Hva er csrss.exe-prosessen

Hvis du ofte jobber med Windows Oppgavebehandling, kunne de ikke være oppmerksom på at CSRSS.EXE-objektet alltid er tilstede i prosesslisten. La oss finne ut hva som er dette elementet, hvor viktig det er for systemet og ikke kjører faren for datamaskinen.

Informasjon om CSRSS.EXE.

Csrss.exe utføres av en systemfil med navnet på samme navn. Den er tilstede i alle OS Windovs Lineup, som starter med versjonen av Windows 2000. Du kan se den ved å kjøre oppgavemaskinen (CTRL + SHIFT + ESC-kombinasjon) i fanen Prosesser. Det er lettest å finne det, underholde dataene i kolonnen "Image Name" i alfabetisk rekkefølge.

For hver økt er det en egen CSRSS-prosess. Derfor, på konvensjonelle PCer, blir to slike prosesser samtidig lansert, og det kan være titusen på serveren PC. Til tross for det faktum at det ble funnet at prosessene kunne være to, og i noen tilfeller enda mer, tilsvarer det bare bare den eneste CSRSS.EXE-filen.

For å se alle csrss.exe-objekter aktivert i systemet via oppgavebehandling, klikker du på "Vis alle brukerprosesser".

Gå til Vis alle brukerprosesser i Oppgavebehandling

Etter det, hvis du jobber i den vanlige, ikke Server-forekomsten av Windows, vises to CSRSS.exe-elementer i Oppgavebehandlingslisten.

To csrss.exe prosesser i oppgavebehandling

Funksjoner

Først av alt, finner vi ut hvorfor dette elementet kreves av systemet.

Navnet "csrss.exe" er en forkortelse fra "Client-Server Runtime Subsystem", som er i oversatt fra engelsk betyr "Client-Server Execution Time Subsystem". Det vil si at prosessen fungerer som en slags bindende linkklient- og serverregioner i Windows-systemet.

Denne prosessen er nødvendig for å vise den grafiske komponenten, det vil si det vi ser på skjermen. Det er primært involvert når systemet er avstengt, så vel som når du sletter eller installerer emnet. Uten CSRSS.EXE vil også være umulig å starte konsoller (CMD et al.). Prosessen er nødvendig for drift av terminaltjenester og for eksternt koblet til skrivebordet. Filen vi studerte, behandler også en rekke OS-strømmer i Win32-delsystemet.

Videre, hvis CSRSS.exe er fullført (uansett hvordan: nødsituasjon eller kraftig bruker), så venter systemet på sammenbruddet, noe som vil føre til utseendet på BSOD. Således kan det sies at driften av Windows uten en aktiv prosess csrss.exe er umulig. Derfor, for å stoppe det, blir det tvunget utelukkende hvis du er sikker på at den har blitt erstattet av et viraltobjekt.

Filplassering

Finn nå hvor CSRSS.EXE er plassert fysisk på harddisken. Du kan få informasjon om dette med samme oppgavebehandling.

Etter at oppgavebehandling setter skjermmodus for alle brukerprosesser, gjør høyre museknapp på noen av objektene under navnet "csrss.exe". I kontekstlisten velger du "Åpne fillagring".

Gå til plasseringen av CSRSS.EXE-fillagringen gjennom kontekstmenyen i Oppgavebehandling

Dirigenten åpner plasseringen av den ønskede filen. Hennes adresse kan bli funnet ved å velge adressefeltet i vinduet. Den viser banen til plasseringsmappen til objektet. Adressen mener:
C: \ windows \ system32

Csrss.exe fil lagringsadresse i Windows Utforsker

Nå, å kjenne adressen, kan du gå til katalogen av objektplasseringen uten bruk av oppgavespillet.

Åpne Explorer, skriv inn eller sett inn på forhånd den ovennevnte adressen i adresselinjen. Klikk på Enter eller klikk på ikonet som en pil til høyre for adressestrengen.

Bytt til plasseringen av CSRSS.EXE-filen med Windows Utforsker

Dirigentet åpner katalogen CSRSS.exe.

Filidentifikasjon

Samtidig er situasjonen ikke uvanlig når ulike virale applikasjoner (rootkits) er maskert under csrss.exe. I dette tilfellet er det viktig å identifisere hvilken fil som viser en bestemt CSRSS.EXE i Oppgavebehandling. Så, vi finner ut under hvilke forhold som den angitte prosessen skal tiltrekke seg din oppmerksomhet.

Først og fremst bør spørsmålene vises hvis i Oppgavebehandling i skjermmodus for prosessene til alle brukere i det vanlige, ikke serversystemet, vil du se mer enn to CSRS-objekter. En av dem er mest sannsynlig et virus. Sammenligne objekter, vær oppmerksom på effektivitetsforbruket. Under normale forhold for CSRS er en grense på 3000 kB installert. Vær oppmerksom på oppgavebehandling til den tilsvarende indikatoren i kolonnen "Minne". Å overskride grensen ovenfor betyr at noe er galt med filen.

I tillegg skal det bemerkes at denne prosessen ikke sendes av den sentrale prosessoren (CPU). Noen ganger får det lov til å øke forbruket av CPU-ressurser til noen få prosent. Men når lasten er beregnet med titalls prosent, antyder dette at enten selve filen er viral eller systemet som helhet er ikke noe i orden.

Viser lasten på CSRSS.EXE Central-prosessoren i Oppgavebehandling

I oppgavelederen i brukerkolonnen ("Brukernavn"), foran objektet som blir studert, må det være "System" -verdien ("System"). Hvis en annen påskriften vises der, inkludert navnet på den nåværende brukerprofilen, så med mye tillit, kan vi si at vi har å gjøre med et virus.

Csrss.exe prosess brukernavn i oppgavebehandling

I tillegg kan du sjekke autentisiteten til filen ved å prøve å tvinge den til å slutte å jobbe med det. For å gjøre dette, velg navnet "csrss.exe" og klikk på "Komplett prosess" i Oppgavebehandling.

Deretter skal dialogboksen åpnes, som sier at stopping av den angitte prosessen vil resultere i gjennomføring av systemet. Naturligvis er det ikke nødvendig å stoppe det, så klikk på "Avbryt" -knappen. Men utseendet på en slik melding er allerede en indirekte bekreftelse på at filen er ekte. Hvis meldingen vil være fraværende, betyr dette nøyaktig at filen er falsk.

Også noen filautentiseringsdata kan læres av egenskapene sine. Klikk på navnet på et mistenkelig objekt i Oppgavebehandling høyreklikk. I kontekstlisten velger du "Egenskaper".

Egenskapsvinduet åpnes. Flytt inn i kategorien Generelt. Vær oppmerksom på parameteren "Plassering". Banen til filplasseringskatalogen må overholde adressen som vi allerede har snakket over:
C: \ windows \ system32
Hvis en annen adresse er spesifisert der, betyr dette at prosessen er falsk.
I samme kategori i nærheten av parameteren "Filstørrelse", bør verdien på 6 kB stå. Hvis en annen størrelse er angitt, er objektet falskt.

Flytt inn i fanen "Detaljer". I nærheten av "Copyright" -parameteren skal være verdien "Microsoft" Corporation ("Microsoft Corporation").

Opphavsrett i CSRSS.EXE EGENSKAPS-vinduet

Men dessverre, selv med alle de ovennevnte kravene, kan filen csrss.exe være viral. Faktum er at viruset ikke bare kan maskeres under objektet, men også infisere en ekte fil.

I tillegg kan problemet med unødvendig forbruk av ressurser av CSRSS.exe-systemet ikke bare forårsaket av viruset, men også skade på brukerprofilen. I dette tilfellet kan du prøve å "rulle tilbake" et OS til et tidligere gjenopprettingspunkt eller danne en ny brukerprofil og arbeid allerede i den.

Eliminering av trusselen

Hva om du finner ut at csrss.exe kalles ikke en original OS-fil, og viruset? Vi vil fortsette fra det faktum at ditt vanlige antivirus ikke kunne identifisere ondsinnet kode (ellers ville du ikke engang merke til problemet). Derfor, for å eliminere prosessen, vil vi ta andre skritt.

Metode 1: Antivirus Scanning

Først av alt, skann systemet med en pålitelig antivirusskanner, for eksempel Dr.Web Cureit.

Skanningssystem for virus Utility Dr.Web Cureit!

Det er verdt å merke seg at skanningen av systemet for virus anbefales å utføre gjennom sikker modus for Windows, når det gjelder bare de prosessene som gir den grunnleggende funksjonen til datamaskinen, det vil si at viruset vil "sove" , og finn det på denne måten vil bli mye lettere.

Les mer: Vi skriver inn "Safe Mode" via BIOS

Metode 2: Manuell fjerning

Hvis skanningen ikke gir resultater, men du ser tydelig at CSRSS.EXE-filen ikke er i katalogene der den skal være, så i dette tilfellet må du bruke manuell fjerningsprosedyre.

I oppgavebehandling velger du navnet som svarer til det falske objektet, og klikker på "Komplett prosess" -knappen.

Innsetting av den falske csrss.exe-prosessen i oppgavebehandling

Etter det, bruk lederen, gå til objektplasseringskatalogen. Det kan være en annen katalog enn "System32" -mappen. Klikk på høyre musemobjekt og velg "Slett".

Fjerne csrss.exe-viralfilen via kontekstmenyen i Windows Utforsker

Hvis du ikke kan stoppe prosessen i oppgavebehandling eller slette en fil, slår du av datamaskinen og går til systemet i sikker modus (F8-tasten eller en kombinasjon av SHIFT + F8 når du laster, avhengig av OS-versjonen). Deretter gjør prosedyren for å slette et objekt fra katalogen av beliggenheten.

Metode 3: Systemgjenoppretting

Og til slutt, hvis verken den første eller andre metoder forårsaket et riktig resultat, og du ikke kunne kvitte seg med den virale prosessen forkledd under CSRSS.EXE, kan du hjelpe systemgjenopprettingsfunksjonen til i Windows.

Essensen av denne funksjonen er at du velger en av de eksisterende tilbakestillingspunktene, som lar deg returnere systemet til den valgte tidsperioden: Hvis viruset har gått glipp av på datamaskinen, vil dette verktøyet eliminere det.

Denne funksjonen har også en omvendt side av medaljen: Hvis etter å ha opprettet et bestemt tidspunkt, ble programmene installert, innstillingene ble oppgitt inn i dem, og lignende dette vil berøre det på samme måte. Systemgjenoppretting påvirker ikke bare brukerfiler som dokumenter, bilder, videoer og musikk på er.

Les mer: Hvordan gjenopprette Windows OS

Som du kan se, er CSRSS.EXE i de fleste tilfeller en av de viktigste prosessene for driften av operativsystemet. Men noen ganger kan det påbegynnes av et virus. I dette tilfellet er det nødvendig å utføre prosedyren for fjerning i henhold til anbefalingene som er gitt i denne artikkelen.