如果你經常使用Windows任務管理器的工作,他們不可能不注意的CSRSS.EXE對象總是出現在進程列表中。讓我們來看看這是什麼項目,這是多麼重要的是,系統不運行的危險到計算機。
關於CSRSS.EXE信息
CSRSS.EXE由具有相同名稱的命名系統文件執行。它存在於所有OS WINDOVS陣容,從Windows 2000開始的版本,您可以通過運行在進程選項卡的任務管理器(Ctrl + Shift + Esc組合)看到它。這是最容易找到它,在按字母順序排列的“映像名稱”列招待數據。
對於每個會話有一個單獨的CSRSS過程。因此,在傳統PC,兩個這樣的過程是同步推出,並且可以有幾十個服務器PC上。然而,儘管它被發現的過程可以是兩個,並且在某些情況下甚至更多的事實,只對應唯一的唯一的csrss.exe文件。
為了看到所有csrss.exe的對象通過任務管理器,系統激活,點擊“顯示所有用戶的進程”。
在此之後,如果你在Windows的以往一樣,沒有服務器實例工作,則需要兩個csrss.exe的元素出現在任務管理器列表中。
職能
首先,我們找出為什麼系統需要這個項目。命名為“CSRSS.EXE”是從“客戶端 - 服務器運行時子系統”,這是從英文翻譯的意思是“客戶端 - 服務器的執行時間子系統”的縮寫。也就是說,該過程作為一種結合Windows系統的連接客戶端和服務器的區域。
該過程需要顯示的圖形要素,那就是,我們在屏幕上看到。當系統處於停機狀態,以及刪除或安裝時的話題,因為它是主要參與。如果沒有CSRSS.EXE也將無法啟動控制台(CMD等)。這個過程是必需的終端服務的操作和用於遠程連接到桌面上。我們還研究了文件處理各種OS的Win32子系統流程。
此外,如果csrss.exe完成(無論多麼:緊急或強制用戶),則系統在等待崩潰,這將導致藍屏的出現。因此,可以說,視窗的不活動過程CSRSS.EXE操作是不可能的。因此,要阻止它被強制只,如果你有信心,它已被替換為病毒的對象。
文件位置
現在找出了CSRSS.EXE物理放置在硬盤上。你可以就這個問題與相同的任務管理器的信息。
- 任務管理器設置所有用戶進程的顯示模式後,在“csrss.exe”名稱下的任何對像上製作鼠標右鍵。在上下文列表中,選擇“打開文件存儲”。
- 指揮將打開所需文件的位置目錄。可以通過選擇窗口的地址欄來找到她的地址。它顯示對象位置文件夾的路徑。地址相信:
C:\ Windows \ System32
現在,了解地址,您可以在不使用任務調度程序的情況下轉到對象位置的目錄。
- 在其地址欄中,請在Explorer中,在其地址欄中輸入或插入上述地址。單擊“輸入”或單擊“圖標”作為地址字符串右側的箭頭。
- 指揮將打開CSRSS.EXE位置目錄。
文件標識
與此同時,當在CSRSS.exe下屏蔽各種病毒應用程序(rootkits)時,情況並不少見。在這種情況下,重要的是要識別任務管理器中的特定CSRSS.exe的文件。因此,我們發現指定過程應該引起您的注意的條件下。
- 首先,如果在通常用戶的所有用戶的進程的任務管理器中,問題應該出現問題,而不是服務器系統,您將看到兩個以上的CSRS對象。其中一個很可能是一種病毒。比較對象,注意效率消耗。在CSRS的正常條件下,安裝了3000 kB的限制。注意“內存”列中的對應指示符的任務管理器。超過上述限制意味著文件有問題。
另外,應該注意的是,通常該過程不會被中央處理器(CPU)發貨。有時允許將CPU資源的消耗增加到幾個百分點。但是,當用數十個百分點計算負載時,這表明文件本身是病毒或整個系統的東西不是順序。
- 在用戶列中的任務管理器(“用戶名”)中,在研究對象的前面,它必須是“系統”值(“系統”)。如果在那裡顯示另一個銘文,包括當前用戶簡介的名稱,那麼隨著有很大的信心,我們可以說我們正在處理病毒。
- 此外,您還可以通過嘗試強制執行文件來檢查文件的真實性。為此,可疑對象選擇名稱“CSRSS.EXE”,然後單擊任務管理器中的“完整過程”。
之後,應打開對話框,該對話框會導致停止指定的進程將導致系統完成。當然,沒有必要停止它,因此單擊“取消”按鈕。但是這樣的消息的外觀已經是一個間接確認文件是真實的。如果消息將不存在,則此準確意味著該文件是假的。
- 此外,可以從其屬性中學習某些文件身份驗證數據。單擊“任務管理器”右鍵單擊“任務管理器”中的名稱。在上下文列表中,選擇“屬性”。
屬性窗口打開。進入“常規”選項卡。注意“位置”參數。文件位置目錄的路徑必須符合我們上面發言的地址:
C:\ Windows \ System32
如果在那裡指定了任何其他地址,這意味著該過程是假的。
在“文件大小”參數附近的相同標籤中,6 KB的值應該穩定。如果指示了另一個大小,則對像是假的。
進入“詳細信息”標籤。在“版權”參數附近應該是“Microsoft”公司(“Microsoft Corporation”)的價值。
但是,遺憾的是,即使具有以上要求,CSRSS.EXE文件也可能是病毒性的。事實是,病毒不僅可以在對像下屏蔽,還可以感染真實文件。
此外,不必由病毒的不必要的資源消費問題可能是對用戶簡檔的損害而導致的。在這種情況下,您可以嘗試將操作系統“回滾”恢復點或表達新的用戶配置文件並在其中工作。
消除威脅
如果發現CSRSS.EXE不稱解原始操作系統文件以及病毒,該怎麼辦?我們將從您的常規防病毒無法識別惡意代碼(否則您甚至不會注意到問題)。因此,為了消除這個過程,我們將採取其他步驟。
方法1:防病毒掃描
首先,使用可靠的防病毒掃描儀掃描系統,例如Dr.Web Cureit。
值得注意的是,建議通過Windows的安全模式執行病毒系統的掃描,其中操作只有那些提供計算機基本功能的過程,即,病毒將“睡眠” ,並以這種方式找到它會更容易。
閱讀更多:我們通過BIOS進入“安全模式”
方法2:手動拆卸
如果掃描不給出結果,但是您清楚地看到CSRSS.exe文件不在其中所在的目錄中,然後在這種情況下,您必須應用手動刪除過程。
- 在“任務管理器”中,選擇與“假對象”對應的名稱,然後單擊“完整過程”按鈕。
- 之後,使用指揮後,轉到對象位置目錄。它可以是“System32”文件夾以外的任何目錄。單擊右鍵對象,然後選擇“刪除”。
如果您無法在任務管理器中停止此過程或刪除文件,請關閉計算機並以安全模式轉到系統(加載時加載時的Shift + F8組合)。然後從其位置的目錄中刪除對象的過程。
方法3:系統還原
最後,如果既不是第一個也不是第二種方法造成適當的結果,並且無法擺脫在CSRSS.exe下偽裝的病毒進程,則可以幫助在Windows中提供的系統還原功能。
此功能的本質是您選擇現有的6個回滾點之一,這將允許您將系統返回到所選時間段:如果計算機上丟失了病毒,則此工具將消除它。
此功能還具有獎牌的反面:如果在創建特定點後,程序已安裝,設置為它們,並將其與其相同的方式觸摸。系統恢復不會影響文件,照片,視頻和音樂的用戶文件。
閱讀更多:如何還原Windows操作系統
如您所見,在大多數情況下,CSRSS.EXE是操作系統操作的最重要的過程之一。但有時它可以由病毒發起。在這種情況下,有必要根據本文提供的建議執行其刪除的程序。