Ak často pracujete s Windows Task Manager, nemohli venovať pozornosť, že CSRSS.EXE objekt je vždy prítomný v zozname procesov. Pozrime sa na to, čo je táto položka, aké dôležité je pre systém a nespustí nebezpečenstvo k počítaču.
Informácie o CSRSS.EXE
CSRSS.EXE je vykonaný systémovým súborom s názvom rovnakého mena. Je prítomný vo všetkých LineUP OS Windovs, počnúc verziou systému Windows 2000. Môžete ju vidieť spustením Správcu úloh (CTRL + SHIFT + ESC kombinácia) v karte Proces. Je najjednoduchšie nájsť ho, zábavné údaje v stĺpci "Názov obrázka" v abecednom poradí.
Pre každú reláciu je samostatný proces CSRSS. Preto sa na konvenčných počítačoch súčasne spustia dva takéto procesy a na serverovom počítači môžu byť desiatky. Napriek tomu, že to bolo zistené, že procesy by mohli byť dve, av niektorých prípadoch ešte viac zodpovedá len jediným súborom CSRSS.exe.
Aby ste videli všetky objekty CSRSS.exe aktivované v systéme prostredníctvom Správcu úloh, kliknite na "Zobraziť všetky procesy používateľa".
Potom, ak pracujete v obvyklých, nie serverovom inštancii systému Windows, potom sa v zozname Správca úloh zobrazia dva prvky CSRSS.EXE.
Funkcie
Po prvé, zistíme, prečo táto položka vyžaduje systém.Názov "CSRSS.EXE" je skratka z "Client-Server Runtime Subsystem", ktorá je preložená z angličtiny znamená "Subsystém vykonávania účtu klienta-server". To znamená, že proces slúži ako druh záväzného odkazu klienta a serverové oblasti systému Windows.
Tento proces je potrebný na zobrazenie grafickej zložky, to znamená, čo vidíme na obrazovke. Je primárne zapojený, keď je systém vypnutý, ako aj pri vymazaní alebo inštalácii témy. Bez CSRSS.EXE bude tiež nemožné spustiť konzoly (CMD a kol.). Proces je potrebný na prevádzku terminálových služieb a na diaľku pripojenú na pracovnú plochu. Súbor, ktorý sme študovali, tiež spracováva rôzne operačné toky v subsystéme Win32.
Okrem toho, ak je CSRSS.EXE dokončený (bez ohľadu na to, ako: Núdzové alebo núdzové alebo užívateľom), potom systém čaká na kolaps, ktorý bude viesť k vzniku BSOD. Dá sa teda povedať, že fungovanie systému Windows bez aktívneho procesu CSRSS.EXE je nemožné. Preto zastaviť, je nútený výlučne, ak ste presvedčení, že bol nahradený vírusovým predmetom.
Umiestnenie súboru
Teraz zistite, kde je CSRSS.EXE umiestnený fyzicky na pevnom disku. Môžete získať informácie o tom s rovnakým správcom úloh.
- Po nastavení správcu úlohy režim zobrazenia všetkých užívateľských procesov, urobte pravé tlačidlo myši na ktoréhokoľvek z objektov pod názvom "CSRSS.EXE". V zozname Kontext vyberte možnosť "Otvoriť ukladanie súborov".
- Vodič otvorí názov polohy požadovaného súboru. Jej adresa možno nájsť výberom panela s adresou okna. Zobrazí cestu do priečinka polohy objektu. Adresa verí:
C: Windows System32
Teraz, poznávať adresu, môžete prejsť do adresára miesta objektu bez použitia dispečerov úloh.
- Otvorte Explorer, zadajte alebo vložte vopred vyššie uvedenú adresu v jej adrese. Kliknite na tlačidlo ENTER alebo kliknite na ikonu ako šípku vpravo od reťazca adries.
- Vodič otvorí adresár polohy CSRSS.exe.
Identifikácia súborov
Zároveň je situácia nezvyčajná, keď sú pod CSRSS.EXE maskované rôzne vírusové aplikácie (rootkits). V tomto prípade je dôležité určiť, ktorý súbor zobrazuje špecifické CSRSS.exe v správcovi úloh. Takže, zistíme, že za akých podmienok by mal určený proces prilákať vašu pozornosť.
- Po prvé, otázky by sa mali objaviť, ak v Správcovi úloh v režime zobrazenia procesov všetkých používateľov v obvyklom, nie serverovom systéme uvidíte viac ako dva objekty CSRSS. Jeden z nich je s najväčšou pravdepodobnosťou vírusom. Porovnanie objektov, venujte pozornosť spotrebe účinnosti. Za normálnych podmienok pre CSRS je nainštalovaný limit 3000 kB. Venujte pozornosť správcovi Úloh na zodpovedajúci indikátor v stĺpci "Memory". Prekročenie vyššie uvedeného obmedzenia znamená, že je niečo zlé so súborom.
Okrem toho treba poznamenať, že tento proces zvyčajne nenapraví centrálny procesor (CPU). Niekedy je možné zvýšiť spotrebu zdrojov CPU na niekoľko percent. Keď sa však zaťaženie vypočíta s desiatkami percent, to naznačuje, že samotný súbor je vírusový alebo systém ako celok nie je v poriadku.
- V Správcovi Úloha v stĺpci používateľa ("User Meno") pred objektom, ktorý sa bude študovať, musí byť "Systémová" hodnota ("System"). Ak sa tam zobrazí iný nápis, vrátane názvu aktuálneho užívateľského profilu, potom s veľkým problémom dôvery, môžeme povedať, že sa zaoberáme vírusom.
- Okrem toho môžete skontrolovať pravosť súboru tým, že sa budete snažiť, aby ste ho mohli prestať pracovať. Ak to chcete urobiť, podozrivý objekt vyberte názov "CSRSS.exe" a kliknite na "Kompletný proces" v správcovi úloh.
Potom by sa mal otvoriť dialógové okno, ktoré uvádza, že zastavenie určeného procesu bude mať za následok ukončenie systému. Samozrejme, že to nie je potrebné zastaviť, takže kliknite na tlačidlo "Zrušiť". Ale vzhľad takejto správy je už nepriamym potvrdením skutočnosti, že súbor je skutočný. Ak bude správa neprítomná, presne to znamená, že súbor je falošný.
- Niektoré údaje o autentifikácii súborov sa tiež môžu naučiť z jeho vlastností. Kliknite na názov podozrivého objektu v správcovi Úloha Kliknite pravým tlačidlom myši. V zozname Kontext vyberte "Vlastnosti".
Otvorí sa okno Vlastnosti. Presunúť sa na kartu Všeobecné. Venujte pozornosť parametrom "Umiestnenie". Cesta k adresárovi súboru musí spĺňať adresu, ktorú sme už hovorili:
C: Windows System32
Ak je tu špecifikovaná iná adresa, znamená to, že proces je falošný.
Na tej istej karte v blízkosti parametra "veľkosť súboru", hodnota 6 kB by mala stáť. Ak je indikovaná iná veľkosť, potom je objekt falošný.
Presunúť sa do karty "Podrobnosti". V blízkosti parametra "Copyright" by mala byť hodnota "Microsoft" Corporation ("Microsoft Corporation").
Ale, bohužiaľ, aj so všetkými vyššie uvedenými požiadavkami, súbor CSRSS.exe môže byť vírusový. Faktom je, že vírus môže byť nielen maskovaný pod objektom, ale tiež infikovať skutočný súbor.
Okrem toho, problém zbytočnej spotreby zdrojov systému CSRSS.EXE môže byť spôsobená nielen vírusom, ale aj poškodením užívateľského profilu. V tomto prípade sa môžete pokúsiť "Roll Back" OS na skorší bod obnovenia alebo vytvorte nový užívateľský profil a pracovať už v ňom.
Eliminácia hrozby
Čo ak zistíte, že CSRSS.EXE sa volá nie originálny súbor OS a vírus? Budeme pokračovať zo skutočnosti, že váš pravidelný antivírus nemohol identifikovať škodlivý kód (inak by ste si ani nevšimli problém). Preto odstrániť proces, podnikneme ďalšie kroky.
Metóda 1: Antivírusové skenovanie
Po prvé, skenovať systém s spoľahlivým antivírusovým skenerom, ako je napríklad Dr.Web Cureit.
Stojí za zmienku, že skenovanie systému pre vírusy sa odporúča vykonávať cez bezpečný režim systému Windows, keď pracujete, v ktorých budú fungovať len tie procesy, ktoré poskytujú základné fungovanie počítača, bude fungovať, to znamená, že vírus bude "spať" A zistíte ho týmto spôsobom, bude oveľa jednoduchšie.
Čítajte viac: Zadajte "bezpečný režim" cez BIOS
Metóda 2: Manuálne odstránenie
Ak skenovanie nedáva výsledky, ale jasne vidíte, že súbor CSRSS.exe nie je v adresároch, v ktorých má byť, potom v tomto prípade musíte použiť postup manuálneho odstránenia.
- V Správcovi úloh vyberte názov zodpovedajúce falošnému objektu a kliknite na tlačidlo "Dokončiť proces".
- Potom pomocou vodiča prejdite na adresár umiestnenia objektu. Môže to byť iný adresár iný ako "System32" priečinok. Kliknite na pravého objektu myši a zvoľte "Delete".
Ak nemôžete zastaviť proces v Správcovi úloh alebo odstrániť súbor, vypnite počítač a prejdite do systému v núdzovom režime (kláves F8 alebo kombinácia SHIFT + F8 pri načítaní, v závislosti od verzie OS). Potom vykonajte postup vymazania objektu z adresára jeho umiestnenia.
Metóda 3: Obnovovanie systému
A konečne, ak ani prvé, ani druhé metódy spôsobili riadny výsledok, a nemohli ste sa zbaviť vírusového procesu skrytými v CSRSS.EXE, môžete pomôcť funkcii obnovy systému uvedenú v systéme Windows.
Podstatou tejto funkcie je, že si vyberiete jednu z existujúcich bodov rollback, čo vám umožní vrátiť systém do zvoleného časového obdobia: Ak je vírus chýbal na počítači, tento nástroj ho odstráni.
Táto funkcia má tiež reverznú stranu medaily: ak boli po vytvorení konkrétneho bodu, boli nainštalované programy, do nich boli zadané nastavenia, a podobne sa dotkne takto. Obnova systému neovplyvňuje len užívateľské súbory, ku ktorému sú dokumenty, fotografie, videá a hudbu.
Čítajte viac: Ako obnoviť operačný systém Windows
Ako vidíte, vo väčšine prípadov je CSRSS.EXE jedným z najdôležitejších procesov prevádzky operačného systému. Ale niekedy môže byť iniciovaný vírusom. V tomto prípade je potrebné vykonať postup na jeho odstránenie podľa odporúčaní uvedených v tomto článku.