小编Key*_*yes的帖子

我试图找出为什么这个过程出现在 2 个引导场合。Autoruns 不会在任何地方显示它。当我卸载谷歌浏览器和恶意软件字节时出现。

makecab.exe 的预取文件（makecab 是微软官方进程）显示它是昨天创建的，今天修改了（今天和昨天运行了一次非常短暂，启动时不超过 10 秒。我之前卸载了 2 个程序同时在过去多次，从未见过这个过程。

但是，通常我会在卸载这些程序时删除与这些程序关联的每个文件，包括注册表。makecab.exe 会运行有什么原因吗？我使用过进程资源管理器，但是进程开始和结束的速度很快，我可以看到是什么启动了它，但是我只看到它出现两次，那是在卸载 chrome 和 mbam 之后；两次我都没有准备好流程浏览器。

我应该担心这个吗？或者它有跑步的正当理由吗？除非我卸载了任何东西，否则它似乎不会运行（但是当我这样做时它不会一直发生。）

除了下载我之前下载的恶意软件字节之外，我没有对我的电脑做任何更改。

我发布的其他区域说它可以清理 msi 安装包。

我注意到它与 Windows 模块安装程序大约在同一时间开始（将预取文件与事件查看器进行比较）。

我没有添加任何程序，卸载这些程序后才看到这个，但正如我所说，我通常手动删除文件。我已经将 makecab 的版本上传到了virustotal 并且它们都是干净的。

除了列出各种系统进程的值之外，我在注册表中找不到任何其他内容，但是将其导出为文本文件显示它多年来没有被编辑。

我怎样才能找出是什么启动它？我用进程资源管理器重新启动了多次，但什么也没发生，我安装了恶意软件字节进行扫描，我进行了全面扫描并没有发现任何东西，然后再次安装了 chrome。扫描后，我卸载了 2，然后虽然没有使用进程资源管理器，而是使用普通的任务管理器，但我在重新启动后再次看到它。

有没有办法让进程浏览器延长它显示杀死进程的时间？上面给出的解释可能是真的吗？

这是conhost.exe 和 csrss.exe 问题的后续问题

我目前在 Windows 7 x64 机器上，使用相对高端的 GPU (GTX 970 4?GB)。Windows Aero 已启用。我正在使用 Process Explorer 来检查这个案例。

我有两个csrss.exe进程在运行，都作为 SYSTEM，一个在会话 0 下，一个在会话 1 下。我有csrss.exe文件，都在正确的目录中。使用 Process Explorer，我可以看到我的 GPU 仅被csrss.exe. 会话 1csrss.exe正在使用它。仔细检查进程的线程会发现这些.dll文件：

Cdd.dll
Winsrv.dll
Csrsrv.dll

Cdd.dll - 规范显示驱动程序在这里特别重要，如下面的一些有用信息中所述，一位好心的用户能够为我提供。

在 DWM 下，GDI 调用被重定向到使用规范显示驱动程序 (cdd.dll)，一个软件渲染器。

所以也许它csrss.exe实际上是将调用重定向到cdd.dll. 通过返回第一篇维基百科文章进一步确认：Win32 库（kernel32.dll、user32.dll、gdi32.dll）不是发出系统调用，而是向 CSRSS 进程发送进程间调用，该进程执行大部分实际操作在不影响内核的情况下工作。因此，应用程序调用gdi32.dll（可以是呈现任何 Windows GUI 组件（如按钮、滚动条、文本等）的任何内容）最终csrss.exe通过 IPC 进行，IPCcsrss.exe重定向到cdd.dll.

所以dwm.exe，我原以为会使用 GPU …

我目前有2个csrss.exe在系统下运行，每个使用1700kb - 2156kb内存。与它们相关的似乎有 2 个 conhost.exe，其中一个使用大约 1000kb 内存，另一个使用 1400kb。一种是系统，一种是网络。我在我的系统中发现了2个csrss.exe，一个在system32中，一个在winsxs/amd64_microsoft中（有大量数字）我在system32中发现了1个conhost，在winsxs/amd64_microsoft中发现了8个conhost，后面跟有数字，如csrss。这是正常的吗？我也可能看到第三个 conhost 正在运行，但我不认为它附加到 csrss

使用事件查看器日志和进程资源管理器，我发现 csrss 下的 2 个 conhost 文件是在 15:33:52 启动的（在我的测试中）。同时，在系统下的事件查看器中，MBAM服务进入运行状态。此外，服务器服务进入运行状态。大约一两秒后启动的其他服务： 网络列表服务 诊断服务主机 人机界面设备访问 Microsoft 网络检查 诊断系统主机 便携式设备枚举器 计算机浏览器服务 事件查看器的应用程序部分中没有条目。在安检下，15:33:52 有一个条目：

审核成功：账号登录成功。主题 ID：null sid（同一条目的下方）

新登录： 安全 ID：匿名登录 帐户名：匿名登录 帐户域：nt 权限

该条目还有其他几个部分。这很糟糕吗？早在一年前我拿到电脑的那天，我就发现了一些匿名登录条目，所以我认为这还不错。家里的另一台电脑的硬盘上有相同数量的 conhost 和 csrss.exe 文件（大约 8-9 个，在 amd64 安装文件夹中，以及在 system32 下运行的电脑和 csrss 文件。另一台电脑有 2 个 csrss 进程正在运行但没有 conhost。）它看起来是坏还是好？我将运行一些安全模式扫描。（Mbam 和 MSE）。扫描结果已经干净了。

这是我运行 Geforce experience 时的图像，该 conhost 出现并很快关闭。