windows之家1.电脑Csrss.Exe刚开机发现cpu占用百分百,以为中毒可又重
进程文件: csrss or csrss。
exe 进程名称: Client/Server Runtime Server Subsystem 描 述: 客户端服务子系统,用以控制Windows图形相关子系统。 介 绍:Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制 Windows 图形相关子系统。
正常情况下在 Windows NT/2000/XP/2003 系统中只有一个 csrss。 exe 进程,正常位于 System32 文件夹中,若以上系统中出现两个 csrss。
exe 进程(其中一个位于 Windows 文件夹中),或在 Windows 9X/Me 系统中出现该进程,则是感染了病毒。 纯手工查杀木马csrss。
exe 注意:csrss。exe进程属于系统进程,这里提到的木马csrss。
exe是木马伪装成系统进程 前两天突然发现在C:Program Files下多了一个rundll32。 exe文件。
这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad。exe的老记事本图标,在我的2003系统下面很扎眼。
但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个rundll32。exe和一个csrss。
exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32。
EXE和CSRSS。EXE,觉得不对劲。
然后按F3用资源管理器的搜索功能找csrss。exe,果然在C:Windows下,大小52736字节,生成时间为12月9日12:37。
而真正的csrss。 exe只有4k,生成时间是2003年3月27日12:00,位于C:WindowsSyetem32下。
于是用超级无敌的UltraEdit打开它,发现里面有kavscr。exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。
在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。
灭! 试图用任务管理器结束csrss。exe进程失败,称是系统关键进程。
先进注册表删除[HKEY_LOCAL_]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。 然后要查找和它有关的文件。
仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss。exe、rundll32。
exe和kavsrc。exe,但kavsrc。
exe的图标也是98下的记事本图标,它和rundll32。 exe的大小都是33792字节。
此后在12:38分生成了一个tmp。dat文件,内容是 @echo off debug C:DOCUME~1ADMINI~1LOCALS~1Temp mp。
dat C:DOCUME~1ADMINI~1LOCALS~1Temp mp。out copy C:DOCUME~1ADMINI~1LOCALS~1Temp mp。
dat C:WINDOWSsystem32 etstart。 exe>C:DOCUME~1ADMINI~1LOCALS~1Temp mp。
out del C:DOCUME~1ADMINI~1LOCALS~1Temp mp。dat >C:DOCUME~1ADMINI~1LOCALS~1Temp mp。
out del C:DOCUME~1ADMINI~1LOCALS~1Temp mp。in >C:DOCUME~1ADMINI~1LOCALS~1Temp mp。
out C:WINDOWSsystem32 etstart。 exe 好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。
汇编大约进行了1分钟,在12:39生成了netstart。 exe、WinSocks。
dll、netserv。exe和一个0字节的tmp。
out文件。netstart。
exe大小117786字节,另两个大小也是52736字节。前两个位于C:WindowsSystem32下,后两个在当前用户的Temp文件夹里。
这样我就知道为什么我的系统没有感染的表现了。netstart。
exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。
这个监狱里都是我的战利品,不过还很少。 现在木马已经清除了。
使用搜索引擎查找关于csrss。exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。
搜索netstart。 exe只有一个日文网站结果,也是一个木马。
这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成了一个快捷方式,名为dos71cd。zip,它是我那天从某网站下载的DOS7。
11版启动光盘,但是当时下载失败了。 现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
2.win10的问题
方法一:右击任务栏,从弹出的右键菜单中选择“任务管理器”项,或者直接按“Ctrl” “Alt” “Del”组合键打开“任务管理器”界面。
从打开的“任务管理器”窗口中,切换到“进程”选项卡,选中“桌面窗口管理器”项,点击“结束进程”按钮以结果此进程。 此时将弹出如图所示的“任务管理器”警告窗口,在此直接勾选“放弃未保存的数据并关闭”项,点击“关闭”按钮。
此时“桌面窗口管理器”将自动重启,之后就可以正常使用“开始”菜单啦。 方法二(终极方法):通过修改“组策略”来修复“开始”菜单打不开的故障。
直接按“Windows R”打开“运行”窗口,或者点击“开始”菜单,从其右键菜单中选择“运行”项来打开。 打开的“组策略”窗口中,依次展开“计算机管理”-“Windows设备”-“安全设置”-“本地策略”-“安全选项”项,在右侧找到“用户账户控制:用于内置管理员账户的管理员批准模式”项并右击,从其右键菜单中选择“属性”项。
此时将打开“用户账户控制:用于内置管理员账户的管理员批准模式”属性窗口,勾选”已启用“项,点击”确定“按钮。如图所示: 接下来只需要重启一下计算机,就可以正常使用“开始”菜单啦。
右击“开始”菜单,从其右侧菜单中选择“关机或注销”-“重启”项即可重启计算机。 接下来只需要重启一下计算机,就可以正常使用“开始”菜单啦。
右击“开始”菜单,从其右侧菜单中选择“关机或注销”-“重启”项即可重启计算机。 从打开的“系统配置”窗口中,切换到“引导”选项卡,勾选“安全引导”项,点击“确定”按钮,并重启一下计算机进入安全模式。
在“安全模式”界面中,依次进入“设置”-“更新和安全”界面中,切换到“恢复”选项卡,点击“重置此电脑”下方的“开始”按钮以重置系统,实现重启安装Win10操作。 当然,如果能进入“疑难解答”界面时,直接点击“重置此电脑”项以实现重装安装Win10正式版系统操作。
3.里面很多,那么怎么找到csrss.exe 进程在注册表的路径
点击 开始—— 运行,或者WIN + R键 快截键打开运行对话框,输入 regedit 打开注册表编辑 器。 在编辑菜单中选择查找或者快截键 CTRL + F 打开查找对话框 :
转载请注明出处windows之家 » win10如何查看csrss进程ID号