Dacă lucrați adesea cu Windows Task Manager, acestea nu au putut să acorde atenție că obiectul CSRSS.EXE este întotdeauna prezent în lista de procese. Să aflăm ce este acest element, cât de important este pentru sistem și nu rulează pericolul pentru computer.
Informații despre csrss.exe.
Csrss.exe este executat de un fișier de sistem cu numele de același nume. Acesta este prezent în toate OS Windovs Lineup, începând cu versiunea de Windows 2000. Puteți să o vedeți prin conducerea managerului de activități (combinația CTRL + SHIFT + ESC) în fila Procese. Este mai ușor să o găsiți, să distrați datele din coloana "Nume imagine" în ordine alfabetică.
Pentru fiecare sesiune există un proces separat al CSRS. Prin urmare, pe PC-urile convenționale, sunt lansate simultan două astfel de procese și pot fi zeci pe PC-ul serverului. Cu toate acestea, în ciuda faptului că sa constatat că procesele ar putea fi două și, în unele cazuri, chiar mai mult, aceasta corespunde numai la singurul fișier CSRSS.EXE.
Pentru a vedea toate obiectele CSRSS.EXE activate în sistem prin intermediul managerului de activități, faceți clic pe "Afișați toate procesele utilizatorilor".
După aceea, dacă lucrați în instanța obișnuită, nu server de Windows, atunci două elemente CSRSS.EXE apar în lista Managerului de activități.
Funcții
În primul rând, aflăm de ce acest element este solicitat de sistem.Numele "csrss.exe" este o abreviere de la "Subsistemul Runtime Client-server", care este tradus din limba engleză înseamnă "subsistemul de execuție a serverului client". Adică, procesul servește ca un fel de conexiuni de legătură de legare și server din sistemul Windows.
Acest proces este necesar pentru a afișa componenta grafică, adică ceea ce vedem pe ecran. Este implicat în primul rând când sistemul este opritor, precum și atunci când se șterge sau instalează subiectul. Fără CSRSS.EXE va fi, de asemenea, imposibil de lansat console (CMD și colab.). Procesul este necesar pentru funcționarea serviciilor terminale și pentru conectarea la distanță la desktop. Fișierul pe care l-am studiat procesează, de asemenea, o varietate de fluxuri de operare în subsistemul Win32.
Mai mult, dacă CSRSS.EXE este finalizată (indiferent de modul în care: utilizatorul de urgență sau forțat), atunci sistemul așteaptă prăbușirea, ceea ce va duce la apariția BSOD. Astfel, se poate spune că funcționarea ferestrelor fără un proces activ CSRSS.EXE este imposibilă. Prin urmare, pentru a opri acest lucru este forțat numai dacă sunteți încrezător că a fost înlocuit cu un obiect viral.
Locația fișierului
Acum aflați unde este plasată fizic pe hard disk-ul CSRSS.EXE. Puteți obține informații despre acest lucru cu același manager de sarcini.
- După ce managerul de activități stabilește modul de afișare al tuturor proceselor de utilizator, faceți butonul din dreapta al mouse-ului pe oricare dintre obiectele din numele "CSRSS.EXE". În lista de context, selectați "Deschideți stocarea fișierelor".
- Conductorul va deschide directorul de locație al fișierului dorit. Adresa ei poate fi găsită prin selectarea barei de adrese a ferestrei. Afișează calea către folderul de locație al obiectului. Adresa consideră:
C: \ Windows \ System32
Acum, cunoașterea adresei, puteți merge la directorul locației obiectului fără utilizarea dispecerului de sarcini.
- Deschideți Explorer, introduceți sau introduceți în avans adresa menționată mai sus în bara de adrese. Faceți clic pe Enter sau faceți clic pe pictograma ca o săgeată în partea dreaptă a șirului de adrese.
- Conductorul va deschide directorul locației CSRSS.EXE.
Identificarea fișierelor
În același timp, situația nu este neobișnuită când diversele aplicații virale (rootkits) sunt mascate sub csrss.exe. În acest caz, este important să se identifice care fișier afișează un anumit csrss.exe în managerul de activități. Deci, aflăm în ce condiții, procesul desemnat ar trebui să vă atragă atenția.
- În primul rând, ar trebui să apară întrebări dacă în managerul de activități din modul de afișare al proceselor tuturor utilizatorilor din sistemul obișnuit, nu server, veți vedea mai mult de două obiecte CSRSS. Unul dintre ele este cel mai probabil un virus. Compararea obiectelor, acordați atenție consumului de eficiență. În condiții normale de CSRS, este instalat o limită de 3000 KB. Acordați atenție managerului de sarcini la indicatorul corespunzător din coloana "Memorie". Depășirea limitei de mai sus înseamnă că ceva este în neregulă cu fișierul.
În plus, trebuie remarcat faptul că, de obicei, acest proces nu este livrat de către procesorul central (CPU). Uneori este permisă creșterea consumului de resurse CPU la câteva procente. Dar, atunci când sarcina este calculată cu zeci de procente, acest lucru sugerează că fie fișierul în sine este viral, fie sistemul ca un lucru întreg nu este în ordine.
- În managerul de activități din coloana utilizator ("Nume de utilizator"), în fața obiectului studiat, acesta trebuie să fie valoarea "sistem" ("sistem"). Dacă o altă inscripție este afișată acolo, inclusiv numele profilului actual de utilizator, atunci cu o mare încredere, putem spune că avem de-a face cu un virus.
- În plus, puteți verifica autenticitatea fișierului încercând să o forțezi să nu mai funcționeze. Pentru a face acest lucru, un obiect suspect selectați numele "csrss.exe" și faceți clic pe "procesul complet" din Managerul de activități.
După aceea, caseta de dialog trebuie deschisă, care afirmă că oprirea procesului specificat va duce la finalizarea sistemului. În mod natural, nu este necesar să o opriți, astfel încât să faceți clic pe butonul "Anulare". Dar apariția unui astfel de mesaj este deja o confirmare indirectă a faptului că fișierul este autentic. Dacă mesajul va fi absent, acest lucru înseamnă cu exactitate faptul că fișierul este fals.
- De asemenea, unele date de autentificare de fișiere pot fi învățate din proprietățile sale. Faceți clic pe numele unui obiect suspect în directorul de activități Faceți clic dreapta. În lista de context, selectați "Proprietăți".
Se deschide fereastra Proprietăți. Deplasați-vă în fila General. Acordați atenție parametrului "Locație". Calea către directorul locației fișierului trebuie să respecte adresa pe care am vorbit deja mai sus:
C: \ Windows \ System32
Dacă este specificată o altă adresă, aceasta înseamnă că procesul este fals.
În aceeași filă în apropierea parametrului "Dimensiune fișier", valoarea de 6 kb ar trebui să stea. Dacă este indicată o altă dimensiune, atunci obiectul este fals.
Deplasați-vă în fila "Detalii". În apropierea parametrului "Copyright" ar trebui să fie valoarea "Microsoft" Corporation ("Microsoft Corporation").
Dar, din păcate, chiar și cu toate cerințele de mai sus, fișierul CSRSS.EXE poate fi viral. Faptul este că virusul nu poate fi doar mascat sub obiect, ci și infectează un fișier real.
În plus, problema consumului inutil de resurse a sistemului CSRSS.EXE poate fi cauzată nu numai de virus, ci și deteriorarea profilului de utilizator. În acest caz, puteți încerca să "răsuciți" un sistem de operare la un punct de recuperare anterior sau să formați un nou profil de utilizator și să lucrați deja în el.
Eliminarea amenințării
Ce se întâmplă dacă aflați că CSRSS.EXE nu este apelat la un fișier original OS și virusul? Vom trece de faptul că antivirusul dvs. obișnuit nu a putut identifica codul rău intenționat (altfel nu ați observa problema). Prin urmare, pentru a elimina procesul, vom lua alți pași.
Metoda 1: Scanarea antivirusului
Mai întâi de toate, scanați sistemul cu un scaner anti-virus de încredere, cum ar fi Dr.Web Creaity.
Este demn de remarcat faptul că scanarea sistemului de viruși este recomandată pentru a efectua prin modul sigur de ferestre, atunci când funcționează în care numai acele procese care oferă funcționarea de bază a computerului vor funcționa, adică virusul va "dormi" , și găsiți-o în acest fel va fi mult mai ușoară.
Citiți mai multe: Introducem "modul de siguranță" prin BIOS
Metoda 2: Îndepărtarea manuală
Dacă scanarea nu dă rezultate, dar vedeți în mod clar că fișierul CSRSS.EXE nu este în directoarele în care se presupune că este, atunci în acest caz trebuie să aplicați procedura manuală de eliminare.
- În Managerul de activități, selectați numele corespunzător obiectului fals și faceți clic pe butonul "Procesul complet".
- După aceasta, utilizați conductorul, mergeți la directorul locului de obiect. Acesta poate fi orice alt director decât dosarul "System32". Faceți clic pe obiectul din dreapta al mouse-ului și selectați "Ștergere".
Dacă nu puteți opri procesul în managerul de activități sau ștergeți un fișier, opriți computerul și accesați sistemul în modul Safe (tasta F8 sau o combinație de Shift + F8 când se încarcă, în funcție de versiunea OS). Apoi efectuați procedura pentru ștergerea unui obiect din directorul locației sale.
Metoda 3: Restaurarea sistemului
Și, în cele din urmă, dacă nici prima dată, nici cea de-a doua metode nu au cauzat un rezultat adecvat și nu ați putut scăpa de procesul viral deghizat sub csrss.exe, puteți ajuta funcția de restaurare a sistemului furnizată în Windows.
Esența acestei caracteristici este că alegeți unul dintre punctele de lansare existente, care vă va permite să returnați sistemul în perioada de timp selectată: dacă virusul lipsește pe computer, acest instrument îl va elimina.
Această caracteristică are, de asemenea, o parte inversă a medaliei: Dacă după crearea unui punct particular, au fost instalate programe, setările au fost introduse în ele, iar așa cum o va atinge în același mod. Recuperarea sistemului nu afectează numai fișierele de utilizator la care sunt documentele, fotografiile, videoclipurile și muzica.
Citește mai mult: Cum de a restabili Windows OS
După cum puteți vedea, în cele mai multe cazuri csrss.exe este unul dintre cele mai importante procese de funcționare a sistemului de operare. Dar uneori poate fi inițiată de un virus. În acest caz, este necesar să se efectueze procedura de eliminare a acesteia în conformitate cu recomandările prevăzute în prezentul articol.