Z******i
发帖数: 106 | 1 csrss.exe系统进程介绍
[csrss.exe]
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描 述: 客户端服务子系统,用以控制Windows图形相关子系统。
介 绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子
系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者
删除线程和一些16位的虚拟MS-DOS环境。
纯手工查杀木马csrss.exe
注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统
进程
前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记
得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事
本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不
稳定,也没有发现内存和CPU大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个rundll32. |
|
x******n
发帖数: 1 | 2 csrss 频繁出对话框, 求助。
WinXP,开机不长时间,csrss就频繁跳出对话框,
'AM' is not a valid integer value.
搜索电脑csrss,发现
csrss.exe, C:program Files, 179 KB
CSRSS.EXE-03323C54.pf, C:windowsprefetch, 25 KB
CSRSS.EXE-35A6A30E.pf, C:windowsprefetch, 23 KB
csrss.exe, C:windowssystem32, 6kb
CSRSS.EX_, C:I386, 3KB
使用hijackthis, 发现以下内容,请各位大侠指正。
Logfile of HijackThis v1.99.1
Scan saved at 10:33:52 AM, on 12/24/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:WI |
|
I**R
发帖数: 1309 | 3 googled it, it is said to be a virus here. but other links tell me different
ly. please help.
http://www.liutilities.com/products/wintaskspro/processlibrary/csrss/
The following link further says "Note: The csrss.exe file is located in the
folder C:\Windows\System32. In other cases, csrss.exe is a virus, spyware, t
rojan or worm!", but I found 2 files with this name in my pc 1 in the above
mentioned folder, and the other in
c:/windows/servicepackfiles/i386, should I be worried?
Many thanks!
http... 阅读全帖 |
|
h***d
发帖数: 30 | 4 According to the recent news, a Russian hacker just took advantage of some
vulnerability in csrss.
The Microsoft patch hasn't been released yet. |
|
p**5
发帖数: 2544 | 5 4: kd> !analyze -v
****************************************************************************
***
*
*
* Bugcheck Analysis
*
*
*
****************************************************************************
***
CRITICAL_PROCESS_DIED (ef)
A critical system process died
Arguments:
Ar... 阅读全帖 |
|
n*w
发帖数: 3393 | 6 我机器上内存状况。就浏览网页就用了3223.5 MB。
ProcessName Handle WorkingSetSize in MB
----------- ------ -------------- -----
chrome.exe 15372 243818496 232.5
svchost.exe 780 186720256 178.1
chrome.exe 4100 151928832 144.9
chrome.exe 6972 140869632 134.3
chrome.exe 9060 134213632 128
chrome.exe 1452 112017408 106.8
sidebar.exe ... 阅读全帖 |
|
f****y
发帖数: 258 | 7 每次开机特别慢,而且一些设置改变了
有csrss.exe还有一堆的cmd.exe在莫名其妙的运行
占了大量的内存。气死了,这些发明病毒的人生了孩子没piyan
不知道用什么软件可以杀毒? |
|
p*****s
发帖数: 344 | 8 Uniprocessor Boot Image
Linux bare minimal needs, vmlinuz 1.7MB
Windows bare minimal needs 9.9MB:
kernel mode (no drivers) NTOSKRNL.EXE, HAL.DLL, GDIPLUS.DLL, WIN32K.SYS
6.9MB
+ user mode (no drivers) NTDLL.DLL, KERNEL32.DLL, USER32.DLL, CSRSS.EXE
3MB
http://widefox.pbworks.com/Boot |
|
z***e
发帖数: 5393 | 9 不要用自带的task manager,要用process explorer关,有一定顺序(主要是涉及到
csrss.exe的部分),具体忘了,当时training作了笔记的。
可以关到只有一个dos窗口和一个接受鼠标键盘input的service,一共占内存50-70M的
样子,在这个基础上,可以用命令行启动你需要的部分或者直接启动ie. |
|
s***t
发帖数: 13743 | 10 task manager 中显示的
CSRSS.EXE
LSASS.EXE
SMSS.EXE
全是大写,是不是中招了? |
|
w*******e
发帖数: 1622 | 11 你这个看着够累的, 是什么版本的HiJackthis 呀?
连文件名都得自己辨认...... |
|
f****y
发帖数: 258 | 12 每次开机特别慢,而且一些设置改变了
有csrss.exe还有一堆的cmd.exe在莫名其妙的运行
占了大量的内存。气死了,这些发明病毒的人生了孩子没piyan
不知道用什么软件可以杀毒? |
|
k*******a
发帖数: 25 | 13 McAfee 可以查出来 "IRCBot.gen.s" 在/winntsystem32/drivers/csrss.exe,但是杀
不了。
求助杀毒 |
|
m******y
发帖数: 511 | 14 【 以下文字转载自 Software 讨论区 】
【 原文由 military 所发表 】
最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就
能正常运行)
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系
统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减
少)
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winm |
|
r****y
发帖数: 26819 | 15 问:怎么才能关掉一个用任务管理器关不了的进程?我前段时间发现我的机子里多了一个
进程,只要开机就在,我用任务管理器却怎么关也关不了。
答1:杀进程很容易,随便找个工具都行。比如IceSword。关键是找到这个进程的启动
方式,不然下次重启它又出来了。顺便教大家一招狠的。其实用Windows自带的工具就能
杀大部分进程:
c:\>ntsd -c q -p PID
只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32
子系统,ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器
附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd
自动就获得了debug权限,从而能杀掉大部分的进程。ntsd会新开一个调试窗口,本来在
纯命令行下无法控制,但如果只是简单的命令,比如退出(q),用-c参数从命令行传递就
行了。Ntsd 按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。用法:开个
cmd.exe窗口,输入:
ntsd -c q -p PID
把最后那个PID,改成你要终止 |
|
f**s
发帖数: 35 | 16 just for fun.
正确答案是两个:
system process: 这是windows内核。
csrss: 这是windows 的桌面管理系统。 |
|
f**s
发帖数: 35 | 17 just for fun.
正确答案是两个:
system process: 这是windows内核。
csrss: 这是windows 的桌面管理系统。 |
|
|
|
f****y
发帖数: 258 | 20 每次开机特别慢,而且一些设置改变了
有csrss.exe还有一堆的cmd.exe在莫名其妙的运行
占了大量的内存。气死了,这些发明病毒的人生了孩子没piyan
不知道用什么软件可以杀毒? |
|
P***a
发帖数: 4213 | 21 不用担心,这个是正常的系统进程,另一个目录是sp更新的文件。
different
the
t
above |
|
|
z********r
发帖数: 5804 | 23 is 特洛伊木马。
在国内的时候上网应该有账号密码被盗,然后我回来一上,木马都移植到我现在的电脑。
扫描了一下,现在我的电脑已经充满了各种木马,主要是system32文件夹,包括system
.exe, csrss.dll... |
|
