我在任务管理器中发现一个叫做csrss.exe的进程,觉得很可疑,但又不敢随便删除,不知是不是病毒?
正常情况下在Windows NT/2000/XP/2003系统中只有一个csrss.exe进程,位于System32文件夹中,若以上系统中出现两个csrss.exe 进程(其中一个位于 Windows 文件夹中),或在Windows 9X/Me系统中出现该进程,则是感染了病毒。
Windows Vista系统有两个csrss.exe进程。
具体你参考:http://baike.baidu.com/view/29432.htm
进程文件: csrss 或者 csrss.exe
进程名称: Microsoft Client/Server Runtime Server Subsystem
描述:
csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
出品者: Microsoft Corp
属于: Microsoft Windows Operating System
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
广告软件: 否
病毒: 否
木马: 否
进程名称: Microsoft Client/Server Runtime Server Subsystem
进程类别:其他进程
英文描述:
csrss.exe is the main executable for the Microsoft Client/Server Runtime Server Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated
中文参考:
csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
出品者:Microsoft Corp
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
网络相关:No
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
介绍:Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制 Windows 图形相关子系统。正常情况下在Windows NT/2000/XP/2003系统中只有一个csrss.exe进程,位于System32文件夹中,若以上系统中出现两个csrss.exe 进程(其中一个位于 Windows 文件夹中),或在Windows 9X/Me系统中出现该进程,则是感染了病毒。Windows Vista有两个csrss.exe进程。
注意,正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示,终止进程后会蓝屏。
纯手工查杀木马csrss.exe
注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程
前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。
然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字节,生成时间为12月9日12:37。而真正的csrss.exe只有4k,生成时间是2003年3月27日12:00,位于C:\Windows\Syetem32下。
于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。灭!
试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。
然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。
此后在12:38分生成了一个tmp.dat文件,内容是
@echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS\system32\netstart.exe
好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。
汇编大约进行了1分钟,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:\Windows\System32下,后两个在当前用户的Temp文件夹里。
这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。
现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果,也是一个木马。
这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
补充:
Windows XP SP3 系统下关于该文件的信息如下:
csrss.exe - csrss - 进程管理信息 进程文件: csrss or csrss.exe
系统进程:Yes
后台程序:Yes
网络相关:No
大小:6KB
所在位置:C:\Boot Files\C_\WINDOWS\SYSTEM32
再次提醒:正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示。
可疑在哪里?
一般而言,只有一个的话是正常的,无需担心……
如果用户名是你的用户名,那肯定是病毒
如果用户名是SYSTEM,而且显示所有用户进程后只有一个csrss.exe就是正常进程
正常的系统,开机是不会运行CMD.exe的
(csrss.exe是系统的正常进程,好像是控制图形相关的系统程序,但并不排除该程序有染毒的可能)
检查一下你的启动项中有没有可疑项目.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
csrss.exe是打印机控制程序。
如果有打印机,不应删除。没打印机,可删除。
这个系统文件的进程,是正常的。但要注意是不是系统文件,正常的是在windows/system32/文件夹下。如果不是肯定是病毒。
而且正常的csrss.exe双击后会出现“不能在win32模式下运行”的提示,终止进程后会蓝屏
任务管理器有个 bbs
答:该病毒属于QQ木马病毒的一种 叫做白骨精!你用的昰珊瑚虫版本吧?建议下载一个文档流氓软件清理大师 试试看能不能清理掉 安全模式下查杀!
今天打开电脑的任务管理器,看见一个物理内存,不知道是什么东西,占百分...
答:该服务器的任务管理器如下图所示: 32位的最大限制是128GB,Windows Server 2003数据中心版可以支持,这是因为在大内存的系统上,内存管理器用来追踪物理内存的结构,需要消耗更多系统虚拟地址空间。内存管理器把每个内存页的追踪数据保存在叫做PFN数据库的数组中,而且考虑到性能因素,会把整个PFN数据库...
我电脑上在任务管理器里有个PF使用率是干什么的 有什么用
答:就是虚拟内存使用率 正常不正常看你运行的程序多少大小才行 PF的意思是页面文件,在DOS内核的系统中叫虚拟内存。在系统启动初期(未运行其他程序)时应该占用140M左右的空间。如果启动一些大型游戏或者软件的时候该数字会随着需要增多。这个数字是不断变化的,所以不存在正常值这种说法。只要你的系统没有出现...
Dns Unlocker 电脑不知道为什么出现了一个绿色叶子图标的软件名字叫做...
答:任务管理器的进程里有一个叫dnskingston的进程 右键点击这个进程选属性就能看到这个软件的安装路径了 进去把软件卸载掉,再重启下就行了 不过记得在网络设置里把TCP/IP协议里的DNS服务器修改好 这软件会把DNS服务器地址给修改掉,如果是路由器直接分配的DNS的话就选自动就可以了 ...
Windows系统进程应用小知识
答:System Idle Process为何物问:在使用Windows XP的过程中,按“Ctrl+Alt+Del”键调出任务管理器,在进程中我发现一个名为“System Idle Process”的进程,它往往占用了大部分CPU资源,经常是80%以上,请问为什么它占用了那么多资源?答:你误解了“System Idle Process”进程的意思了,这里的80%并不是你所想的占用CPU的...
用windows任务管理器查看了一下CPU使用记录,有时候跳动的很快,是怎么...
答:这个问题是很正常的,windows在装完以后我们会去设置一点东西,这些东西导致了windows最主要的一个问题,就是叫做系统中断。win7,winxp,可以通过一些别的手段看到,但是在win8.1的环境下,你就可以清楚的看到一个叫做系统中断的程序,这是因为自己设置于windows不一样造成的。偶尔在运行一些别的软件和...
win10系统右下角总是有个广告怀疑是一个叫做多彩便签的垃圾软件,怎么也...
答:1、删除弹框模块 ①在状态栏上右键打开【任务管理器】;②在当前进程中找到弹窗的进程,鼠标右击,选择【打开文件所在的位置】,之后定位到弹窗广告所在的地方,删除即可。误删正常程序可能导致该软件无法正常运行,进行删除操作前请先确认程序是否为广告模块。2、关闭通知中心弹窗 这种弹窗是Win10系统自带的...
WINDOWS任务管理器进程中taskmgr是什么进程,怎样让他便低CPU占有率...
答:我家有2台电脑,一台taskmgr进程占CPU2%(CPU的HZ1.5G)左右,而另一台则占CPU60%_80%(CPU的HZ2G),这是什么进程?怎样调低?会的大哥大姐请告诉我,不胜感激若是任务管理器的进程那... 我家有2台电脑,一台taskmgr进程占CPU2%(CPU的HZ1.5G)左右,而另一台则占CPU60%_80%(CPU的HZ2G),这是什么进程?怎样调低...
任务管理器进程带*号的是什么进程
答:任务管理器实际上是一个程序,叫做taskmgr.exe,如下图:可以通过在任务栏上点击右键,启动任务管理器打开 使用他可以查看系统正在运行的进程,并随时终止进程的运行。并不是所有的进程都可以终止,有的进程是系统相关的,不能随便终止,否则系统不能正常运行 ...
教你解决windows10更新后点击任务栏没有响应的办法
答:下面小编就来教大家解决windows10更新后点击任务栏没有响应的办法。解决方法如下:方法一:1、在开始菜单上右键,点击任务管理器,或者ctrl+alt+delete点击任务管理器。2、打开任务管理器如图,首先点击第一列【名称】,以按照名称排序,使得进程名在列表中保持不动。3、然后在下边找到一个叫做Windows资源...
