1. 首頁 > 生活經驗 > >

csrss exe是什么進程 csrs.exe

知識經驗


csrss exe是什么進程 csrs.exe

文章插圖
大家好,小跳來為大家解答以上的問題 。csrs.exe,csrss exe是什么進程這個很多人還不知道,現在讓我們一起來看看吧!
1、進程文件: csrss or csrss.exe進程名稱: Client/Server Runtime Server Subsystem描述: 客戶端服務子系統,用以控制Windows圖形相關子系統 。
2、介紹:Client/Server Runtime Server Subsystem,客戶端服務子系統,用以控制 Windows 圖形相關子系統 。
3、正常情況下在 Windows NT/2000/XP/2003 系統中只有一個 csrss.exe 進程,正常位于 System32 文件夾中 , 若以上系統中出現兩個 csrss.exe 進程(其中一個位于 Windows 文件夾中) , 或在 Windows 9X/Me 系統中出現該進程 , 則是感染了病毒 。
4、純手工查殺木馬csrss.exe注意:csrss.exe進程屬于系統進程,這里提到的木馬csrss.exe是木馬偽裝成系統進程前兩天突然發現在C:Program Files下多了一個rundll32.exe文件 。
5、這個程序記得是關于登錄和開關機的 , 不應該在這里 , 而且它的圖標是98下notepad.exe的老記事本圖標,在我的2003系統下面很扎眼 。
6、但是當時我沒有在意 。
7、因為平時沒有感到系統不穩定,也沒有發現內存和CPU大量占用,網絡流量也正常 。
8、這兩天又發現任務管理器里多了這個rundll32.exe和一個csrss.exe的進程 。
9、它和系統進程不一樣的地方是用戶為Administrator,就是我登錄的用戶名,而非system , 另外它們的名字是小寫的 , 而由SYSTEM啟動的進程都是大寫的RUNDLL32.EXE和CSRSS.EXE,覺得不對勁 。
10、然后按F3用資源管理器的搜索功能找csrss.exe,果然在C:Windows下,大小52736字節,生成時間為12月9日12:37 。
11、而真正的csrss.exe只有4k,生成時間是2003年3月27日12:00,位于C:WindowsSyetem32下 。
12、于是用超級無敵的UltraEdit打開它,發現里面有kavscr.exe,mailmonitor一類的字符,這些都是金山毒霸的進程名 。
13、在該字符前面幾行有SelfProtect的字符 。
14、自我保護和反病毒軟件有關的程序,不是病毒就是木馬了 。
15、滅!試圖用任務管理器結束csrss.exe進程失敗 , 稱是系統關鍵進程 。
16、先進注冊表刪除[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]和v[Runservice]下相應值,注銷重登錄,該進程消失 , 可見它沒有象3721那樣加載為驅動程序 。
17、然后要查找和它有關的文件 。
18、仍然用系統搜索功能 , 查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的圖標也是98下的記事本圖標,它和rundll32.exe的大小都是33792字節 。
19、此后在12:38分生成了一個tmp.dat文件,內容是@echo offdebug C:DOCUME~1ADMINI~1LOCALS~1Tempmp.dat C:DOCUME~1ADMINI~1LOCALS~1Tempmp.outcopy C:DOCUME~1ADMINI~1LOCALS~1Tempmp.dat C:WINDOWSsystem32etstart.exe>C:DOCUME~1ADMINI~1LOCALS~1Tempmp.outdel C:DOCUME~1ADMINI~1LOCALS~1Tempmp.dat >C:DOCUME~1ADMINI~1LOCALS~1Tempmp.outdel C:DOCUME~1ADMINI~1LOCALS~1Tempmp.in >C:DOCUME~1ADMINI~1LOCALS~1Tempmp.outC:WINDOWSsystem32etstart.exe好像是用debug匯編了一段什么程序,這年頭常用debug的少見,估計不是什么善茬,因為商業程序員都用Delphi、PB等大程序寫軟件 。
20、匯編大約進行了1分鐘,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一個0字節的tmp.out文件 。
21、netstart.exe大小117786字節,另兩個大小也是52736字節 。
22、前兩個位于C:WindowsSystem32下,后兩個在當前用戶的Temp文件夾里 。
23、這樣我就知道為什么我的系統沒有感染的表現了 。
24、netstart.exe并沒有一直在運行 , 因為我在任務管理器中沒有見過它 。
25、把這些文件都刪除,我的辦法是用winrar壓縮并選中完成后刪除源文件,然后在rar文件注釋中做說明,放一個文件夾里,留待以后研究 。
【csrss exe是什么進程 csrs.exe】26、這個監獄里都是我的戰利品,不過還很少 。
27、現在木馬已經清除了 。
28、使用搜索引擎查找關于csrss.exe的內容,發現結果不少,有QQ病毒,傳奇盜號木馬 , 新浪游戲病毒 , 但是文件大小和我中的這個都不一樣 。
29、搜索netstart.exe只有一個日文網站結果,也是一個木馬 。
30、這個病毒是怎么進入我的電腦的呢?搜索時發現在12月9日12:36分生成了一個快捷方式 , 名為dos71cd.zip , 它是我那天從某網站下載的DOS7.11版啟動光盤,但是當時下載失敗了 。
31、現在看來根本就不是失敗,是因為這個網站的鏈接本來就是一段網頁注入程序,點擊后直接把病毒下載來了 。
本文到此分享完畢,希望對大家有所幫助 。