Nếu bạn thường làm việc với Windows Task Manager, họ không thể chú ý rằng đối tượng CSRSS.EXE luôn có trong danh sách quy trình. Hãy tìm hiểu món đồ này là gì, nó quan trọng như thế nào đối với hệ thống và không chạy nguy hiểm cho máy tính.
Thông tin về CSRS.exe.
Csrss.exe được thực thi bởi một tệp hệ thống có tên cùng tên. Nó có mặt trong tất cả các dòng Windovs OS, bắt đầu bằng phiên bản Windows 2000. Bạn có thể thấy nó bằng cách chạy kết hợp Trình quản lý tác vụ (Ctrl + Shift + Esc) trong tab Quá trình. Nó là dễ nhất để tìm thấy nó, giải trí dữ liệu trong cột "Tên hình ảnh" theo thứ tự bảng chữ cái.
Đối với mỗi phiên có một quy trình CSRSS riêng biệt. Do đó, trên các PC thông thường, hai quy trình như vậy được khởi chạy đồng thời và có thể có hàng chục trên PC Server. Tuy nhiên, mặc dù thực tế là người ta thấy rằng các quy trình có thể là hai và trong một số trường hợp thậm chí nhiều hơn, nó chỉ tương ứng với tệp CSRS.EXE duy nhất.
Để xem tất cả các đối tượng CSRS.exe được kích hoạt trong hệ thống thông qua Trình quản lý tác vụ, nhấp vào "Hiển thị tất cả các quy trình người dùng".
Sau đó, nếu bạn làm việc theo phiên bản Windows, không phải máy chủ của Windows, thì hai phần tử CSRSS.EXE xuất hiện trong danh sách Trình quản lý tác vụ.
Chức năng
Trước hết, chúng tôi tìm hiểu lý do tại sao mặt hàng này được yêu cầu bởi hệ thống.Cái tên "CSRS.exe" là tên viết tắt từ "Hệ thống con của máy khách-máy chủ", được dịch từ tiếng Anh có nghĩa là "hệ thống con thời gian thực thi máy chủ". Đó là, quá trình phục vụ như một loại khu vực máy khách và máy chủ liên kết ràng buộc của hệ thống Windows.
Quá trình này là cần thiết để hiển thị thành phần đồ họa, nghĩa là những gì chúng ta nhìn thấy trên màn hình. Nó chủ yếu liên quan đến khi hệ thống tắt, cũng như khi xóa hoặc cài đặt chủ đề. Không có CSRS.exe cũng sẽ không thể khởi chạy bảng điều khiển (CMD et al.). Quá trình này là cần thiết cho hoạt động của các dịch vụ đầu cuối và được kết nối từ xa với máy tính để bàn. Tệp chúng tôi đã nghiên cứu cũng xử lý nhiều luồng hệ điều hành trong hệ thống con Win32.
Hơn nữa, nếu CSRSS.EXE hoàn thành (bất kể cách sử dụng khẩn cấp hoặc buộc người dùng), thì hệ thống đang chờ sự sụp đổ, sẽ dẫn đến sự xuất hiện của BSOD. Do đó, có thể nói rằng hoạt động của Windows mà không có quá trình hoạt động CSRSS.exe là không thể. Do đó, để ngăn chặn nó bị ép buộc chỉ nếu bạn tự tin rằng nó đã được thay thế bằng một đối tượng virus.
Vị trí tập tin
Bây giờ tìm ra nơi các csrss.exe được đặt vật lý trên ổ cứng. Bạn có thể nhận thông tin về điều này với cùng một trình quản lý tác vụ.
- Sau khi Trình quản lý tác vụ đặt chế độ hiển thị của tất cả các quy trình của người dùng, hãy thực hiện nút chuột phải trên bất kỳ đối tượng nào dưới tên "CSRS.exe". Trong danh sách bối cảnh, chọn "Lưu trữ tệp đang mở".
- Bộ trưởng sẽ mở thư mục vị trí của tệp mong muốn. Địa chỉ của cô ấy có thể được tìm thấy bằng cách chọn thanh địa chỉ của cửa sổ. Nó hiển thị đường dẫn đến thư mục vị trí của đối tượng. Địa chỉ tin rằng:
C: \ windows \ system32
Bây giờ, biết địa chỉ, bạn có thể truy cập thư mục của vị trí đối tượng mà không cần sử dụng công cụ điều phối tác vụ.
- Mở Explorer, nhập hoặc chèn trước địa chỉ nêu trên trong thanh địa chỉ của nó. Nhấp vào Enter hoặc nhấp vào biểu tượng dưới dạng mũi tên ở bên phải của chuỗi địa chỉ.
- Bộ trưởng sẽ mở thư mục vị trí CSRSS.EXE.
Nhận dạng tập tin
Đồng thời, tình hình không phải là hiếm khi các ứng dụng virus khác nhau (rootkit) được che dấu dưới CSRS.exe. Trong trường hợp này, điều quan trọng là xác định tệp nào sẽ hiển thị CSRS.exe cụ thể trong Trình quản lý tác vụ. Vì vậy, chúng tôi tìm ra trong những điều kiện mà quá trình được chỉ định sẽ thu hút sự chú ý của bạn.
- Trước hết, các câu hỏi sẽ xuất hiện nếu trong trình quản lý tác vụ ở chế độ hiển thị của các quy trình của tất cả người dùng trong hệ thống thông thường, không phải máy chủ, bạn sẽ thấy nhiều hơn hai đối tượng CSRSS. Một trong số họ rất có thể là một loại virus. So sánh các đối tượng, chú ý đến mức tiêu thụ hiệu quả. Trong điều kiện bình thường đối với CSRSS, một giới hạn 3000 KB được lắp đặt. Hãy chú ý đến Trình quản lý tác vụ vào chỉ báo tương ứng trong cột "Bộ nhớ". Vượt quá giới hạn trên có nghĩa là có gì đó không ổn với tệp.
Ngoài ra, cần lưu ý rằng thường thì quá trình này không được vận chuyển bởi bộ xử lý trung tâm (CPU). Đôi khi nó được phép tăng mức tiêu thụ tài nguyên CPU xuống một vài phần trăm. Nhưng, khi tải được tính toán với hàng chục phần trăm, điều này cho thấy chính tệp là virus hoặc hệ thống như toàn bộ một thứ gì đó không theo thứ tự.
- Trong Trình quản lý tác vụ trong cột người dùng (tên người dùng của người dùng), trước mặt đối tượng đang được nghiên cứu, nó phải là giá trị "hệ thống" ("hệ thống"). Nếu một dòng chữ khác được hiển thị ở đó, bao gồm tên của hồ sơ người dùng hiện tại, thì với rất nhiều sự tự tin, chúng ta có thể nói rằng chúng ta đang xử lý vi-rút.
- Ngoài ra, bạn có thể kiểm tra tính xác thực của tệp bằng cách cố gắng buộc nó ngừng hoạt động. Để thực hiện việc này, một đối tượng đáng ngờ chọn tên "csrss.exe" và nhấp vào "quy trình hoàn chỉnh" trong trình quản lý tác vụ.
Sau đó, hộp thoại sẽ được mở, nơi ghi rõ quá trình đã chỉ định sẽ dẫn đến việc hoàn thành hệ thống. Đương nhiên, không cần thiết phải dừng nó, vì vậy hãy nhấp vào nút "Hủy". Nhưng sự xuất hiện của một thông điệp như vậy đã là một xác nhận gián tiếp về thực tế là tập tin là chính hãng. Nếu tin nhắn sẽ vắng mặt, điều này có nghĩa là thực tế là tệp là giả.
- Ngoài ra, một số dữ liệu xác thực tệp có thể được học từ các thuộc tính của nó. Nhấp vào tên của một đối tượng đáng ngờ trong Trình quản lý tác vụ nhấp chuột phải vào. Trong danh sách bối cảnh, chọn "Thuộc tính".
Cửa sổ Thuộc tính mở ra. Di chuyển vào tab Chung. Chú ý đến tham số "vị trí". Đường dẫn đến thư mục vị trí tệp phải tuân thủ địa chỉ mà chúng tôi đã nói ở trên:
C: \ windows \ system32
Nếu bất kỳ địa chỉ nào khác được chỉ định ở đó, điều này có nghĩa là quá trình là giả mạo.
Trong cùng một tab gần tham số "Kích thước tệp", giá trị 6 KB sẽ đứng. Nếu kích thước khác được chỉ định, thì đối tượng là giả.
Di chuyển vào tab "Chi tiết". Gần tham số "Bản quyền" phải là giá trị "Microsoft" Corporation ("Microsoft Corporation").
Nhưng, thật không may, ngay cả với tất cả các yêu cầu trên, tệp CSRSS.EXE có thể là virus. Thực tế là vi-rút không chỉ có thể được che dấu dưới đối tượng, mà còn lây nhiễm một tệp thực.
Ngoài ra, vấn đề tiêu thụ tài nguyên không cần thiết của hệ thống CSRSS.EXE có thể gây ra không chỉ do vi-rút, mà còn làm hỏng hồ sơ người dùng. Trong trường hợp này, bạn có thể thử "quay lại" một hệ điều hành đến một điểm khôi phục trước đó hoặc tạo thành hồ sơ người dùng mới và hoạt động trong đó.
Loại bỏ các mối đe dọa
Điều gì sẽ xảy ra nếu bạn phát hiện ra rằng CSRSS.EXE được gọi không phải là tệp HĐH gốc và vi-rút? Chúng tôi sẽ tiến hành từ thực tế là phần mềm chống vi-rút thông thường của bạn không thể xác định mã độc (nếu không bạn thậm chí không nhận thấy vấn đề). Do đó, để loại bỏ quá trình, chúng ta sẽ thực hiện các bước khác.
Phương pháp 1: Quét chống vi-rút
Trước hết, quét hệ thống với máy quét chống vi-rút đáng tin cậy, chẳng hạn như Dr.Web Cureit.
Cần lưu ý rằng việc quét hệ thống vi-rút được khuyến nghị để thực hiện thông qua chế độ Windows an toàn, khi hoạt động chỉ những quy trình đó cung cấp chức năng cơ bản của máy tính sẽ hoạt động, nghĩa là virus sẽ "ngủ" , và tìm thấy nó theo cách này sẽ dễ dàng hơn nhiều.
Đọc thêm: Chúng tôi nhập "Chế độ an toàn" thông qua BIOS
Phương pháp 2: Loại bỏ thủ công
Nếu quá trình quét không đưa ra kết quả, nhưng bạn thấy rõ rằng tệp csrss.exe không có trong các thư mục được cho là, sau đó trong trường hợp này, bạn phải áp dụng thủ tục loại bỏ thủ công.
- Trong Trình quản lý tác vụ, chọn tên tương ứng với đối tượng giả và nhấp vào nút "Hoàn tất quy trình".
- Sau đó, sử dụng nhạc trưởng, đi đến thư mục vị trí đối tượng. Nó có thể là bất kỳ thư mục nào khác ngoài thư mục "System32". Nhấp vào đối tượng chuột phải và chọn "Xóa".
Nếu bạn không thể dừng quá trình trong Trình quản lý tác vụ hoặc xóa tệp, hãy tắt máy tính và chuyển đến hệ thống ở chế độ an toàn (phím F8 hoặc kết hợp SHIFT + F8 khi tải, tùy thuộc vào phiên bản HĐH). Sau đó thực hiện quy trình để xóa một đối tượng khỏi thư mục của vị trí của nó.
Phương pháp 3: Khôi phục hệ thống
Và, cuối cùng, nếu không phải là phương thức đầu tiên và thứ hai gây ra một kết quả thích hợp và bạn không thể thoát khỏi quá trình virus được ngụy trang theo CSRSS.EXE, bạn có thể giúp chức năng khôi phục hệ thống được cung cấp trong Windows.
Bản chất của tính năng này là bạn chọn một trong các điểm rollback hiện có, sẽ cho phép bạn trả lại hệ thống vào khoảng thời gian đã chọn: Nếu vi-rút bị thiếu trên máy tính, công cụ này sẽ loại bỏ nó.
Tính năng này cũng có một mặt trái của huy chương: Nếu sau khi tạo một điểm cụ thể, các chương trình đã được cài đặt, các cài đặt đã được nhập vào chúng và tương tự sẽ chạm vào nó theo cùng một cách. Phục hồi hệ thống không ảnh hưởng đến các tệp người dùng mà các tài liệu, hình ảnh, video và âm nhạc nào.
Đọc thêm: Cách khôi phục HĐH Windows
Như bạn có thể thấy, trong hầu hết các trường hợp, csrss.exe là một trong những quy trình quan trọng nhất cho hoạt động của hệ điều hành. Nhưng đôi khi nó có thể được bắt đầu bởi một virus. Trong trường hợp này, cần phải thực hiện thủ tục để loại bỏ theo các khuyến nghị được quy định trong Điều này.