หากคุณทำงานกับ Windows Task Manager พวกเขาไม่สามารถให้ความสนใจว่าวัตถุ CSRSS.exe อยู่ในรายการกระบวนการเสมอ มาหาสิ่งที่รายการนี้คืออะไรความสำคัญสำหรับระบบและไม่ได้รับอันตรายต่อคอมพิวเตอร์
ข้อมูลเกี่ยวกับ csrss.exe
csrss.exe ถูกดำเนินการโดยไฟล์ระบบที่มีชื่อของชื่อเดียวกัน มีอยู่ในรายการ OS Windovs ทั้งหมดเริ่มต้นด้วยรุ่นของ Windows 2000 คุณสามารถดูได้โดยใช้งานตัวจัดการงาน (การรวม CTRL + SHIFT + ESC) ในแท็บกระบวนการ ง่ายที่สุดในการค้นหาให้ความบันเทิงในคอลัมน์ "ชื่อรูปภาพ" ตามลำดับตัวอักษร
สำหรับแต่ละเซสชันมีกระบวนการ CSRS ที่แยกต่างหาก ดังนั้นบนพีซีแบบเดิมสองกระบวนการดังกล่าวจะเปิดตัวพร้อมกันและอาจมี tens บนพีซีเซิร์ฟเวอร์ อย่างไรก็ตามแม้จะมีข้อเท็จจริงที่ว่ากระบวนการนี้อาจเป็นสองและในบางกรณียิ่งไปกว่านั้นมันสอดคล้องกับเฉพาะไฟล์ csrss.exe เท่านั้น
ในการดูวัตถุ CSRSS.exe ทั้งหมดที่เปิดใช้งานในระบบผ่านตัวจัดการงานคลิกที่ "แสดงกระบวนการผู้ใช้ทั้งหมด"
หลังจากนั้นถ้าคุณทำงานตามปกติไม่ใช่อินสแตนซ์ของเซิร์ฟเวอร์ของ Windows จากนั้นองค์ประกอบ CSRSS.exe สองรายการจะปรากฏในรายการตัวจัดการงาน
ฟังก์ชั่น
ก่อนอื่นเราพบว่าสาเหตุที่ระบบนี้ต้องการโดยระบบชื่อ "csrss.exe" เป็นตัวย่อจาก "Server-Server Runtime Subsystem" ซึ่งเป็นการแปลจากภาษาอังกฤษหมายถึง "ระบบย่อยเวลาดำเนินการเซิร์ฟเวอร์ไคลเอนต์" นั่นคือกระบวนการทำหน้าที่เป็นไคลเอนต์เชื่อมโยงเชื่อมโยงและภูมิภาคของระบบ Windows
กระบวนการนี้จำเป็นต้องแสดงองค์ประกอบกราฟิกนั่นคือสิ่งที่เราเห็นบนหน้าจอ ส่วนเกี่ยวข้องเป็นหลักเมื่อระบบปิดเครื่องรวมถึงเมื่อลบหรือติดตั้งหัวข้อ หากไม่มี csrss.exe จะเป็นไปไม่ได้ที่จะเปิดตัวคอนโซล (cmd et al.) กระบวนการนี้เป็นสิ่งจำเป็นสำหรับการดำเนินงานของบริการเทอร์มินัลและเชื่อมต่อกับเดสก์ท็อปจากระยะไกล ไฟล์ที่เราศึกษายังประมวลผลการไหลของระบบปฏิบัติการที่หลากหลายในระบบย่อย Win32
นอกจากนี้หาก csrss.exe เสร็จสมบูรณ์ (ไม่ว่าอย่างไร: ฉุกเฉินหรือผู้ใช้ประกาศ) จากนั้นระบบกำลังรอการล่มสลายซึ่งจะนำไปสู่การปรากฏตัวของ BSOD ดังนั้นจึงอาจกล่าวได้ว่าการทำงานของ Windows โดยไม่มีกระบวนการที่ใช้งานอยู่ csrss.exe เป็นไปไม่ได้ ดังนั้นหากต้องการหยุดมันถูกบังคับ แต่เพียงผู้เดียวหากคุณมั่นใจว่ามันถูกแทนที่ด้วยวัตถุไวรัส
ตำแหน่งไฟล์
ตอนนี้พบว่า csrss.exe อยู่ที่ไหนบนฮาร์ดไดรฟ์ คุณสามารถรับข้อมูลเกี่ยวกับสิ่งนี้ด้วยตัวจัดการงานเดียวกัน
- หลังจากตัวจัดการงานตั้งค่าโหมดการแสดงผลของกระบวนการผู้ใช้ทั้งหมดให้ปุ่มเมาส์ขวาบนวัตถุใด ๆ ภายใต้ชื่อ "csrss.exe" ในรายการบริบทให้เลือก "เปิดไฟล์ที่เก็บข้อมูล"
- ตัวนำจะเปิดไดเร็กทอรีตำแหน่งของไฟล์ที่ต้องการ ที่อยู่ของเธอสามารถพบได้โดยเลือกแถบที่อยู่ของหน้าต่าง มันแสดงเส้นทางไปยังโฟลเดอร์ตำแหน่งของวัตถุ ที่อยู่เชื่อ:
C: \ Windows \ System32
ตอนนี้รู้ที่อยู่คุณสามารถไปที่ไดเรกทอรีของตำแหน่งวัตถุโดยไม่ต้องใช้งานของนักเกษียณงาน
- เปิด Explorer ป้อนหรือแทรกล่วงหน้าที่อยู่ดังกล่าวข้างต้นในแถบที่อยู่ คลิกป้อนหรือคลิกที่ไอคอนเป็นลูกศรไปทางขวาของสตริงที่อยู่
- ตัวนำจะเปิดไดเรกทอรีตำแหน่ง CSRSS.exe
การระบุไฟล์
ในเวลาเดียวกันสถานการณ์ไม่ใช่เรื่องแปลกเมื่อแอปพลิเคชันไวรัสต่าง ๆ (รูทคิต) ถูกปิดบังภายใต้ csrss.exe ในกรณีนี้สิ่งสำคัญคือการระบุไฟล์ใดที่แสดง csrss.exe เฉพาะในตัวจัดการงาน ดังนั้นเราจึงพบว่ากระบวนการที่กำหนดควรดึงดูดความสนใจของคุณ
- ก่อนอื่นคำถามควรปรากฏขึ้นหากอยู่ในตัวจัดการงานในโหมดการแสดงผลของกระบวนการของผู้ใช้ทั้งหมดในระบบเซิร์ฟเวอร์ปกติไม่ใช่คุณจะเห็นวัตถุ CSRS มากกว่าสองตัว หนึ่งในนั้นมีแนวโน้มมากที่สุดไวรัส การเปรียบเทียบวัตถุให้ความสนใจกับการบริโภคที่มีประสิทธิภาพ ภายใต้สภาวะปกติสำหรับ CSRSS มีการติดตั้งขีด จำกัด 3000 KB ใส่ใจกับตัวจัดการงานเป็นตัวบ่งชี้ที่สอดคล้องกันในคอลัมน์ "หน่วยความจำ" เกินขีด จำกัด ข้างต้นหมายความว่ามีบางอย่างผิดปกติกับไฟล์
นอกจากนี้ควรสังเกตว่าโดยปกติแล้วกระบวนการนี้จะไม่จัดส่งโดยโปรเซสเซอร์กลาง (CPU) บางครั้งมันได้รับอนุญาตให้เพิ่มการบริโภคทรัพยากร CPU เป็นสองเท่า แต่เมื่อมีการคำนวณภาระที่มีเปอร์เซ็นต์จำนวนสิบเปอร์เซ็นต์นี้ชี้ให้เห็นว่าไฟล์นั้นเป็นไวรัสหรือระบบเป็นสิ่งที่ไม่ได้อยู่ในลำดับ
- ในตัวจัดการงานในคอลัมน์ผู้ใช้ ("ชื่อผู้ใช้") ที่อยู่ด้านหน้าของวัตถุที่กำลังศึกษาต้องเป็น "ระบบ" ค่า ("ระบบ") หากมีการจารึกอื่นปรากฏขึ้นรวมถึงชื่อของโปรไฟล์ผู้ใช้ปัจจุบันแล้วด้วยความมั่นใจอย่างมากเราสามารถพูดได้ว่าเรากำลังเผชิญกับไวรัส
- นอกจากนี้คุณสามารถตรวจสอบความถูกต้องของไฟล์ได้โดยพยายามบังคับให้หยุดทำงาน ในการทำเช่นนี้วัตถุที่น่าสงสัยเลือกชื่อ "csrss.exe" แล้วคลิกที่ "กระบวนการที่สมบูรณ์" ในตัวจัดการงาน
หลังจากนั้นควรเปิดกล่องโต้ตอบซึ่งระบุว่าการหยุดกระบวนการที่ระบุจะส่งผลให้ระบบเสร็จสมบูรณ์ ตามธรรมชาติไม่จำเป็นต้องหยุดมันดังนั้นคลิกที่ปุ่ม "ยกเลิก" แต่การปรากฏตัวของข้อความดังกล่าวนั้นเป็นการยืนยันทางอ้อมของความจริงที่ว่าไฟล์เป็นของแท้ หากข้อความจะหายไปนี้อย่างถูกต้องหมายถึงความจริงที่ว่าไฟล์เป็นของปลอม
- นอกจากนี้ข้อมูลการพิสูจน์ตัวตนไฟล์บางอย่างสามารถเรียนรู้จากคุณสมบัติของมัน คลิกที่ชื่อของวัตถุที่น่าสงสัยในตัวจัดการงานคลิกขวา ในรายการบริบทให้เลือก "คุณสมบัติ"
หน้าต่างคุณสมบัติจะเปิดขึ้น ย้ายไปที่แท็บทั่วไป ใส่ใจกับพารามิเตอร์ "ตำแหน่ง" เส้นทางไปยังไดเรกทอรีตำแหน่งไฟล์จะต้องปฏิบัติตามที่อยู่ที่เราได้พูดไว้ข้างต้นแล้ว:
C: \ Windows \ System32
หากระบุที่อยู่อื่นใดที่นั่นหมายความว่ากระบวนการเป็นของปลอม
ในแท็บเดียวกันใกล้กับพารามิเตอร์ "ขนาดไฟล์" ค่าของ 6 KB ควรยืน หากระบุขนาดอื่นวัตถุจึงเป็นของปลอม
ย้ายเข้าสู่แท็บ "รายละเอียด" ใกล้พารามิเตอร์ "ลิขสิทธิ์" ควรเป็นค่า "Microsoft" Corporation ("Microsoft Corporation")
แต่น่าเสียดายที่แม้จะมีข้อกำหนดข้างต้นทั้งหมดไฟล์ CSRSS.exe อาจเป็นไวรัส ความจริงก็คือไวรัสไม่เพียง แต่จะถูกหลอกลวงภายใต้วัตถุ แต่ยังติดไฟล์จริง
นอกจากนี้ปัญหาการใช้ทรัพยากรที่ไม่จำเป็นของระบบ CSRSS.exe อาจเกิดจากไวรัสเท่านั้น แต่ยังสร้างความเสียหายต่อโปรไฟล์ผู้ใช้ ในกรณีนี้คุณสามารถลอง "ย้อนกลับ" เป็นระบบปฏิบัติการไปยังจุดกู้คืนก่อนหน้าหรือสร้างโปรไฟล์ผู้ใช้ใหม่และทำงานอยู่แล้วในนั้น
การกำจัดภัยคุกคาม
ถ้าคุณทราบว่า csrss.exe นั้นไม่ถูกเรียกว่าไม่ใช่ไฟล์ระบบปฏิบัติการดั้งเดิมและไวรัส? เราจะดำเนินการต่อจากความจริงที่ว่าโปรแกรมป้องกันไวรัสปกติของคุณไม่สามารถระบุรหัสที่เป็นอันตราย (มิฉะนั้นคุณจะไม่สังเกตเห็นปัญหา) ดังนั้นเพื่อกำจัดกระบวนการเราจะทำตามขั้นตอนอื่น ๆ
วิธีที่ 1: การสแกนไวรัส
ก่อนอื่นให้สแกนระบบด้วยสแกนเนอร์ป้องกันไวรัสที่เชื่อถือได้เช่น Dr.Web Cureit
มันเป็นที่น่าสังเกตว่าการสแกนระบบสำหรับไวรัสแนะนำให้ดำเนินการผ่านโหมดปลอดภัยของ Windows เมื่อทำงานที่กระบวนการเหล่านั้นเฉพาะที่ให้การทำงานพื้นฐานของคอมพิวเตอร์เท่านั้นที่จะทำงานได้คือไวรัสจะ "นอนหลับ" และค้นหาด้วยวิธีนี้จะง่ายขึ้นมาก
อ่านเพิ่มเติม: เราป้อน "เซฟโหมด" ผ่าน BIOS
วิธีที่ 2: การกำจัดด้วยตนเอง
หากการสแกนไม่ให้ผลลัพธ์ แต่คุณเห็นอย่างชัดเจนว่าไฟล์ csrss.exe ไม่ได้อยู่ในไดเรกทอรีที่ควรจะเป็นในกรณีนี้คุณต้องใช้ขั้นตอนการกำจัดด้วยตนเอง
- ในตัวจัดการงานให้เลือกชื่อที่สอดคล้องกับวัตถุปลอมแล้วคลิกที่ปุ่ม "กระบวนการที่สมบูรณ์"
- หลังจากนั้นใช้ตัวนำให้ไปที่ไดเรกทอรีตำแหน่งวัตถุ มันสามารถเป็นไดเรกทอรีอื่นนอกเหนือจากโฟลเดอร์ "System32" คลิกที่วัตถุเมาส์ขวาและเลือก "ลบ"
หากคุณไม่สามารถหยุดกระบวนการในตัวจัดการงานหรือลบไฟล์ให้ปิดคอมพิวเตอร์และไปที่ระบบในเซฟโหมด (คีย์ F8 หรือการรวมกันของ SHIFT + F8 เมื่อโหลดขึ้นอยู่กับรุ่น OS) จากนั้นทำขั้นตอนสำหรับการลบวัตถุจากไดเรกทอรีของตำแหน่ง
วิธีที่ 3: การคืนค่าระบบ
และในที่สุดถ้าไม่ใช่วิธีที่สองหรือวิธีที่สองทำให้เกิดผลลัพธ์ที่เหมาะสมและคุณไม่สามารถกำจัดกระบวนการไวรัสที่ปลอมตัวอยู่ภายใต้ csrss.exe คุณสามารถช่วยฟังก์ชั่นการคืนค่าระบบสำหรับใน Windows
สาระสำคัญของคุณสมบัตินี้คือคุณเลือกหนึ่งในจุดย้อนกลับที่มีอยู่ซึ่งจะช่วยให้คุณสามารถส่งคืนระบบไปยังระยะเวลาที่เลือก: หากไวรัสหายไปในคอมพิวเตอร์เครื่องมือนี้จะกำจัดมัน
คุณสมบัตินี้ยังมีด้านหลังของเหรียญ: หากหลังจากสร้างจุดเฉพาะโปรแกรมถูกติดตั้งการตั้งค่าถูกป้อนลงในนั้นและแบบนี้จะแตะมันในลักษณะเดียวกัน การกู้คืนระบบไม่ส่งผลกระทบต่อเฉพาะไฟล์ผู้ใช้ซึ่งเอกสารภาพถ่ายวิดีโอและเพลงเท่านั้น
อ่านเพิ่มเติม: วิธีการคืนค่า Windows OS
อย่างที่คุณเห็นในกรณีส่วนใหญ่ csrss.exe เป็นหนึ่งในกระบวนการที่สำคัญที่สุดสำหรับการทำงานของระบบปฏิบัติการ แต่บางครั้งมันสามารถริเริ่มโดยไวรัส ในกรณีนี้จำเป็นต้องดำเนินการขั้นตอนการลบตามคำแนะนำที่ให้ไว้ในบทความนี้