csrss.exe: Das steckt hinter dem Client-Server-Laufzeitprozess

Moderne Betriebssysteme sind komplexe Gebilde. Als Microsoft 1982 mit MS-DOS den Vorläufer des heutigen Windows auf den Markt brachte, bestand dieser noch aus sieben Dateien mit einer ungefähren Gesamtgröße von gerade einmal 400 Kilobyte. Beim Start sah man nicht mehr als eine Kommandozeile mit einem blinkenden Cursor, die auf Befehle wartete.

Wenn Sie heute ein Windows-Betriebssystem hochfahren, werden unzählige ausführbare Programme in den Arbeitsspeicher geladen. Mehrere Dutzend Prozesse und Dienste sind bereits aktiv, bevor Sie sich überhaupt auf dem System anmelden können. Eines dieser wichtigen Systemprogramme ist das Programm csrss.exe, dessen Funktion im Windows-System wir in diesem Artikel genauer unter die Lupe nehmen.

Was ist csrss.exe?

Hinter der Abkürzung „csrss“ verbirgt sich das Programm „Client Server Runtime Subsystem“. In älteren Windows-Versionen stand die Anwendung als Server für die Anforderung grafischer Benutzeroberflächen zur Verfügung. Mittlerweile wurde dieser sensible Bereich in den Betriebssystemkern (Kernel) verschoben. Dennoch fungiert csrss.exe weiterhin als Server und hat essenzielle Aufgaben im System. Der Prozess ist u. a. dafür verantwortlich, dass viele andere Systemprozesse gestartet und beendet werden können. Zudem verwaltet er die Kommandozeile, die mittlerweile nur noch eines von vielen Programmen im Betriebssystem ist. Wegen dieser wichtigen Aufgaben wird csrss.exe auch als kritischer Prozess eingestuft.

Das Client Server Runtime Subsystem wird einmal pro Sitzung gestartet, wobei es in gestarteten Windows-Instanzen immer mindestens zwei Sitzungen gibt – eine Sitzung „0“ für alle Dienste (Services) sowie eine Sitzung für Benutzerprozesse. Die csrss.exe-Datei wird also immer mindestens zweimal gestartet.

Tipp

Die gestarteten Sitzungen können Sie sich über die Kommandozeile mit dem Befehl „query SESSION“ anzeigen lassen. Dort werden auch die individuellen IDs der Sitzungen angezeigt. Auf diese Weise können Sie abgleichen, ob die Anzahl der csrss.exe-Prozesse mit der Anzahl der Sitzungen im Task-Manager übereinstimmt.

Was macht csrss.exe?

Jeder csrss.exe-Prozess lädt mehrere DLLs (dynamische Bibliotheken) wie basesrv.dll, winsrv.dll oder csrsv.dll. Diese bieten u. a. folgende Funktionen:

  • Starten und Beenden von Prozessen
  • Starten und Beenden von Threads
  • Bereitstellung des Konsolenfensters (Kommandozeile)
  • Herunterfahren des Systems

Diese Funktionen können von anderen Programmen und Prozessen mithilfe von csrss.exe aufgerufen und verwendet werden, was auch den zentralen Nutzen dieses Prozesses verdeutlicht: Sollte csrss.exe nicht ordnungsgemäß ausgeführt oder gar beendet werden, stehen wichtige Funktionen des Betriebssystems plötzlich nicht mehr zur Verfügung. Auch bereits aktive Prozesse würden nicht mehr funktionieren, sobald die die Möglichkeit fehlt, Threads zu starten.

So überprüfen Sie den aktuellen Status von csrss.exe

Es gibt mehrere Möglichkeiten, den Prozess csrss.exe genauer unter die Lupe zu nehmen. Die bequemste Methode ist der standardmäßig integrierte Task-Manager. Dieser lässt sich beispielsweise über die Tastenkombination [Strg] + [Shift] + [Esc] oder per Eingabe im Suchfeld von Windows aufrufen. Der Task-Manager, der auch Prozess-Manager genannt wird, bietet in mehreren Reitern Informationen über Systemauslastung, aktive Prozesse und Dienste.

Seit Windows 10 finden Sie csrss.exe im Task-Manager-Reiter „Prozesse“ unter der Bezeichnung „Client-Server-Laufzeitprozess“. In früheren Versionen war er dort noch unter seinem Anwendungsnamen (also „csrss.exe“) aufgeführt. Nach einem Rechtsklick auf den Prozess werden Ihnen mehrere Optionen angeboten. Nützlich für die Untersuchung des Prozesses sind:

  • Dateipfad öffnen: Öffnet ein Explorer-Fenster mit dem Speicherort von csrss.exe. Dieser muss immer der Pfad „Windows\System32\“ sein. Ist dies nicht der Fall, handelt es sich nicht um den korrekten Prozess.
  • Zu Details wechseln: Neben der Prozess-ID erfährt man hier auch, ob der Prozess ausgeführt wird und von welchem Nutzer. Bei csrss.exe sollte es immer der Nutzer „System“ sein, da es sich um einen Systemprozess handelt.
  • Eigenschaften: Im Reiter „Details“ können Einzelheiten über die Anwendung eingesehen werden. Im Reiter „Digitale Signaturen“ kann man das Zertifikat des Programms aufrufen. Aussteller des Zertifikats muss bei csrss.exe immer die Firma Microsoft sein.

Eine etablierte Alternative zur allgemeinen Überprüfung von Systemprozessen wie csrss.exe sind Programme des Windows-Insiders Mark Russinovich. Dieser hat eine umfangreiche Sammlung nützlicher Software unter dem Namen „Sysinternals Suite“ veröffentlicht, darunter auch das Programm Process Explorer, mit dem sich die aktiven Prozesse hierarchisch darstellen lassen. Zudem bietet die Software eine direkte Verknüpfung zu der Plattform Virustotal.com, die eine Schnellüberprüfung gewünschter Prozesse ermöglicht.

Kann csrss.exe beendet oder entfernt werden?

In Internetforen taucht regelmäßig die Frage auf, ob man Prozesse wie csrss.exe beenden oder die Software entfernen kann. Das Beenden von csrss.exe hätte allerdings das sofortige Herunterfahren des Systems zur Folge. Schon deswegen ist für dieses Vorgehen kein sinnvoller Anwendungszweck denkbar. Im Task-Manager kann der Prozess aufgrund fehlender Rechte nicht beendet werden.

Verursacht der Prozess Probleme, beispielsweise eine hohe CPU-Auslastung, liegt Ihre Aufgabe vielmehr darin, herauszufinden, welche Komponenten dafür verantwortlich sind. Zudem sollten Sie überprüfen, ob es sich überhaupt um den „echten“ csrss-Prozess handelt.

Die Anwendung csrss.exe gänzlich aus dem Systemordner zu löschen, hätte zur Folge, dass das System nicht mehr funktionsfähig wäre.

csrss.exe-Datei unter Virenverdacht

Da der Prozess csrss.exe immer aktiv ist, fällt er bei einer Untersuchung von laufenden Prozessen auf. Zudem verleitet der kryptische Name Entwickler von Schadsoftware dazu, ähnlich lautende Anwendungen wie etwa „crss.exe“ oder „cssrs.exe“ zu programmieren und in schlecht geschützte Systeme einzuschleusen. Diese sind im Gegensatz zu völlig fremden Bezeichnungen bei einer flüchtigen Betrachtung leicht übersehbar bzw. leicht mit der originalen Datei zu verwechseln.

Sie sollten also immer zuerst die korrekte Schreibweise und den richtigen Speicherort der Software überprüfen. Die Anwendung csrss.exe im Systemordner .\Windows\System32\ ist mit sehr hoher Wahrscheinlichkeit keine Schadsoftware. Sollte es wider Erwarten dennoch den Verdacht einer Manipulation geben, empfiehlt sich ohnehin eine Neuinstallation, da in einem solchen Fall das gesamte System als unsicher zu betrachten wäre.

Fazit

csrss.exe ist einer der wichtigsten Systemprozesse unter Windows und immer mindestens in zweifacher Ausführung aktiv. Da er essenzielle Aufgaben wie das Starten und Beenden von Prozessen übernimmt, wird er als kritischer Prozess bezeichnet, der nicht beendet werden darf. Ist der Prozess aus dem Systemverzeichnis .\Windows\System32\ gestartet worden, kann er normalerweise als Verursacher von schadhaften Prozessen ausgeschlossen werden.