csrss.exe是什么,csrss.exe是什么进程?
本文目录索引
- 1,csrss.exe是什么进程?
- 2,csrss.exe是什么意思?
- 3,csrss.exe是什么启动项?可以禁用吗?
- 4,csrss.exe是什么进程 csrss.exe进程可以结束吗
- 5,csrss.exe是什么
- 6,csrss.exe是什么进程
- 7,csrss.exe是什么程序
- 8,csrss.exe 是病毒吗?怎么删除?
- 9,怎么看进程里的csrss.exe是不是病毒?
1,csrss.exe是什么进程?
csrss.exe是什么进程?它是微软客户端、服务端运行时子系统,管理Windows图形相关任务,对系统的正常运行非常重要。
CSRSS.EXE是系统必须运行的进程,但是由于它属于系统浏览器进程里面的,所以不受任何防火墙限制,因此也就被很多病毒或者木马利用。它们通 过劫持这个进程来破坏网民的电脑。在一些杀毒软件判定后,会直接进行清除导致很多用户无法正常运行,也正是因为他是系统进程也令很多用户非常困惑是否应该关闭。
近期,许多盗号木马下载器都以感染Windows系统文件csrss.exe文件作为免杀方式,绕过杀毒软件及网游保护系统。一旦受感染的系统文件被网络游戏加载到内存,便会将各种存于服务器上的网游盗号木马下载到用户电脑中(特征是扩展名为drv),盗取《DNF》,《穿越火线》,《天龙八部》等流行网游的 账号密码。同时,也会在游戏过程中频繁卡机,如果被一些没有系统文件修复功能的杀毒软件将被病毒感染的csrss.exe文件删除后,甚至会导致系统崩溃.
简单的来说,普通的杀毒软件进行查杀后,对于csrss.exe并没有做到完美修复,这样导致出现以上问题,那么我们该如何去做呢?
首先,下载终身免费杀毒软件 金山毒霸2011
运行免费杀毒软件 金山毒霸2011,使用全盘查杀或者快速扫描,清除电脑内盗号木马以及病毒。
使用金山毒霸中系统修复功能,确保您的电脑系统文件恢复正常
2,csrss.exe是什么意思?
CSRSS
开放分类: 电脑、进程
进程文件: csrss 或者 csrss.exe
进程名称: Microsoft Client/Server Runtime Server Subsystem
描述:
csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
出品者: Microsoft Corp
属于: Microsoft Windows Operating System
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
广告软件: 否
病毒: 否
木马: 否
介 绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。
纯手工查杀木马csrss.exe
注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程
前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。
然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字节,生成时间为12月9日12:37。而真正的csrss.exe只有4k,生成时间是2003年3月27日12:00,位于C:\Windows\Syetem32下。
于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。灭!
试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。
然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。
此后在12:38分生成了一个tmp.dat文件,内容是
@echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat
3,csrss.exe是什么启动项?可以禁用吗?
客户端服务子系统,用以控制Windows图形相关子系统。正常情况下系统中只有一个csrss.exe进程,正常路径在System32文件夹中,若出现两个,则其中一个(位于Windows文件夹中)是新浪利用了系统漏洞传播的一个类似于病毒的小插件。它会产生名为nmgamex.dll、sinaproc327.exe、csrss.exe三个常驻文件,并且在系统启动项中自动加载,在桌面产生一个名为“新浪游戏总动园”的快捷方式,不仅如此,新浪还将NMgamex.dll文件与系统启动文件rundll32.exe进行绑定,并且伪造系统文件csrss.exe,产生一个同名的文件与系统绑定加载到系统启动项内,无法直接关闭系统进程后删除。手工清除方法:先先修改注册表,清除名为启动项:NMGameX.dll、csrss.exe,然后删除System32\NMGameX.dll、System32\sinaproc327.exe和Windows\NMWizardA14.exe三个文件,再修改Windows文件夹中的csrss.exe文件为任意一个文件名,从新启动计算机后删除修改过的csrss.exe文件。
4,csrss.exe是什么进程 csrss.exe进程可以结束吗
CSRSS.EXE是系统必须运行的进程,但是由于它属于系统浏览器进程里面的,所以不受任何防火墙限制,因此也就被很多病毒或者木马利用。它们通 过劫持这个进程来破坏网民的电脑。在一些杀毒软件判定后,会直接进行清除导致很多用户无法正常运行,也正是因为他是系统进程也令很多用户非常困惑是否应该关闭。 如果您分辨不清自己电脑该进程是否安全,请用免费杀毒软件金山毒霸 ,进行快速查杀以及系统修复,即可消除您的顾虑。
5,csrss.exe是什么
csrss.exe通常是系统的正常进程,所在的进程文件是csrss或csrss.exe,是微软客户端、服务端运行时子系统,windows的核心进程之一。管理Windows图形相关任务,对系统的正常运行非常重要。 csrss是Client/Server Runtime Server Subsystem的简称,即客户/服务器运行子系统,用以控制Windows图形相关子系统,必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。 扩展资料 系统文件csrss.exe出错,极有可能是盗号木马、流氓软件等恶意程序所导致,其感染相关文件并加载起来,一旦杀毒软件删除被感染的文件,就会导致相关组件缺失,游戏等常用软件运行不起来,通常会伴随下几种情况: 1、桌面图标无法删除。 2、网络游戏打不开。 3、电脑无故蓝屏。 4、电脑没声音。 5、桌面无法显示。 6、主页被修改为网址导航。
6,csrss.exe是什么进程
csrss - csrss.exe - 进程信息
进程文件: csrss 或者 csrss.exe
进程名称: Microsoft Client/Server Runtime Server Subsystem
描述:
csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。
这个时系统必须的进程,但是由于它属于系统浏览器进程里面的,所以不受任何防火墙限制,因此也就被很多病毒或者木马利用。它们通过劫持这个进程来毒害你的电脑,具体判断是不是病毒还是要通过杀毒软件。至于你问病毒时干什么用的。。。我无语,因为很多病毒都会利用这个进程,我也无法把所有这些病毒的用途都列出来
7,csrss.exe是什么程序
csrss - csrss.exe - 进程信息
进程文件: csrss 或者 csrss.exe
进程名称: Microsoft Client/Server Runtime Server Subsystem
描述:
csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制Windows图形相关子系统。正常情况下在Windows NT4/2000/XP/2003系统中只有一个CSRSS.EXE进程,正常位于System32文件夹中,若以上系统中出现两个(其中一个位于Windows文件夹中),或在Windows 9X/Me系统中出现该进程,则是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外,目前新浪利用了系统漏洞传播的一个类似于病毒的小插件,它会产生名为nmgamex.dll、sinaproc327.exe、csrss.exe三个常驻文件,并且在系统启动项中自动加载,在桌面产生一个名为“新浪游戏总动园”的快捷方式,不仅如此,新浪还将Nmgamex.dll文件与系统启动文件rundll32.exe进行绑定,并且伪造系统文件csrss.exe,产生一个同名的文件与系统绑定加载到系统启动项内,无法直接关闭系统进程后删除。手工清除方法:先先修改注册表,清除名为启动项:NMGameX.dll、csrss.exe,然后删除System32\NMGameX.dll、System32\sinaproc327.exe和Windows\NMWizardA14.exe三个文件,再修改Windows文件夹中的csrss.exe文件为任意一个文件名,从新启动计算机后删除修改过的csrss.exe文件。
总之,杀毒软件没查出病毒,就没事拉~~
8,csrss.exe 是病毒吗?怎么删除?
csrss.exe csrss.exe - csrss - 进程管理信息 进程文件: csrss or csrss.exe
进程名称: Microsoft Client/Server Runtime Server Subsystem
进程类别:其他进程
英文描述:
csrss.exe is the main executable for the Microsoft Client/Server Runtime Server Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated
中文参考:
csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
出品者:Microsoft Corp
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
网络相关:No
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
介绍:Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制 Windows 图形相关子系统。正常情况下在Windows NT/2000/XP/2003系统中只有一个csrss.exe进程,位于System32文件夹中,若以上系统中出现两个csrss.exe 进程(其中一个位于 Windows 文件夹中),或在Windows 9X/Me系统中出现该进程,则是感染了病毒。Windows Vista有两个csrss.exe进程。
注意,正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示,终止进程后会蓝屏。
纯手工查杀木马csrss.exe
注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程
前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。
然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字节,生成时间为12月9日12:37。而真正的csrss.exe只有4k,生成时间是2003年3月27日12:00,位于C:\Windows\Syetem32下。
于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。灭!
试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。
然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。
此后在12:38分生成了一个tmp.dat文件,内容是
@echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS\system32\netstart.exe
好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。
汇编大约进行了1分钟,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:\Windows\System32下,后两个在当前用户的Temp文件夹里。
这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。
现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果,也是一个木马。
这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
补充:
Windows XP SP3 系统下关于该文件的信息如下:
csrss.exe - csrss - 进程管理信息 进程文件: csrss or csrss.exe
系统进程:Yes
后台程序:Yes
网络相关:No
大小:6KB
所在位置:C:\Boot Files\C_\WINDOWS\SYSTEM32
再次提醒:正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示。
创建日期:2007年6月1日 星期五, 0:00:00。
9,怎么看进程里的csrss.exe是不是病毒?
打开进程所在目录正常情况下在Windows NT/2000/XP/2003系统中只有一个csrss.exe进程,位于System32文件夹中,若以上系统中出现两个csrss.exe 进程(其中一个位于 Windows 文件夹中),或在Windows 9X/Me系统中出现该进程,则是感染了病毒。 电脑病毒的特征: 1、传染性。正常的计算机程序不会将自身的代码强行链接到其他程序上,但病毒却使自身程序强行传染到其他程序。并且通过各种渠道传播。 2、隐蔽性。病毒的代码一般都很短小精悍,之所以这样,也是为了隐藏。计算机病毒一般只有几百KB,甚至1KB。 3、潜伏性。计算机病毒感染计算机后一般不会马上发作,它可以长期隐藏,只有在满足其特定条件时才表现破坏模块,只有这样它才能进行广泛的传播。 4、破坏性。任何病毒,只要侵入系统,都会对系统或应用程序产生不同效果的影响。木马盗取网络账号,蠕虫让计算机瘫痪。