定，也没有发现内存和CPU大量占用，网络流量也正常。 这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户和宴运为Administrator，就是我登录的用户名，而非system，另外它们的名字是小写的，而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE，觉得不对劲。 然后按祥返F3用资源管理器的搜索功能找csrss.exe，果然在C:\Windows下，大小52736字节，生成时间为12月9日12:37。而真正的csrss.exe只有4k，生成时间是2003年3月27日12:00，位于C:\Windows\Syetem32下。 于是用超级无敌的UltraEdit打开它，发现里面有kavscr.exe，mailmonitor一类的字符，这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序，不是病毒就是木马了。灭！ 试图用任务管理器结束csrss.exe进程失败，称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值，注销重登录，该进程消失，可见它没有象3721那样加载为驱动程序。 然后要查找和它有关的文件。仍然用系统搜索功能，查找12月9日生成的所有文件，然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe，但kavsrc.exe的图标也是98下的记事本图标，它和rundll32.exe的大小都是33792字节。 此后在12:38分生成了一个tmp.dat文件，内容是 @echo off debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out C:\WINDOWS\system32\netstart.exe 好像是用debug汇编了一段什么程序，这年头常用debug的少见，估计不是什么善茬，因为商业程序员都用Delphi、PB等大程序写软件。 汇编大约进行了1分钟，在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节，另两个大小也是52736字节。前两个位于C:\Windows\System32下，后两个在当前用户的Temp文件夹里。 这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行，因为我在任务管理器中没有见过它。把这些文件都删除，我的办法是用winrar压缩并选中完成后删除源文件，然后在rar文件注释中做说明，放一个文件夹里，留待以后研究。这个监狱里都是我的战利品，不过还很少。 现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容，发现结果不少，有QQ病毒，传奇盗号木马，新浪游戏病毒，但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果，也是一个木马。 这个病毒是怎么进入我的电脑的呢？搜索时发现在12月9日12:36分生成了一个快捷方式，名为dos71cd.zip，它是我那天从某网站下载的DOS7.11版启动光盘，但是当时下载失败了。现在看来根本就不是失败，是因为这个网站的链接本来就是一段网页注入程序，点击后直接把病毒下载来了。 补充： Windows XP SP3 系统下关于该文件的信息如下： csrss.exe - csrss - 进程管理信息 进程文件： csrss or csrss.exe 系统进程：Yes 后台程序：Yes 网络相关：No 大小：6KB 所在位置：C:\Boot Files\C_\WINDOWS\SYSTEM32 再次提醒：正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示。 创建日期：2007年6月1日 星期五, 0:00:00。 如果 csrss.exe 位于在 "C:\Program Files" 下的子目录下，那么威胁危险度是 70% 。文件大小是 1,111,688 字节 (占总出现比率 11% )，49,152 字节，311,808 字节，1,189,549 字节，141,606 字节，769,536 字节，1,201,827 字节，1,056,768 字节，1,175,073 字节。 如果 csrss.exe 位于在 C:\Windows\System32 下的子目录下，那么威胁危险度是 77% 。文件大小是 2,121,216 字节 (占总出现比率 22% )，28,160 字节，29,696 字节，20,480 字节，2,932,736 字节，470,528 字节，76,800 字节，43,072 字节。 如果 csrss.exe 位于在目录 C:\Windows\System32\drivers下，那么威胁危险度是 64% 。文件大小是 81,920 字节 (占总出现比率 40% )，335,872 字节，542,720 字节，6,144 字节。 如果 csrss.exe 位于在 "C:\Documents and Settings" 下的子目录下，那么威胁危险度是 57% 。文件大小是 58,033 字节 (占总出现比率 50% )，385,536 字节，24,576 字节。