csrss.exe是什么進程? csrss.exe修復方法

csrss.exe，系統(tǒng)進程，是微軟客戶端、服務端運行時子系統(tǒng)，管理Windows圖形相關(guān)任務，對系統(tǒng)的正常運行非常重要，但也有可能是W32.Netsky.AB@mm等病毒創(chuàng)建的。

進程信息

進程：csrss.exe 、 csrss
進程文件：csrss or csrss.exe
進程名稱：Microsoft Client/Server Runtime Subsystem
進程類別：其他進程
出品者：Microsoft Corp
屬于：Microsoft Windows Operating System
系統(tǒng)進程：是
后臺程序：是
網(wǎng)絡相關(guān)：否
常見錯誤：未知
內(nèi)存使用：未知
安全等級 (0-5): 0
間諜軟件：否
廣告軟件：否
病毒：否
木馬：否

進程描述

英文描述：
csrss.exe is the main executable for the Microsoft Client/Server Runtime Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated
注意：csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒創(chuàng)建的。該病毒通過Email郵件進行傳播，當你打開附件時，即被感染。該蠕蟲會在受害者機器上建立SMTP服務，用以自身傳播。該病毒允許攻擊者訪問你的計算機，竊取木馬和個人數(shù)據(jù)。這個進程的安全等級是建議立即進行刪除。
介紹:Client/Server Runtime Server Subsystem，客戶端服務子系統(tǒng)，用以控制 Windows 圖形相關(guān)子系統(tǒng)。正常情況下在Windows NT/2000/XP/2003系統(tǒng)中只有一個csrss.exe進程，位于System32文件夾中，若以上系統(tǒng)中出現(xiàn)兩個csrss.exe 進程(其中一個位于 Windows 文件夾中)，或在Windows 9X/Me系統(tǒng)中出現(xiàn)該進程，則是感染了病毒。Windows Vista有兩個csrss.exe進程。
注意，正常的csrss.exe雙擊后會出現(xiàn)“不能在Win32模式下運行”的提示，終止進程后會藍屏。
根據(jù)csrss.exe的位置判斷csrss.exe的危險度
如果 csrss.exe 位于在 “C:\Program Files” 下的子目錄下，那么威脅危險度是 70% 。文件大小是 1,111,688 字節(jié) （占總出現(xiàn)比率 11% ），49,152 字節(jié)，311,808 字節(jié)，1,189,549 字節(jié)，141,606 字節(jié)，769,536 字節(jié)，1,201,827 字節(jié)，1,056,768 字節(jié)，1,175,073 字節(jié)。
如果 csrss.exe 位于在 C:\Windows\System32 下的子目錄下，那么威脅危險度是 77% 。文件大小是 2,121,216 字節(jié) （占總出現(xiàn)比率 22% ），28,160 字節(jié)，29,696 字節(jié)，20,480 字節(jié)，2,932,736 字節(jié)，470,528 字節(jié)，76,800 字節(jié)，43,072 字節(jié)。
如果 csrss.exe 位于在目錄 C:\Windows\System32\drivers下，那么威脅危險度是 64% 。文件大小是 81,920 字節(jié) （占總出現(xiàn)比率 40% ），335,872 字節(jié)，542,720 字節(jié)，6,144 字節(jié)。
如果 csrss.exe 位于在 “C:\Documents and Settings” 下的子目錄下，那么威脅危險度是 57% 。文件大小是 58,033 字節(jié) （占總出現(xiàn)比率 50% ），385,536 字節(jié)，24,576 字節(jié)。
純手工查殺木馬csrss.exe
注意：csrss.exe進程屬于系統(tǒng)進程，這里提到的木馬csrss.exe是木馬偽裝成系統(tǒng)進程
前兩天突然發(fā)現(xiàn)在C:\Program Files\下多了一個rundll32.exe文件。這個程序記得是關(guān)于登錄和開關(guān)機的，不應該在這里，而且它的圖標是98下notepad.exe的老記事本圖標，在我的2003系統(tǒng)下面很扎眼。但是當時我沒有在意。因為平時沒有感到系統(tǒng)不穩(wěn)定，也沒有發(fā)現(xiàn)內(nèi)存和CPU大量占用，網(wǎng)絡流量也正常。
這兩天又發(fā)現(xiàn)任務管理器里多了這個rundll32.exe和一個csrss.exe的進程。它和系統(tǒng)進程不一樣的地方是用戶為Administrator，就是我登錄的用戶名，而非system，另外它們的名字是小寫的，而由SYSTEM啟動的進程都是大寫的RUNDLL32.EXE和CSRSS.EXE，覺得不對勁。
然后按F3用資源管理器的搜索功能找csrss.exe，果然在C:\Windows下，大小52736字節(jié)，生成時間為12月9日12:37。而真正的csrss.exe只有6k，生成時間是2003年3月27日12:00，位于C:\Windows\Syetem32下。
于是用超級無敵的UltraEdit打開它，發(fā)現(xiàn)里面有kavscr.exe，mailmonitor一類的字符，這些都是金山毒霸的進程名。在該字符前面幾行有SelfProtect的字符。自我保護和反病毒軟件有關(guān)的程序，不是病毒就是木馬了。滅！
試圖用任務管理器結(jié)束csrss.exe進程失敗，稱是系統(tǒng)關(guān)鍵進程。先進注冊表刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相應值，注銷重登錄，該進程消失，可見它沒有象3721那樣加載為驅(qū)動程序。

12下一頁>