กระบวนการ csrss.exe คืออะไร

หากคุณทำงานกับ Windows Task Manager พวกเขาไม่สามารถให้ความสนใจว่าวัตถุ CSRSS.exe อยู่ในรายการกระบวนการเสมอ มาหาสิ่งที่รายการนี้คืออะไรความสำคัญสำหรับระบบและไม่ได้รับอันตรายต่อคอมพิวเตอร์

ข้อมูลเกี่ยวกับ csrss.exe

csrss.exe ถูกดำเนินการโดยไฟล์ระบบที่มีชื่อของชื่อเดียวกัน มีอยู่ในรายการ OS Windovs ทั้งหมดเริ่มต้นด้วยรุ่นของ Windows 2000 คุณสามารถดูได้โดยใช้งานตัวจัดการงาน (การรวม CTRL + SHIFT + ESC) ในแท็บกระบวนการ ง่ายที่สุดในการค้นหาให้ความบันเทิงในคอลัมน์ "ชื่อรูปภาพ" ตามลำดับตัวอักษร

สำหรับแต่ละเซสชันมีกระบวนการ CSRS ที่แยกต่างหาก ดังนั้นบนพีซีแบบเดิมสองกระบวนการดังกล่าวจะเปิดตัวพร้อมกันและอาจมี tens บนพีซีเซิร์ฟเวอร์ อย่างไรก็ตามแม้จะมีข้อเท็จจริงที่ว่ากระบวนการนี้อาจเป็นสองและในบางกรณียิ่งไปกว่านั้นมันสอดคล้องกับเฉพาะไฟล์ csrss.exe เท่านั้น

ในการดูวัตถุ CSRSS.exe ทั้งหมดที่เปิดใช้งานในระบบผ่านตัวจัดการงานคลิกที่ "แสดงกระบวนการผู้ใช้ทั้งหมด"

ไปแสดงกระบวนการของผู้ใช้ทั้งหมดในตัวจัดการงาน

หลังจากนั้นถ้าคุณทำงานตามปกติไม่ใช่อินสแตนซ์ของเซิร์ฟเวอร์ของ Windows จากนั้นองค์ประกอบ CSRSS.exe สองรายการจะปรากฏในรายการตัวจัดการงาน

ฟังก์ชั่น

ก่อนอื่นเราพบว่าสาเหตุที่ระบบนี้ต้องการโดยระบบ

ชื่อ "csrss.exe" เป็นตัวย่อจาก "Server-Server Runtime Subsystem" ซึ่งเป็นการแปลจากภาษาอังกฤษหมายถึง "ระบบย่อยเวลาดำเนินการเซิร์ฟเวอร์ไคลเอนต์" นั่นคือกระบวนการทำหน้าที่เป็นไคลเอนต์เชื่อมโยงเชื่อมโยงและภูมิภาคของระบบ Windows

กระบวนการนี้จำเป็นต้องแสดงองค์ประกอบกราฟิกนั่นคือสิ่งที่เราเห็นบนหน้าจอ ส่วนเกี่ยวข้องเป็นหลักเมื่อระบบปิดเครื่องรวมถึงเมื่อลบหรือติดตั้งหัวข้อ หากไม่มี csrss.exe จะเป็นไปไม่ได้ที่จะเปิดตัวคอนโซล (cmd et al.) กระบวนการนี้เป็นสิ่งจำเป็นสำหรับการดำเนินงานของบริการเทอร์มินัลและเชื่อมต่อกับเดสก์ท็อปจากระยะไกล ไฟล์ที่เราศึกษายังประมวลผลการไหลของระบบปฏิบัติการที่หลากหลายในระบบย่อย Win32

นอกจากนี้หาก csrss.exe เสร็จสมบูรณ์ (ไม่ว่าอย่างไร: ฉุกเฉินหรือผู้ใช้ประกาศ) จากนั้นระบบกำลังรอการล่มสลายซึ่งจะนำไปสู่การปรากฏตัวของ BSOD ดังนั้นจึงอาจกล่าวได้ว่าการทำงานของ Windows โดยไม่มีกระบวนการที่ใช้งานอยู่ csrss.exe เป็นไปไม่ได้ ดังนั้นหากต้องการหยุดมันถูกบังคับ แต่เพียงผู้เดียวหากคุณมั่นใจว่ามันถูกแทนที่ด้วยวัตถุไวรัส

ตำแหน่งไฟล์

ตอนนี้พบว่า csrss.exe อยู่ที่ไหนบนฮาร์ดไดรฟ์ คุณสามารถรับข้อมูลเกี่ยวกับสิ่งนี้ด้วยตัวจัดการงานเดียวกัน

หลังจากตัวจัดการงานตั้งค่าโหมดการแสดงผลของกระบวนการผู้ใช้ทั้งหมดให้ปุ่มเมาส์ขวาบนวัตถุใด ๆ ภายใต้ชื่อ "csrss.exe" ในรายการบริบทให้เลือก "เปิดไฟล์ที่เก็บข้อมูล"

ไปที่ตำแหน่งของการจัดเก็บไฟล์ csrss.exe ผ่านเมนูบริบทในตัวจัดการงาน

ตัวนำจะเปิดไดเร็กทอรีตำแหน่งของไฟล์ที่ต้องการ ที่อยู่ของเธอสามารถพบได้โดยเลือกแถบที่อยู่ของหน้าต่าง มันแสดงเส้นทางไปยังโฟลเดอร์ตำแหน่งของวัตถุ ที่อยู่เชื่อ:
C: \ Windows \ System32

ที่อยู่จัดเก็บไฟล์ csrss.exe ใน Windows Explorer

ตอนนี้รู้ที่อยู่คุณสามารถไปที่ไดเรกทอรีของตำแหน่งวัตถุโดยไม่ต้องใช้งานของนักเกษียณงาน

เปิด Explorer ป้อนหรือแทรกล่วงหน้าที่อยู่ดังกล่าวข้างต้นในแถบที่อยู่ คลิกป้อนหรือคลิกที่ไอคอนเป็นลูกศรไปทางขวาของสตริงที่อยู่

สลับไปยังตำแหน่งของไฟล์ csrss.exe ด้วย Windows Explorer

ตัวนำจะเปิดไดเรกทอรีตำแหน่ง CSRSS.exe

การระบุไฟล์

ในเวลาเดียวกันสถานการณ์ไม่ใช่เรื่องแปลกเมื่อแอปพลิเคชันไวรัสต่าง ๆ (รูทคิต) ถูกปิดบังภายใต้ csrss.exe ในกรณีนี้สิ่งสำคัญคือการระบุไฟล์ใดที่แสดง csrss.exe เฉพาะในตัวจัดการงาน ดังนั้นเราจึงพบว่ากระบวนการที่กำหนดควรดึงดูดความสนใจของคุณ

ก่อนอื่นคำถามควรปรากฏขึ้นหากอยู่ในตัวจัดการงานในโหมดการแสดงผลของกระบวนการของผู้ใช้ทั้งหมดในระบบเซิร์ฟเวอร์ปกติไม่ใช่คุณจะเห็นวัตถุ CSRS มากกว่าสองตัว หนึ่งในนั้นมีแนวโน้มมากที่สุดไวรัส การเปรียบเทียบวัตถุให้ความสนใจกับการบริโภคที่มีประสิทธิภาพ ภายใต้สภาวะปกติสำหรับ CSRSS มีการติดตั้งขีด จำกัด 3000 KB ใส่ใจกับตัวจัดการงานเป็นตัวบ่งชี้ที่สอดคล้องกันในคอลัมน์ "หน่วยความจำ" เกินขีด จำกัด ข้างต้นหมายความว่ามีบางอย่างผิดปกติกับไฟล์

นอกจากนี้ควรสังเกตว่าโดยปกติแล้วกระบวนการนี้จะไม่จัดส่งโดยโปรเซสเซอร์กลาง (CPU) บางครั้งมันได้รับอนุญาตให้เพิ่มการบริโภคทรัพยากร CPU เป็นสองเท่า แต่เมื่อมีการคำนวณภาระที่มีเปอร์เซ็นต์จำนวนสิบเปอร์เซ็นต์นี้ชี้ให้เห็นว่าไฟล์นั้นเป็นไวรัสหรือระบบเป็นสิ่งที่ไม่ได้อยู่ในลำดับ

แสดงโหลดบนตัวประมวลผล CSRSS.exe Central ในตัวจัดการงาน

ในตัวจัดการงานในคอลัมน์ผู้ใช้ ("ชื่อผู้ใช้") ที่อยู่ด้านหน้าของวัตถุที่กำลังศึกษาต้องเป็น "ระบบ" ค่า ("ระบบ") หากมีการจารึกอื่นปรากฏขึ้นรวมถึงชื่อของโปรไฟล์ผู้ใช้ปัจจุบันแล้วด้วยความมั่นใจอย่างมากเราสามารถพูดได้ว่าเรากำลังเผชิญกับไวรัส

csrss.exe กระบวนการชื่อผู้ใช้ในตัวจัดการงาน

นอกจากนี้คุณสามารถตรวจสอบความถูกต้องของไฟล์ได้โดยพยายามบังคับให้หยุดทำงาน ในการทำเช่นนี้วัตถุที่น่าสงสัยเลือกชื่อ "csrss.exe" แล้วคลิกที่ "กระบวนการที่สมบูรณ์" ในตัวจัดการงาน

หลังจากนั้นควรเปิดกล่องโต้ตอบซึ่งระบุว่าการหยุดกระบวนการที่ระบุจะส่งผลให้ระบบเสร็จสมบูรณ์ ตามธรรมชาติไม่จำเป็นต้องหยุดมันดังนั้นคลิกที่ปุ่ม "ยกเลิก" แต่การปรากฏตัวของข้อความดังกล่าวนั้นเป็นการยืนยันทางอ้อมของความจริงที่ว่าไฟล์เป็นของแท้ หากข้อความจะหายไปนี้อย่างถูกต้องหมายถึงความจริงที่ว่าไฟล์เป็นของปลอม

การเตือนความสำเร็จของกระบวนการ csrss.exe

นอกจากนี้ข้อมูลการพิสูจน์ตัวตนไฟล์บางอย่างสามารถเรียนรู้จากคุณสมบัติของมัน คลิกที่ชื่อของวัตถุที่น่าสงสัยในตัวจัดการงานคลิกขวา ในรายการบริบทให้เลือก "คุณสมบัติ"

หน้าต่างคุณสมบัติจะเปิดขึ้น ย้ายไปที่แท็บทั่วไป ใส่ใจกับพารามิเตอร์ "ตำแหน่ง" เส้นทางไปยังไดเรกทอรีตำแหน่งไฟล์จะต้องปฏิบัติตามที่อยู่ที่เราได้พูดไว้ข้างต้นแล้ว:
C: \ Windows \ System32
หากระบุที่อยู่อื่นใดที่นั่นหมายความว่ากระบวนการเป็นของปลอม
ในแท็บเดียวกันใกล้กับพารามิเตอร์ "ขนาดไฟล์" ค่าของ 6 KB ควรยืน หากระบุขนาดอื่นวัตถุจึงเป็นของปลอม

ย้ายเข้าสู่แท็บ "รายละเอียด" ใกล้พารามิเตอร์ "ลิขสิทธิ์" ควรเป็นค่า "Microsoft" Corporation ("Microsoft Corporation")

แต่น่าเสียดายที่แม้จะมีข้อกำหนดข้างต้นทั้งหมดไฟล์ CSRSS.exe อาจเป็นไวรัส ความจริงก็คือไวรัสไม่เพียง แต่จะถูกหลอกลวงภายใต้วัตถุ แต่ยังติดไฟล์จริง

นอกจากนี้ปัญหาการใช้ทรัพยากรที่ไม่จำเป็นของระบบ CSRSS.exe อาจเกิดจากไวรัสเท่านั้น แต่ยังสร้างความเสียหายต่อโปรไฟล์ผู้ใช้ ในกรณีนี้คุณสามารถลอง "ย้อนกลับ" เป็นระบบปฏิบัติการไปยังจุดกู้คืนก่อนหน้าหรือสร้างโปรไฟล์ผู้ใช้ใหม่และทำงานอยู่แล้วในนั้น

การกำจัดภัยคุกคาม

ถ้าคุณทราบว่า csrss.exe นั้นไม่ถูกเรียกว่าไม่ใช่ไฟล์ระบบปฏิบัติการดั้งเดิมและไวรัส? เราจะดำเนินการต่อจากความจริงที่ว่าโปรแกรมป้องกันไวรัสปกติของคุณไม่สามารถระบุรหัสที่เป็นอันตราย (มิฉะนั้นคุณจะไม่สังเกตเห็นปัญหา) ดังนั้นเพื่อกำจัดกระบวนการเราจะทำตามขั้นตอนอื่น ๆ

วิธีที่ 1: การสแกนไวรัส

ก่อนอื่นให้สแกนระบบด้วยสแกนเนอร์ป้องกันไวรัสที่เชื่อถือได้เช่น Dr.Web Cureit

ระบบสแกนสำหรับยูทิลิตี้ไวรัส Dr.Web Cureit!

มันเป็นที่น่าสังเกตว่าการสแกนระบบสำหรับไวรัสแนะนำให้ดำเนินการผ่านโหมดปลอดภัยของ Windows เมื่อทำงานที่กระบวนการเหล่านั้นเฉพาะที่ให้การทำงานพื้นฐานของคอมพิวเตอร์เท่านั้นที่จะทำงานได้คือไวรัสจะ "นอนหลับ" และค้นหาด้วยวิธีนี้จะง่ายขึ้นมาก

อ่านเพิ่มเติม: เราป้อน "เซฟโหมด" ผ่าน BIOS

วิธีที่ 2: การกำจัดด้วยตนเอง

หากการสแกนไม่ให้ผลลัพธ์ แต่คุณเห็นอย่างชัดเจนว่าไฟล์ csrss.exe ไม่ได้อยู่ในไดเรกทอรีที่ควรจะเป็นในกรณีนี้คุณต้องใช้ขั้นตอนการกำจัดด้วยตนเอง

ในตัวจัดการงานให้เลือกชื่อที่สอดคล้องกับวัตถุปลอมแล้วคลิกที่ปุ่ม "กระบวนการที่สมบูรณ์"

การแทรกของกระบวนการ csrss.exe ปลอมในตัวจัดการงาน

หลังจากนั้นใช้ตัวนำให้ไปที่ไดเรกทอรีตำแหน่งวัตถุ มันสามารถเป็นไดเรกทอรีอื่นนอกเหนือจากโฟลเดอร์ "System32" คลิกที่วัตถุเมาส์ขวาและเลือก "ลบ"

การลบไฟล์ viral csrss.exe ผ่านเมนูบริบทใน Windows Explorer

หากคุณไม่สามารถหยุดกระบวนการในตัวจัดการงานหรือลบไฟล์ให้ปิดคอมพิวเตอร์และไปที่ระบบในเซฟโหมด (คีย์ F8 หรือการรวมกันของ SHIFT + F8 เมื่อโหลดขึ้นอยู่กับรุ่น OS) จากนั้นทำขั้นตอนสำหรับการลบวัตถุจากไดเรกทอรีของตำแหน่ง

วิธีที่ 3: การคืนค่าระบบ

และในที่สุดถ้าไม่ใช่วิธีที่สองหรือวิธีที่สองทำให้เกิดผลลัพธ์ที่เหมาะสมและคุณไม่สามารถกำจัดกระบวนการไวรัสที่ปลอมตัวอยู่ภายใต้ csrss.exe คุณสามารถช่วยฟังก์ชั่นการคืนค่าระบบสำหรับใน Windows

สาระสำคัญของคุณสมบัตินี้คือคุณเลือกหนึ่งในจุดย้อนกลับที่มีอยู่ซึ่งจะช่วยให้คุณสามารถส่งคืนระบบไปยังระยะเวลาที่เลือก: หากไวรัสหายไปในคอมพิวเตอร์เครื่องมือนี้จะกำจัดมัน

คุณสมบัตินี้ยังมีด้านหลังของเหรียญ: หากหลังจากสร้างจุดเฉพาะโปรแกรมถูกติดตั้งการตั้งค่าถูกป้อนลงในนั้นและแบบนี้จะแตะมันในลักษณะเดียวกัน การกู้คืนระบบไม่ส่งผลกระทบต่อเฉพาะไฟล์ผู้ใช้ซึ่งเอกสารภาพถ่ายวิดีโอและเพลงเท่านั้น

อ่านเพิ่มเติม: วิธีการคืนค่า Windows OS

อย่างที่คุณเห็นในกรณีส่วนใหญ่ csrss.exe เป็นหนึ่งในกระบวนการที่สำคัญที่สุดสำหรับการทำงานของระบบปฏิบัติการ แต่บางครั้งมันสามารถริเริ่มโดยไวรัส ในกรณีนี้จำเป็นต้องดำเนินการขั้นตอนการลบตามคำแนะนำที่ให้ไว้ในบทความนี้