Quel est le processus CSRSS.EXE

Si vous travaillez souvent avec Windows Task Manager, ils ne pouvaient pas prêter attention que l'objet CSRSS.EXE est toujours présent dans la liste de processus. Découvrons quel est cet article, quelle importance il s'agit pour le système et n'exécute pas le danger pour l'ordinateur.

Informations sur CSRSS.EXE

CSRSS.EXE est exécuté par un fichier système avec le nom du même nom. Il est présent dans toute la gamme OS Windovs, à commencer par la version de Windows 2000. Vous pouvez le voir en exécutant le gestionnaire de tâches (Ctrl + Maj + ESC combinaison) dans l'onglet Processes. Il est plus facile de le trouver, divertir les données de la colonne "Nom de l'image" dans l'ordre alphabétique.

CSRSS.EXE Processus dans le gestionnaire de tâches

Pour chaque session, il existe un processus de CSRSS séparé. Par conséquent, sur les PC conventionnels, deux procédés de ce type sont lancés simultanément, et il peut y avoir des dizaines sur le PC du serveur. Toutefois, malgré le fait qu'il a été constaté que les processus pouvaient être deux, et dans certains cas encore plus, cela ne correspond que de seul fichier CSRSS.EXE.

Afin de voir tous les objets CSRSS.EXE activés dans le système via le gestionnaire de tâches, cliquez sur "Afficher tous les processus utilisateur".

Aller pour afficher tous les processus utilisateur dans le gestionnaire de tâches

Après cela, si vous travaillez dans l'instance Windows habituelle et non du serveur, puis deux éléments CSRSS.EXE apparaissent dans la liste des gestionnaires de tâches.

Deux processus CSRSS.EXE dans le gestionnaire de tâches

Les fonctions

Tout d'abord, nous découvrons pourquoi cet article est requis par le système.

Le nom "CSRSS.EXE" est une abréviation du "Sous-système d'exécution client-serveur", qui est dans la traduite de l'anglais signifie "sous-système de temps d'exécution de client-serveur". C'est-à-dire que le processus sert de type de liaison de liaison client et de régions de serveur du système Windows.

Ce processus est nécessaire pour afficher le composant graphique, c'est-à-dire de ce que nous voyons à l'écran. Il est principalement impliqué lorsque le système est arrêté, ainsi que lors de la suppression ou de l'installation du sujet. Sans CSRSS.EXE sera également impossible de lancer des consoles (CMD et al.). Le processus est nécessaire pour le fonctionnement des services de terminal et pour connecter à distance au bureau. Le fichier que nous avons étudié traite également une variété de flux d'exploitation dans le sous-système Win32.

De plus, si CSRSS.EXE est terminé (peu importe la manière suivante: urgence ou utilisateur obligatoire), le système attend que l'effondrement, ce qui entraînera l'apparition de BSOD. Ainsi, on peut dire que l'opération de Windows sans processus actif CSRSS.exe est impossible. Par conséquent, pour arrêter, il est forcé uniquement si vous êtes convaincu qu'il a été remplacé par un objet viral.

Emplacement du fichier

Découvrez maintenant où le CSRSS.EXE est placé physiquement sur le disque dur. Vous pouvez obtenir des informations à ce sujet avec le même gestionnaire de tâches.

Une fois le gestionnaire de tâches définit le mode d'affichage de tous les processus utilisateur, apportez le bouton droit de la souris sur l'un des objets sous le nom "CSRSS.EXE". Dans la liste contextuelle, sélectionnez "Ouvrir le stockage de fichiers".

Allez à l'emplacement du stockage de fichiers CSRSS.EXE via le menu contextuel du gestionnaire de tâches

Le conducteur ouvrira le répertoire de localisation du fichier souhaité. Son adresse peut être trouvée en sélectionnant la barre d'adresse de la fenêtre. Il affiche le chemin d'accès au dossier d'emplacement de l'objet. L'adresse croit:
C: \ Windows \ System32

Adresse de stockage de fichiers CSRSS.EXE dans l'Explorateur Windows

Maintenant, connaître l'adresse, vous pouvez accéder au répertoire de l'emplacement de l'objet sans utiliser le répartiteur de tâches.

Ouvrez l'explorateur, entrez ou insérez à l'avance l'adresse susmentionnée dans sa barre d'adresse. Cliquez sur Entrée ou cliquez sur l'icône comme une flèche à droite de la chaîne d'adresses.

Passez à l'emplacement du fichier CSRSS.EXE avec l'Explorateur Windows

Le conducteur ouvrira le répertoire de localisation CSRSS.EXE.

Fichier CSRSS.EXE dans l'Explorateur Windows

Identification du fichier

Dans le même temps, la situation n'est pas rare lorsque diverses applications virales (rootkits) sont masquées sous CSRSS.EXE. Dans ce cas, il est important d'identifier quel fichier affiche une CSRSS.EXE spécifique dans le gestionnaire de tâches. Nous découvrons donc dans quelles conditions le processus désigné devrait attirer votre attention.

Tout d'abord, des questions doivent apparaître si dans le gestionnaire de tâches dans le mode d'affichage des processus de tous les utilisateurs du système habituel, non serveur, vous verrez plus de deux objets CSRSS. L'un d'entre eux est probablement un virus. Comparer les objets, faire attention à la consommation d'efficacité. Dans des conditions normales pour les CSRS, une limite de 3000 Ko est installée. Faites attention au responsable de la tâche à l'indicateur correspondant dans la colonne «Mémoire». Dépasser la limite ci-dessus signifie que quelque chose ne va pas avec le fichier.

De plus, il convient de noter que généralement ce processus n'expédie pas par le processeur central (CPU). Parfois, il est autorisé à augmenter la consommation de ressources de la CPU à quelques pour cent. Mais lorsque la charge est calculée avec des dizaines de pourcentage, cela suggère que le fichier lui-même est viral ou que le système dans son ensemble n'est pas en ordre.

Affiche la charge sur le processeur central CSRSS.EXE dans le gestionnaire de tâches

Dans le gestionnaire de tâches de la colonne utilisateur ("Nom d'utilisateur"), devant l'objet étudié, il doit s'agir de la valeur "Système" ("Système"). Si une autre inscription est affichée là-bas, y compris le nom du profil d'utilisateur actuel, alors avec beaucoup de confiance, nous pouvons dire que nous traitons avec un virus.

CSRSS.EXE Process Nom d'utilisateur dans Task Manager

De plus, vous pouvez vérifier l'authenticité du fichier en essayant de le forcer à cesser de le travailler. Pour ce faire, un objet suspect Sélectionnez le nom "CSRSS.EXE" et cliquez sur le "processus complet" dans le gestionnaire de tâches.

Après cela, la boîte de dialogue doit être ouverte, qui indique que l'arrêt du processus spécifié entraînera l'achèvement du système. Naturellement, il n'est pas nécessaire de l'arrêter, alors cliquez sur le bouton "Annuler". Mais l'apparition d'un tel message est déjà une confirmation indirecte du fait que le fichier est authentique. Si le message sera absent, cela signifie avec précision le fait que le fichier est faux.

En outre, certaines données d'authentification de fichiers peuvent être tirées de ses propriétés. Cliquez sur le nom d'un objet suspect dans le gestionnaire de tâches clic avec le bouton droit de la souris. Dans la liste contextuelle, sélectionnez «Propriétés».

La fenêtre Propriétés s'ouvre. Passer à l'onglet Général. Faites attention au paramètre «Emplacement». Le chemin d'accès au répertoire emplacement de fichier doit être conforme à l'adresse que nous avons déjà parlée ci-dessus:
C: \ Windows \ System32
Si une autre adresse est spécifiée là-bas, cela signifie que le processus est faux.
Dans la même onglet près du paramètre "Taille de fichier", la valeur de 6 Ko devrait être debout. Si une autre taille est indiquée, l'objet est faux.

Passez à l'onglet "Détails". Près du paramètre "Copyright" devrait être la valeur "Microsoft" Corporation ("Microsoft Corporation").

Copyright dans la fenêtre Propriétés CSRSS.EXE

Mais malheureusement, même avec toutes les exigences ci-dessus, le fichier CSRSS.EXE peut être viral. Le fait est que le virus peut non seulement être masqué sous l'objet, mais également infecter un fichier réel.

De plus, le problème de la consommation inutile de ressources du système CSRSS.EXE peut être provoqué non seulement par le virus, mais également endommager le profil d'utilisateur. Dans ce cas, vous pouvez essayer de "repasser" un système d'exploitation à un point de récupération antérieur ou former un nouveau profil utilisateur et y travailler déjà.

Élimination de la menace

Et si vous découvrez que CSRSS.EXE s'appelle non pas un fichier OS original, et le virus? Nous allons procéder du fait que votre antivirus habituel ne pouvait pas identifier de code malveillant (sinon, vous ne remarqueriez même pas le problème). Par conséquent, pour éliminer le processus, nous prendrons d'autres étapes.

Méthode 1: Numérisation antivirus

Tout d'abord, numérisez le système avec un scanner antivirus fiable, tel que Dr.Web Curicit.

Système de numérisation pour Virus Utility Dr.Web Curedit!

Il convient de noter que la numérisation du système pour les virus est recommandée pour effectuer via le mode sans échec de Windows, lorsqu'il est opérationnel que seuls les processus qui fournissent le fonctionnement de base de l'ordinateur fonctionnent, c'est-à-dire que le virus "Dormira" et trouvez-le de cette façon sera beaucoup plus facile.

En savoir plus: Nous entrons dans le "mode sans échec" via BIOS

Méthode 2: Élimination manuelle

Si la numérisation ne donne pas de résultats, mais vous voyez clairement que le fichier CSRSS.EXE n'est pas dans les répertoires dans lesquels il est censé être, dans ce cas, vous devez alors appliquer la procédure de suppression manuelle.

Dans le gestionnaire de tâches, sélectionnez le nom correspondant au faux objet, puis cliquez sur le bouton "Terminer Process".

L'insertion du faux processus CSRSS.EXE dans le gestionnaire de tâches

Après cela, en utilisant le conducteur, accédez au répertoire d'emplacement de l'objet. Il peut être n'importe quel répertoire autre que le dossier "System32". Cliquez sur l'objet de la souris droit et sélectionnez "Supprimer".

Suppression du fichier viral CSRSS.EXE dans le menu contextuel de l'Explorateur Windows

Si vous ne pouvez pas arrêter le processus dans le gestionnaire de tâches ou supprimer un fichier, éteignez l'ordinateur et allez sur le système en mode sans échec (touche F8 ou une combinaison de Maj + F8 lors du chargement, en fonction de la version du système d'exploitation). Faites ensuite la procédure de suppression d'un objet du répertoire de son emplacement.

Méthode 3: Restauration du système

Et, enfin, si ni la première ni la deuxième méthode ne provoquaient un résultat approprié et que vous ne pouviez pas vous débarrasser du processus viral déguisé sous CSRSS.exe, vous pouvez aider la fonction de restauration du système fourni pour Windows.

Récupération du système en cours d'exécution

L'essence de cette fonctionnalité est que vous choisissez l'un des points de restauration existants, ce qui vous permettra de renvoyer le système à la période sélectionnée: si le virus a été manquant sur l'ordinateur, cet outil l'éliminera.

Cette fonctionnalité dispose également d'un côté inversé de la médaille: si, après avoir créé un point particulier, des programmes ont été installés, les paramètres ont été entrés dans eux, ce qui le touchera comme cela le touchera de la même manière. La récupération du système n'affecte pas uniquement les fichiers utilisateur auxquels des documents, des photos, des vidéos et de la musique sont.

En savoir plus: Comment restaurer Windows OS

Comme vous pouvez le constater, dans la plupart des cas, CSRSS.EXE est l'un des processus les plus importants pour le fonctionnement du système d'exploitation. Mais parfois, il peut être initié par un virus. Dans ce cas, il est nécessaire de mener à bien la procédure de suppression conformément aux recommandations fournies dans cet article.