Процес CSRSS.EXE
Ако често работите с мениджъра на задачите на Windows, не можете да не забележите, че винаги има обект CSRSS.EXE в списъка с процеси. Нека да разберем какъв е даден елемент, колко е важно за системата и дали има опасност за компютъра.
съдържание
За CSRSS.EXE
CSRSS.EXE се изпълнява от системен файл със същото име. Той е налице във всички операционни системи Windows от Windows 2000. Можете да го видите, като изпълните Task Manager (комбинация Ctrl + Shift + Esc ) в раздела "Processes" . Най-лесният начин да го откриете е да създадете данните в колоната "Име на изображението" в азбучен ред.
За всяка сесия има отделен CSRSS процес. Следователно, на типичен персонален компютър, два такива процеса се стартират едновременно, а на сървърните компютри техният брой може да достигне десетки. Независимо от това, въпреки че е установено, че могат да съществуват два процеса и в някои случаи дори повече, към всички от тях има само един файл CSRSS.EXE.
За да видите всички CSRSS.EXE обекти, активирани в системата чрез Task Manager, кликнете върху "Показване на процесите на всички потребители" .
След това, ако работите в нормално, а не в сървърно копие на Windows, тогава в списъка на диспечера на задачите ще има два елемента CSRSS.EXE.
функции
На първо място, нека разберем защо този елемент се изисква от системата.
Името "CSRSS.EXE" е съкращение на подсистемата "Клиент-сървър по време на изпълнение", което на английски означава "Подсистема за изпълнение на клиент-сървър". Това означава, че процесът служи като уникална връзка в клиентските и сървърните области на системата Windows.
Този процес е необходим за показването на графичния компонент, т.е. това, което виждаме на екрана. Това, на първо място, се използва в края на системата, както и при изтриване или инсталиране на тема. Без CSRSS.EXE също ще е невъзможно да се стартират конзоли (CMD и т.н.). Процесът е необходим за работата на терминалните услуги и за отдалечената връзка с работния плот. Файлът, който изучаваме, също обработва разнообразни нишки на OS в подсистемата Win32.
Освен това, ако CSRSS.EXE е завършен (без значение как: катастрофа или принуден от потребителя), системата чака за катастрофа, което ще доведе до появата на BSOD. По този начин можем да кажем, че функционирането на Windows без активния процес CSRSS.EXE е невъзможно. Следователно, той трябва да бъде спрян насилствено само ако сте сигурни, че е заменен от вирусен обект.
Местоположение на файла
Сега нека открием къде CSRSS.EXE се намира физически на твърдия диск. Можете да получите информация за това, като използвате един и същ диспечер на задачи.
- След като в мениджъра на задачите е зададен режимът на показване на процесите на всички потребители, щракнете с десния бутон върху някой от обектите под името "CSRSS.EXE" . В контекстния списък изберете "Отваряне на хранилище на файлове" .
- В Explorer ще се отвори директорията за местоположението на желания файл. Можете да намерите адреса му, като изберете лентата за адреси на прозореца. Показва пътя до папката за местоположение на обекта. Адресът е както следва:
C:WindowsSystem32
Сега, знаейки адреса, можете да отидете в директорията за местоположението на обекта, без да използвате Task Manager.
- Отворете " Explorer" , въведете или поставете в неговата адресна ивица предварително копиран, горепосочения адрес. Кликнете върху Въведете или кликнете върху иконата под формата на стрелка отдясно на адресната лента.
- Разработчикът ще отвори директорията за местоположението на CSRSS.EXE.
Идентифициране на файла
В същото време не е необичайно за различни вирусни приложения (rootkits) да се маскират като CSRSS.EXE. В този случай е важно да се идентифицира точно кой файл показва специфичния CSRSS.EXE в диспечера на задачите. Затова нека разберем при какви условия определеният процес трябва да привлече вниманието ви.
- На първо място, въпросите трябва да се появят, ако виждате повече от два CSRSS обекта в Task Manager в режим на показване на процесите на всички потребители в обичайната система, а не в сървъра. Един от тях е най-вероятно вирус. Когато сравнявате обекти, обърнете внимание на консумацията на RAM. При нормални условия е зададена граница от 3000 KB за CSRSS. Обърнете внимание на съответния индикатор в графата "Памет " в диспечера на задачите. Превишаването на горната граница означава, че има нещо нередно с файла.
![Показва паметта, заемана от процеса CSRSS.EXE, в диспечера на задачите]()
В допълнение, трябва да се отбележи, че този процес обикновено не зарежда централния процесор (CPU) изобщо. Понякога се допуска увеличаване на потреблението на ресурсите на процесора до няколко процента. Но когато товарът се изчислява с десетки процента, това означава, че или самият файл е вирусен, или нещо не е наред със системата като цяло.
- В "Мениджър на задачите " в колоната "Потребителско име" стойността на "SYSTEM" ( "СИСТЕМА ") винаги трябва да е пред обекта, който се проучва. Ако има друг надпис, включително името на текущия потребителски профил, тогава с много доверие можем да кажем, че имаме работа с вирус.
- Освен това можете да проверите автентичността на файла, като опитате да го спрете. За целта изберете името "CSRSS.EXE" от подозрителния обект и кликнете върху "Прекратяване на процеса" в диспечера на задачите.
![Коригиране на процеса CSRSS.EXE в диспечера на задачите]()
След това трябва да се отвори диалогов прозорец, в който се посочва, че спирането на посочения процес ще доведе до спиране на системата. Естествено, не е нужно да я спрете, така че кликнете върху бутона "Отказ" . Но появата на такова съобщение вече е индиректно потвърждение, че файлът е автентичен. Ако съобщението не е налице, това означава точно факта, че файлът е фалшив.
- Също така, някои данни за автентичността на файла могат да бъдат получени от неговите свойства. Кликнете върху името на подозрителния обект в диспечера на задачите с десния бутон на мишката. В списъка за бърз достъп изберете " Свойства" .
![Отворете прозореца за свойства на процеса CSRSS.EXE чрез контекстното меню в диспечера на задачите]()
Отваря се прозорецът с свойства. Отворете раздела Общи . Обърнете внимание на опцията "Местоположение" . Пътят до директорията за местоположението на файла трябва да съответства на адреса, който споменахме по-горе:
C:WindowsSystem32Ако е посочен друг адрес, това означава, че процесът е фалшив.
В същия раздел в близост до параметъра "Размер на файла" трябва да е стойност от 6 KB. Ако има различен размер, тогава обектът е фалшив.
![Прозорец за свойства на процеса CSRSS.EXE]()
Отворете раздела Детайли . Параметърът "Авторски права" трябва да бъде зададен на "Microsoft Corporation" ( "Microsoft Corporation" ).
Но, за съжаление, дори ако всички горепосочени изисквания са изпълнени, файлът CSRSS.EXE може да бъде вирусен. Факт е, че вирусът може не само да се маскира като обект, но и да зарази реален файл.
В допълнение, проблемът с прекомерното потребление на ресурсите на системата CSRSS.EXE може да бъде причинен не само от вируса, но и от увреждане на потребителския профил. В този случай можете да опитате да "върнете" операционната система на по-ранна точка за възстановяване или да създадете нов потребителски профил и да работите вече в него.
елиминиране на заплахата
Какво можете да направите, ако откриете, че CSRSS.EXE е причинена не от оригиналния OS файл, а от вирус? Ще се придвижим от факта, че обикновеният ви антивирусен софтуер не може да идентифицира злонамерения код (в противен случай изобщо няма да забележите проблема). Ето защо ще предприемем други стъпки, за да премахнем процеса.
Метод 1: Антивирусно сканиране
Най-напред сканирайте системата с надежден антивирусен скенер, например Dr.Web CureIt ,
Струва си да се отбележи, че се препоръчва да се сканира системата за вируси чрез безопасен режим на Windows, в който ще работят само процеси, които гарантират, че функционира основното функциониране на компютъра, т.е. вирусът ще "спи" и ще бъде много по-лесно да го намерите.
Прочетете повече: Въвеждаме "безопасен режим" през BIOS
Метод 2: Ръчно отстраняване
Ако сканирането не работи, но ясно виждате, че файлът CSRSS.EXE не е в директорията, в която трябва да бъде, тогава в този случай ще трябва да приложите процедурата за ръчно премахване.
- В Мениджъра на задачите изберете името, съответстващо на фалшивия обект, и кликнете върху бутона "Край на процеса" .
- След това използвайте Explorer, за да се придвижите до директорията на местоположението на обекта. Това може да бъде директория, различна от папката "System32" . Кликнете върху обекта с десния бутон на мишката и изберете "Изтриване" .
Ако не можете да спрете процеса в диспечера на задачите или да изтриете файла, изключете компютъра и отидете в безопасен режим (клавиш F8 или Shift + F8 при стартиране, в зависимост от версията на операционната система). След това изпълнете процедурата за изтриване на обекта от неговата директория за местоположението.
Метод 3: Възстановяване на системата
И накрая, ако нито първият, нито вторият начин не доведоха до правилния резултат и не можете да се отървете от вирусния процес, прикрит като CSRSS.EXE, можете да помогнете на функцията за възстановяване на системата, предоставена в Windows.
Същността на тази функция е, че изберете една от съществуващите точки за връщане, които ще позволят на системата да се върне напълно към избрания период от време: ако вирусът не съществува на компютъра в избрания момент, този инструмент ще позволи него да бъде премахнат.
Тази функция има и обратната страна на монетата: ако след създаването на определена точка програми бяха инсталирани, настройките бяха въведени в тях и т.н. - това е точно така, както се докосва. Възстановяването на системата не засяга само потребителските файлове, които включват документи, снимки, видеоклипове и музика.
Прочетете повече: Как да възстановите Windows операционната система
Както виждате, в повечето случаи CSRSS.EXE е един от най-важните процеси за функционирането на операционната система. Но понякога може да се задейства от вирус. В този случай е необходимо да се извърши процедурата за отстраняването му съгласно препоръките, дадени в тази статия.