csrss.exe怎么删除 csrss.exe删除方法【教程】

若发现异常csrss.exe进程并伴蓝屏、图标无法删除、主页篡改，即为伪装蠕虫病毒；其真实文件在c:\windows\system32\，病毒副本藏于inetsrv\、winnt\等非标路径并注册自启，需通过安全模式删文件、清理Run键值、命令行解卷保护、关闭系统还原、用SREng修复浏览器劫持五步彻底清除。

如果您发现系统中存在异常的csrss.exe进程，且伴随蓝屏、桌面图标无法删除、主页被篡改等现象，则很可能是伪装成系统文件的蠕虫病毒。真实的csrss.exe位于c:\windows\system32\目录下，受系统保护不可删除；而病毒副本常藏匿于c:\windows\system32\inetsrv\、c:\winnt\等非标准路径，并通过注册表自启动。以下是多种安全有效的删除方法：

一、进入安全模式后手动清除病毒文件

安全模式下多数恶意驱动与服务不加载，可规避进程占用和权限拦截，便于定位并删除伪装文件。

1、重启计算机，在Windows启动徽标出现前反复按键，调出高级启动选项。

2、使用方向键选择“安全模式”，按回车确认进入。

3、打开“我的电脑”或“此电脑”，依次点击“工具→文件夹选项→查看”标签页。

4、勾选“显示隐藏的文件、文件夹和驱动器”，取消勾选“隐藏受保护的操作系统文件（推荐）”和“隐藏已知文件类型的扩展名”。

5、在弹出的警告窗口中点击“是”以确认更改。

6、依次导航至以下路径，查找并彻底删除所有名为csrss.exe的可疑文件：c:\windows\system32\inetsrv\csrss.exe、c:\winnt\csrss.exe、c:\windows\system32\comadevent.dll、c:\windows\system32\combohevent.dll。

二、禁用病毒自启动注册表项

病毒通过注册表Run键值实现开机自动运行，清除对应条目可阻断其持久化机制，防止重启后再生。

1、按下Win + R组合键，输入regedit，回车打开注册表编辑器。

2、导航至路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。

3、在右侧窗格中查找名称为systemsars32的字符串值。

4、右键单击该条目，选择“删除”，确认操作。

5、继续检查以下路径是否存在异常项：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，一并清理。

三、使用命令行解除系统卷保护并删除残留

部分病毒将自身写入System Volume Information目录并设置严格权限，需通过cacls命令赋予完全控制权后方可清除。

1、以管理员身份运行“命令提示符”：点击开始菜单，搜索“cmd”，右键选择“以管理员身份运行”。

2、输入以下命令并回车执行：cacls "c:\System Volume Information" /g everyone:f。

Transor

专业的AI翻译工具，支持网页、字幕、PDF、图片实时翻译

下载

3、若提示权限不足，先执行：takeown /f "c:\System Volume Information" /r /d y。

4、再执行：icacls "c:\System Volume Information" /grant administrators:F /t。

5、随后手动进入该目录，查找并删除其中含csrss.exe特征名的可疑子文件夹或文件。

四、关闭系统还原并清除还原点中的病毒副本

病毒可能嵌入系统还原点中，导致常规杀毒后仍反复出现；关闭还原功能并清空所有还原点可切断其寄生环境。

1、按下Win + R，输入gpedit.msc，回车打开组策略编辑器。

2、依次展开“计算机配置→管理模板→系统→系统还原”。

3、双击“关闭系统还原”，选择“已启用”，点击“确定”。

4、再次展开“计算机配置→管理模板→Windows组件→Windows Installer”。

5、双击“关闭创建系统还原检查点”，同样设为“已启用”，点击“确定”。

6、重启后进入“系统属性→系统保护”，点击“配置”，选择“删除所有还原点”，再点击“确定”。

五、借助专用修复工具扫描并清理浏览器劫持项

csrss.exe病毒常捆绑浏览器加载项与辅助DLL，仅删文件不足以恢复主页与网络功能，需用专业工具深度清理。

1、下载并运行System Repair Engineer（SREng），版本需兼容当前系统（如SREng v3.7.0）。

2、主界面选择“系统修复→浏览器加载项”，点击“扫描”。

3、在扫描结果中勾选所有来源为c:\WINDOWS\system32\COMBoHEvent.dll、c:\windows\system32\inetsrv\kbd101ab.dll等可疑项。

4、点击“修复选中项目”，等待工具完成注册表及文件层清理。

5、重启计算机，验证桌面图标、网络连接及主页是否恢复正常。