اگر شما اغلب با مدیر وظیفه ویندوز کار می کنید، آنها نمی توانند توجه کنند که شی CSRSS.exe همیشه در لیست فرآیند حضور دارد. بیایید متوجه شویم که این مورد چیست، چقدر مهم است که برای سیستم مهم باشد و خطر را برای رایانه اجرا نکنید.
اطلاعات در مورد csrss.exe
csrss.exe توسط یک فایل سیستم با نام همان نام اجرا می شود. این در تمام سیستم های OS Windovs، با شروع از نسخه ویندوز 2000 وجود دارد. شما می توانید آن را با اجرای مدیر وظیفه (Ctrl + Shift + Esc ترکیبی) در برگه فرآیند مشاهده کنید. ساده ترین آن را پیدا کردن، سرگرم کردن داده ها در ستون "نام تصویر" به ترتیب حروف الفبا.
برای هر جلسه یک فرایند CSRSS جداگانه وجود دارد. بنابراین، بر روی رایانه های معمولی، دو فرآیند به طور همزمان راه اندازی می شوند و ده ها نفر در کامپیوتر سرور وجود دارد. با این حال، علیرغم این واقعیت که متوجه شد که این فرآیندها می تواند دو باشد، و در برخی موارد حتی بیشتر، تنها به تنها فایل CSRSS.exe مربوط می شود.
به منظور دیدن همه اشیاء csrss.exe فعال شده در سیستم از طریق مدیر وظیفه، روی "نمایش تمام فرایندهای کاربر" کلیک کنید.
پس از آن، اگر شما در معمول کار می کنید، نه نمونه سرور از ویندوز، سپس دو عنصر csrss.exe در لیست مدیریت وظیفه ظاهر می شود.
کارکرد
اول از همه، ما متوجه می شویم که چرا این مورد توسط سیستم مورد نیاز است.نام "CSRSS.EXE" یک اختصار از "Subsystem Runtime Client-Server" است که در ترجمه از زبان انگلیسی به معنای "Subsystem زمان اجرای سرویس گیرنده سرور" است. به این ترتیب، این فرایند به عنوان یک نوع مشتری پیوند پیوند و مناطق سرور سیستم ویندوز عمل می کند.
این فرایند برای نمایش جزء گرافیکی مورد نیاز است، یعنی آنچه که ما بر روی صفحه نمایش می بینیم. هنگامی که سیستم خاموش می شود، عمدتا درگیر است، و همچنین هنگام حذف یا نصب موضوع. بدون CSRSS.exe نیز ممنوعیت راه اندازی کنسول ها (CMD و همکاران). این فرایند برای بهره برداری از خدمات ترمینال ضروری است و از راه دور به دسکتاپ متصل می شود. فایل مورد مطالعه ما همچنین فرآیندهای مختلف جریان های سیستم عامل را در زیر سیستم Win32 پردازش می کند.
علاوه بر این، اگر csrss.exe کامل شود (مهم نیست که چگونه: اورژانس یا کاربر اجباری)، سپس سیستم در انتظار فروپاشی است، که منجر به ظاهر BSOD می شود. بنابراین، می توان گفت که عملیات ویندوز بدون فرایند فعال csrss.exe غیر ممکن است. بنابراین، برای متوقف کردن آن، تنها اگر شما مطمئن هستید که توسط یک شیء ویروسی جایگزین شده است، مجبور است.
محل فایل
در حال حاضر پیدا کردن جایی که CSRSS.exe از لحاظ جسمی بر روی هارد دیسک قرار می گیرد. شما می توانید اطلاعات مربوط به این را با همان مدیر وظیفه دریافت کنید.
- پس از مدیریت وظیفه، حالت نمایش تمام فرآیندهای کاربر را تنظیم می کند، دکمه ی سمت راست را بر روی هر یک از اشیاء تحت نام "csrss.exe" ایجاد کنید. در لیست زمینه، "ذخیره سازی فایل باز" را انتخاب کنید.
- هادی دایرکتوری مکان فایل مورد نظر را باز می کند. آدرس او را می توان با انتخاب نوار آدرس پنجره یافت. این مسیر را به پوشه محل شیء نشان می دهد. آدرس معتقد است:
C: \ Windows \ System32
در حال حاضر، دانستن آدرس، شما می توانید به دایرکتوری محل شی بدون استفاده از Dispatcher Task بروید.
- اکسپلورر را باز کنید، در صورتی که آدرس فوق را در نوار آدرس خود قرار دهید، وارد کنید. روی Enter کلیک کنید یا روی نماد کلیک کنید به عنوان یک فلش به سمت راست رشته آدرس.
- هادی دایرکتوری CSRSS.exe را باز می کند.
شناسایی فایل
در عین حال، زمانی که برنامه های مختلف ویروسی (Rootkits) تحت CSRSS.exe پوشیده می شوند، وضعیت غیر معمول نیست. در این مورد، مهم است که شناسایی فایل های خاص CSRSS.exe را در مدیر وظیفه نمایش دهیم. بنابراین، ما تحت شرایط فرایند تعیین شده باید توجه شما را جلب کنیم.
- اول از همه، سوالات باید در صورتی که در مدیر وظیفه در حالت صفحه نمایش فرایندهای تمام کاربران در سیستم معمول، نه سرور، به نظر می رسد، بیش از دو اشیاء CSRSS را مشاهده خواهید کرد. یکی از آنها به احتمال زیاد یک ویروس است. مقایسه اشیاء، توجه به مصرف کارایی. در شرایط عادی برای CSRSS، محدودیت 3000 کیلوبایت نصب شده است. توجه به مدیر وظیفه به شاخص مربوطه در ستون "حافظه" توجه کنید. بیش از حد بالا به این معنی است که چیزی با فایل اشتباه است.
علاوه بر این، باید توجه داشت که معمولا این فرآیند توسط پردازنده مرکزی (پردازنده) حمل نمی شود. گاهی اوقات مجاز به افزایش مصرف منابع CPU به چند درصد است. اما هنگامی که بار با ده ها درصد محاسبه می شود، این نشان می دهد که یا فایل خود ویروسی یا سیستم به عنوان یک کل چیزی است که به ترتیب نیست.
- در مدیر وظیفه در ستون کاربر ("نام کاربری")، در مقابل جسم مورد مطالعه، باید مقدار "سیستم" ("سیستم") باشد. اگر کتیبه دیگری در آنجا نمایش داده شود، از جمله نام کاربر فعلی، پس از آن با اعتماد به نفس زیادی، می توان گفت که ما با یک ویروس برخورد می کنیم.
- علاوه بر این، شما می توانید صحت فایل را با تلاش برای مجبور کردن آن را بررسی کنید تا آن را متوقف کنید. برای انجام این کار، یک شیء مشکوک نام "csrss.exe" را انتخاب کنید و روی «فرایند کامل» در مدیر وظیفه کلیک کنید.
پس از آن، کادر محاوره ای باید باز شود، که بیان می کند که متوقف کردن فرایند مشخص شده منجر به اتمام سیستم می شود. به طور طبیعی، لازم نیست که آن را متوقف کنید، بنابراین روی دکمه "لغو" کلیک کنید. اما ظاهر چنین پیامی در حال حاضر تایید غیر مستقیم از این واقعیت است که فایل واقعی است. اگر پیام وجود نخواهد داشت، این دقیقا به معنای این واقعیت است که فایل جعلی است.
- همچنین، برخی از داده های احراز هویت فایل را می توان از خواص آن یاد گرفت. با کلیک بر روی نام یک شی مشکوک در مدیر وظیفه راست کلیک کنید. در لیست زمینه، "Properties" را انتخاب کنید.
پنجره Properties باز می شود. انتقال به برگه عمومی توجه به پارامتر "محل". مسیر به دایرکتوری محل فایل باید با آدرس که قبلا در بالا صحبت کرده ایم، مطابقت داشته باشد:
C: \ Windows \ System32
اگر هر آدرس دیگری در آنجا مشخص شده باشد، این به این معنی است که فرایند جعلی است.
در همان برگه نزدیک به پارامتر "فایل"، مقدار 6 کیلوبایت باید ایستاده باشد. اگر اندازه دیگری مشخص شود، سپس جسم جعلی است.
حرکت به برگه "جزئیات". پارامتر "کپی رایت" باید ارزش "Microsoft" شرکت ("Microsoft Corporation") باشد.
اما، متاسفانه، حتی با تمام الزامات فوق، فایل CSRSs.exe ممکن است ویروسی باشد. واقعیت این است که ویروس نه تنها در زیر جسم پوشیده می شود، بلکه یک فایل واقعی را آلوده می کند.
علاوه بر این، مشکل مصرف غیر ضروری منابع سیستم CSRSS.exe می تواند نه تنها توسط ویروس ایجاد شود، بلکه به مشخصات کاربر آسیب می رساند. در این مورد، شما می توانید سعی کنید "رول" یک سیستم عامل را به یک نقطه بازیابی قبلی یا یک نمایه کاربر جدید و در حال حاضر در آن کار کنید.
از بین بردن تهدید
اگر متوجه شوید CSRSS.EXE یک فایل اصلی اصلی و ویروس نامیده می شود؟ ما از این واقعیت ادامه خواهیم داد که آنتی ویروس معمولی شما نمیتواند کد مخرب را شناسایی کند (در غیر این صورت حتی مشکل را متوجه نمی شوید). بنابراین، برای از بین بردن این روند، مراحل دیگر را انجام خواهیم داد.
روش 1: اسکن آنتی ویروس
اول از همه، سیستم را با یک اسکنر ضد ویروس قابل اعتماد، مانند Dr.Web Cureit اسکن کنید.
لازم به ذکر است که اسکن سیستم برای ویروس ها توصیه می شود از طریق حالت ایمن ویندوز، زمانی که عملیاتی که تنها آن فرآیندهای اصلی عملکرد کامپیوتر را ارائه می دهند، انجام می شود، این است که ویروس "خواب" ، و آن را در این راه پیدا کنید بسیار ساده تر خواهد بود.
ادامه مطلب: ما "حالت امن" را از طریق BIOS وارد می کنیم
روش 2: حذف دستی
اگر اسکن نتایجی را ارائه نمی دهد، اما شما به وضوح می بینید که فایل csrss.exe در دایرکتوری هایی که قرار است قرار باشد، در این مورد شما باید روش حذف دستی را اعمال کنید.
- در مدیر وظیفه، نام مربوط به شیء جعلی را انتخاب کنید و روی دکمه «فرایند کامل» کلیک کنید.
- پس از آن، با استفاده از هادی، به دایرکتوری محل شیء بروید. این می تواند هر دایرکتوری غیر از پوشه System32 باشد. بر روی جسم راست ماوس کلیک کنید و "DELETE" را انتخاب کنید.
اگر شما نمی توانید روند را در مدیریت وظیفه متوقف کنید یا یک فایل را حذف کنید، کامپیوتر را خاموش کنید و به سیستم در حالت ایمن (کلید F8 یا ترکیبی از Shift + F8 هنگام بارگیری، بسته به نسخه OS) بروید. سپس روش را برای حذف یک شی از دایرکتوری محل آن قرار دهید.
روش 3: بازگرداندن سیستم
و در نهایت، اگر نه اولین و نه روش دوم، نتیجه مناسب را به دست آورد، و شما نمیتوانید از فرآیند ویروسی که تحت CSRSSs.exe پنهان شده است خلاص شوید، می توانید به عملکرد بازگردانی سیستم ارائه شده در ویندوز کمک کنید.
ماهیت این ویژگی این است که شما یکی از نقاط Rollback موجود را انتخاب می کنید، که به شما این امکان را می دهد که سیستم را به مدت زمان انتخاب شده بازگردانید: اگر ویروس بر روی کامپیوتر گم شده باشد، این ابزار آن را از بین می برد.
این ویژگی همچنین دارای یک طرف معکوس مدال است: اگر پس از ایجاد یک نقطه خاص، برنامه ها نصب شده بودند، تنظیمات به آنها وارد شد، و مانند این به همان شیوه آن را لمس می کند. بازیابی سیستم تنها بر فایل های کاربر تاثیر نمی گذارد که اسناد، عکس ها، فیلم ها و موسیقی ها را دارد.
ادامه مطلب: نحوه بازگرداندن سیستم عامل ویندوز
همانطور که می بینید، در اغلب موارد CSRSS.exe یکی از مهمترین فرآیند عملیات سیستم عامل است. اما گاهی اوقات می توان آن را توسط یک ویروس آغاز کرد. در این مورد، لازم است که این روش را برای حذف آن بر اساس توصیه های ارائه شده در این مقاله انجام شود.