Jei dažnai dirbate su "Windows" užduočių tvarkyklės, jie negalėjo atkreipti dėmesio, kad CSRSS.exe objektas visada yra proceso sąraše. Išsiaiškinkime, kas yra šis elementas, kaip svarbu, kad sistema yra už sistemą ir neatlieka pavojaus kompiuteriui.
Informacija apie CSRSS.exe.
CSRSS.exe vykdo sistemos failą su to paties pavadinimo pavadinimu. Jis yra visuose OS Windovs SudeUp, pradedant nuo Windows 2000 versija. Jūs galite jį pamatyti vykdydami užduočių tvarkyklę (Ctrl + Shift + ESC derinys) skirtuke. Tai lengviausia jį rasti, linksminti duomenis į "Vaizdo pavadinimą" stulpelio abėcėlės tvarka.
Kiekvienai sesijai yra atskiras CSRS procesas. Todėl įprastiniuose kompiuteriuose vienu metu pradedami du tokie procesai, ir serverio kompiuteryje gali būti dešimtys. Tačiau, nepaisant to, kad buvo nustatyta, kad procesai gali būti du, o kai kuriais atvejais dar labiau atitinka tik tik CSRSS.exe failą.
Norint pamatyti visus CSRSS.exe objektus, aktyvuotus sistemoje per užduočių tvarkyklę, spustelėkite "Rodyti visus naudotojų procesus".
Po to, jei dirbate įprastu, ne serveryje "Windows", tada du CSRSS.exe elementai rodomi užduočių tvarkyklės sąraše.
Funkcijos. \ T
Visų pirma, mes sužinome, kodėl šis elementas reikalingas pagal sistemą.Pavadinimas "CSRSS.exe" yra "kliento-serverio vykdymo posistemio" santrumpa ", kuris yra išverstas iš anglų kalbos reiškia" kliento-serverio vykdymo laiko posistemiu ". Tai reiškia, kad procesas yra privalomas nuorodų kliento ir serverio regionų "Windows" sistemos rūšis.
Šis procesas reikalingas norint rodyti grafinį komponentą, tai yra, ką matome ekrane. Jis visų pirma dalyvauja, kai sistema yra išjungta, taip pat ištrinant arba diegiant temą. Be CSRSS.exe taip pat bus neįmanoma pradėti konsolių (CMD ir kt.). Procesas yra būtinas terminalo paslaugų veikimui ir nuotoliniu būdu prijungtam prie darbalaukio. Studijavome failą taip pat apdoroja įvairius OS srautus Win32 posistemyje.
Be to, jei CSRSS.exe yra baigtas (nesvarbu, kaip: avarinis ar priverstinis vartotojas), tada sistema laukia žlugimo, kuris lems BSOD išvaizdą. Taigi galima teigti, kad langų veikimas be aktyvaus proceso CSRSS.exe yra neįmanoma. Todėl, jei norite sustabdyti, yra priverstas tik tada, jei esate įsitikinęs, kad jis buvo pakeistas virusiniu objektu.
Failo vieta
Dabar sužinokite, kur CSRSS.exe yra fiziškai į kietąjį diską. Jūs galite gauti informaciją apie tai su tuo pačiu užduočių tvarkytoju.
- Po to, kai užduočių tvarkytuvas nustato visų naudotojų procesų ekrano režimą, atlikite dešinį pelės mygtuką ant bet kurio objektų, esančių pavadinimu "CSRSS.exe". Konteksto sąraše pasirinkite "Atidaryti failų saugojimą".
- Dirigentas atidarys norimo failo vietos katalogą. Jos adresą galima rasti pasirinkdami lango adreso juostą. Jame rodomas kelias į objekto vietos aplanką. Adresas mano:
C: "Windows System32"
Dabar, žinodami adresą, galite kreiptis į objekto vietos katalogą be užduočių dispečerio naudojimo.
- Atidarykite Explorer, įveskite arba įdėkite iš anksto pirmiau minėtą adresą savo adresų juostoje. Spustelėkite Enter arba spustelėkite piktogramą kaip rodyklę į dešinę nuo adreso eilutės.
- Dirigentas atidarys CSRSS.exe vietos katalogą.
Failo identifikavimas
Tuo pačiu metu situacija nėra neįprasta, kai įvairios virusinės programos (rootkits) yra užmaskuotas pagal CSRSS.exe. Šiuo atveju svarbu nustatyti, kuris failas rodo konkrečią CSRSS.exe užduočių tvarkyklėje. Taigi, mes sužinome, kokiomis sąlygomis paskirtas procesas turėtų pritraukti jūsų dėmesį.
- Visų pirma, klausimai turėtų būti rodomi, jei užduočių tvarkyklėje ekrano režime visų vartotojų procesų į įprastą, ne serverių sistemą, pamatysite daugiau nei du CSRSS objektų. Vienas iš jų yra labiausiai tikėtinas virusas. Palyginus objektus, atkreipkite dėmesį į efektyvumo suvartojimą. Esant normalioms sąlygoms CSRS, sumontuotas 3000 kB riba. Atkreipkite dėmesį į užduočių tvarkyklę į atitinkamą rodiklį "Atminties" stulpelyje. Viršija pirmiau minėtą ribą reiškia, kad su failu kažkas negerai.
Be to, reikėtų pažymėti, kad paprastai šis procesas nėra siunčiamas centrinio procesoriaus (CPU). Kartais leidžiama padidinti CPU išteklių suvartojimą iki kelių procentų. Tačiau, kai apkrova apskaičiuojama su dešimtimis procentais, tai rodo, kad pati failas yra virusinė arba sistema, kaip visuma, nėra tvarka.
- Vartotojo stulpelio užduočių tvarkyklėje ("Vartotojo vardas"), priešais objektą, jis turi būti "sistemos" vertė ("sistema"). Jei ten rodomas kitas užrašas, įskaitant dabartinio vartotojo profilio pavadinimą, tada su dideliu pasitikėjimu, galime pasakyti, kad mes susiduriame su virusu.
- Be to, galite patikrinti failo autentiškumą bandydami priversti jį nustoti dirbti. Norėdami tai padaryti, įtartinas objektas pasirinkite pavadinimą "CSRSS.exe" ir užduočių tvarkyklėje spustelėkite "pilną procesą".
Po to reikia atidaryti dialogo langą, kuriame nurodoma, kad nustatyto proceso sustabdymas sukels sistemos užbaigimą. Natūralu, kad tai nėra būtina jį sustabdyti, todėl spustelėkite mygtuką "Atšaukti". Bet tokio pranešimo išvaizda jau yra netiesioginis patvirtinimas apie tai, kad failas yra autentiškas. Jei pranešimas nebus, tai tiksliai reiškia faktą, kad failas yra suklastotas.
- Be to, kai kurie failų autentifikavimo duomenys gali būti išmokami iš jo savybių. Spustelėkite įtartino objekto pavadinimą užduočių tvarkyklėje dešiniuoju pelės mygtuku spustelėkite. Konteksto sąraše pasirinkite "Properties".
Atsidaro langas. Perkelti į skirtuką Bendra. Atkreipkite dėmesį į parametrą "Vieta". Kelias į failo vietos katalogą turi atitikti adresą, kurį jau kalbėjome aukščiau:
C: "Windows System32"
Jei ten yra kitas adresas, tai reiškia, kad procesas yra suklastotas.
Tame pačiame skirtuke šalia "Failo dydis" parametras, 6 kB vertė turėtų stovėti. Jei nurodomas kitas dydis, objektas yra suklastotas.
Perkelti į skirtuką "Detalės". Netoli "Copyright" parametras turėtų būti vertė "Microsoft" korporacija ("Microsoft Corporation").
Tačiau, deja, net ir su visais pirmiau minėtais reikalavimais, CSRSS.exe failas gali būti virusas. Faktas yra tai, kad virusas negali būti užmaskuotas po objektu, bet ir užkrėsti tikrą failą.
Be to, nereikalingo CSRSSS išteklių suvartojimo problema gali sukelti ne tik viruso, bet ir žalos vartotojo profiliui. Tokiu atveju galite pabandyti "grįžti" OS į ankstesnį atkūrimo tašką arba suformuoti naują vartotojo profilį ir dirbti jau jame.
Grėsmės panaikinimas
Ką daryti, jei sužinosite, kad CSRSS.exe vadinama ne originaliu OS failu ir virusu? Mes tęsime nuo to, kad jūsų nuolatinis antivirusinė negali nustatyti kenkėjiško kodo (kitaip net nepastebėsite problemos). Todėl, norint pašalinti šį procesą, atliksime kitus veiksmus.
1 metodas: Antivirusinis nuskaitymas
Visų pirma, nuskaitykite sistemą su patikimu antivirusiniu skaitytuvu, pvz., Dr.Web Cureit.
Verta pažymėti, kad virusų sistemos nuskaitymas rekomenduojamas per saugų langų režimą, kai veikia tik tie procesai, kurie užtikrina pagrindinį kompiuterio veikimą, tai yra, tai yra, virusas "miega" ir rasti tai tokiu būdu bus daug lengviau.
Skaityti daugiau: mes įvedame "Safe Mode" per BIOS
2 metodas: rankinis pašalinimas
Jei nuskaitymas nesuteikia rezultatų, bet jūs aiškiai matote, kad CSRSS.exe failas nėra kataloguose, kuriuose ji turėtų būti, tada šiuo atveju turite taikyti rankinio šalinimo procedūrą.
- Užduočių tvarkyklėje pasirinkite pavadinimą, atitinkantį suklastotą objektą ir spustelėkite mygtuką "Pilnas procesas".
- Po to, naudodami laidininką, eikite į objekto vietos katalogą. Jis gali būti bet koks katalogas, išskyrus aplanką "System32". Spustelėkite dešinį pelės objektą ir pasirinkite "Ištrinti".
Jei negalite sustabdyti proceso užduočių tvarkyklėje arba ištrinti failą, išjunkite kompiuterį ir eikite į sistemą saugiuoju režimu (F8 klavišas arba perkėlimo įjungimo + F8 derinys, priklausomai nuo OS versijos). Tada atlikite objekto ištrinimo iš savo vietos katalogo tvarką.
3 metodas: sistemos atkūrimas
Ir, galiausiai, jei nei pirmieji, nei antrojo metodai sukėlė tinkamą rezultatą, ir jūs negalėjote atsikratyti virusinio proceso, kurį užmaskuoja pagal CSRSs.exe, galite padėti sistemai atkurti "Windows".
Šios funkcijos esmė yra ta, kad pasirinksite vieną iš esamų grąžinimo taškų, kurie leis jums grąžinti sistemą į pasirinktą laikotarpį: jei virusas trūksta kompiuteryje, šis įrankis jį pašalins.
Ši funkcija taip pat turi atvirkštinę medalio pusę: jei po tam tikros taško sukūrimo, programos buvo įdiegtos, nustatymai buvo įrašyti į juos, ir tokiu pačiu būdu jį palies. Sistemos atkūrimas neturi įtakos tik vartotojo failams, kuriems yra dokumentai, nuotraukos, vaizdo įrašai ir muzika.
Skaityti daugiau: kaip atkurti Windows OS
Kaip matote, daugeliu atvejų CSRSS.exe yra vienas svarbiausių operacinės sistemos veikimo proceso. Bet kartais jį galima inicijuoti virusu. Šiuo atveju būtina atlikti jo pašalinimo tvarką pagal šiame straipsnyje pateiktas rekomendacijas.