基本介紹
- 程式名稱:CSRSS
- 出品者:Microsoft Corp
- 常見錯誤:未知N/A
- 記憶體使用:未知N/A
- 介 紹:是用戶模式Win32子系統的一部分
- 危害:桌面圖示無法刪除等六個危害
簡要介紹,描述,注意,危害,修複方法,
簡要介紹
本進程的主要是控制圖形子系統、負責管理執行緒,並執行MS-DOS環境的圖形視窗及其他某些部分。這是一個重要的進程,他會隨系統的啟動而自動開啟並一直運行。在大多數情況下它是安全的,你不應該將其終止;但也有與其類似的病毒出現。
描述
出品者: Microsoft Corp
屬於: Microsoft Windows Operating System
系統進程: 是
後台程式: 是
使用網路: 否
硬體相關: 否
常見錯誤: 未知N/A
記憶體使用: 未知N/A
安全等級 (0-5): 0
間諜軟體: 否
廣告軟體: 否
病毒: 否
木馬: 否
介 紹: 這個是用戶模式Win32子系統的一部分。csrss代表客戶/伺服器運行子系統而且是一個基本的子系統必須一直運行。csrss用於維持Windows的控制,創建或者刪除執行緒和一些16位的虛擬MS-DOS環境。
注意
前兩天突然發現在C:\Program Files\下多了一個rundll32.exe檔案。這個程式記得是關於登錄和開關機的,不應該在這裡,而且它的圖示是98下notepad.exe的老記事本圖示,在我的2003系統下面很扎眼。但是當時我沒有在意。因為平時沒有感到系統不穩定,也沒有發現記憶體和CPU大量占用,網路流量也正常。
這兩天又發現任務管理器里多了這個rundll32.exe和一個csrss.exe的進程。它和系統進程不一樣的地方是用戶為Administrator,就是我登錄的用戶名,而非system,另外它們的名字是小寫的,而由SYSTEM啟動的進程都是大寫的RUNDLL32.EXE和CSRSS.EXE,覺得不對勁。
試圖用任務管理器結束csrss.exe進程失敗,稱是系統關鍵進程。先進註冊表刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相應值,註銷重登錄,該進程消失,可見它沒有象3721那樣載入為驅動程式。
然後要查找和它有關的檔案。仍然用系統搜尋功能,查找12月9日生成的所有檔案,然後看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的圖示也是98下的記事本圖示,它和rundll32.exe的大小都是33792位元組。
此後在12:38分生成了一個tmp.dat檔案,內容是
@echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat
很重要的一點,vista下面有兩個csrss進程,結束掉一個會立即藍屏。算是bug。
windows7下面也有兩個csrss進程。
危害
系統檔案csrss.exe出錯,極有可能是盜號木馬、流氓軟體等惡意程式所導致,其感染相關檔案並載入起來,一旦防毒軟體刪除被感染的檔案,就會導致相關組件缺失,遊戲等常用軟體運行不起來,通常會伴隨下幾種情況:
1、桌面圖示無法刪除
2、網路遊戲打不開
3、電腦無故藍屏
4、電腦沒聲音
5、桌面無法顯示
6、主頁被修改為網址導航
修複方法
csrss.exe是系統的正常進程,所在的進程檔案是csrss或csrss.exe,為windows的核心進程之一。csrss是Client/Server Runtime Subsystem的簡稱,即客戶/伺服器運行子系統,用以控制Windows圖形相關子系統,必須一直運行。csrss維持Windows的控制,創建或者刪除執行緒和16位的虛擬MS-DOS環境。
