Formaty plików

Przetwarzaj CSRSS.EXE

Jeśli często pracujesz z Menedżerem zadań systemu Windows, nie możesz nie zauważyć, że na liście procesów zawsze znajduje się obiekt CSRSS.EXE. Sprawdźmy, jaki jest dany element, jak ważne jest to dla systemu i czy istnieje zagrożenie dla komputera.

Informacje o CSRSS.EXE

CSRSS.EXE jest wykonywane przez plik systemowy o tej samej nazwie. Jest obecny we wszystkich systemach operacyjnych Windows z Windows 2000. Możesz go zobaczyć, uruchamiając Menedżer zadań (kombinacja Ctrl + Shift + Esc ) w zakładce "Procesy" . Najłatwiej go znaleźć, tworząc dane w kolumnie "Nazwa obrazu" w kolejności alfabetycznej.

Proces CSRSS.EXE w Menedżerze zadań

Dla każdej sesji istnieje oddzielny proces CSRSS. Dlatego na typowym komputerze uruchomione są jednocześnie dwa takie procesy, a na komputerach serwerów ich liczba może osiągnąć dziesiątki. Niemniej jednak, pomimo faktu, że okazało się, że mogą istnieć dwa procesy, aw niektórych przypadkach nawet więcej, dla wszystkich z nich odpowiada tylko jeden plik CSRSS.EXE.

Aby zobaczyć wszystkie obiekty CSRSS.EXE aktywowane w systemie za pomocą Menedżera zadań, kliknij "Pokaż procesy wszystkich użytkowników" .

Przejdź do wyświetlania procesów dla wszystkich użytkowników w Menedżerze zadań

Następnie, jeśli pracujesz w normalnej, a nie instancji serwera Windows, to na liście Menedżera zadań będą dwa elementy CSRSS.EXE.

Dwa procesy CSRSS.EXE w Menedżerze zadań

Funkcje

Przede wszystkim dowiedzmy się, dlaczego ten element jest wymagany przez system.

Nazwa "CSRSS.EXE" jest skrótem od "Podsystemu wykonawczego klienta-serwera", co w języku angielskim oznacza "podsystem czasu pracy serwera-klienta". Oznacza to, że proces ten służy jako unikalne łącze w obszarach klienckich i serwerowych systemu Windows.

Ten proces jest niezbędny do wyświetlenia komponentu graficznego, czyli tego, co widzimy na ekranie. Przede wszystkim jest używany na końcu systemu, a także podczas usuwania lub instalowania motywu. Bez CSRSS.EXE nie będzie można również uruchomić konsol (CMD itp.). Proces ten jest niezbędny do działania usług terminalowych i zdalnego połączenia z pulpitem. Plik, który badamy, przetwarza również różne wątki systemu operacyjnego w podsystemie Win32.

Co więcej, jeśli CSRSS.EXE zostanie ukończony (bez względu na to, jak: crash lub wymuszony przez użytkownika), system czeka na awarię, która doprowadzi do pojawienia się BSOD. Można więc powiedzieć, że funkcjonowanie Windows bez aktywnego procesu CSRSS.EXE jest niemożliwe. Dlatego należy go zatrzymać siłą tylko wtedy, gdy masz pewność, że został on zastąpiony przez obiekt wirusa.

Lokalizacja pliku

Teraz sprawdźmy, gdzie CSRSS.EXE znajduje się fizycznie na dysku twardym. Możesz uzyskać informacje na ten temat za pomocą tego samego Menedżera zadań.

  1. Następnie w Menedżerze zadań ustaw tryb wyświetlania procesów wszystkich użytkowników, kliknij prawym przyciskiem myszy dowolny obiekt o nazwie "CSRSS.EXE" . Z listy kontekstów wybierz "Otwórz plik przechowywania" .

    2. Przejdź do lokalizacji pliku CSRSS.EXE za pośrednictwem menu kontekstowego w Menedżerze zadań

  2. W Eksploratorze zostanie otwarty katalog lokalizacji żądanego pliku. Możesz znaleźć jego adres, wybierając pasek adresu okna. Wyświetla ścieżkę do folderu lokalizacji obiektu. Adres jest następujący:

    C:WindowsSystem32

Adres folderu przechowywania plików CSRSS.EXE w Eksploratorze Windows

Teraz znając adres, możesz przejść do katalogu lokalizacji obiektu bez użycia Menedżera zadań.

  1. Otwórz Eksploratora , wpisz lub wklej w pasku adresu poprzednio skopiowany, powyższy adres. Kliknij Enter lub kliknij ikonę w formie strzałki po prawej stronie paska adresu.

    2. Przejdź do lokalizacji pliku CSRSS.EXE za pomocą Eksploratora Windows

  2. Eksplorator otworzy katalog lokalizacji CSRSS.EXE.

Plik CSRSS.EXE w Eksploratorze Windows

Identyfikacja pliku

W tym samym czasie różne aplikacje antywirusowe (rootkity) podszywają się pod CSRSS.EXE. W takim przypadku ważne jest, aby dokładnie określić, który plik wyświetla określony CSRSS.EXE w Menedżerze zadań. Tak więc, dowiedzmy się, na jakich warunkach wyznaczony proces powinien przyciągnąć twoją uwagę.

  1. Po pierwsze, pytania powinny pojawić się, jeśli w Menedżerze zadań pojawi się więcej niż dwa obiekty CSRSS w trybie wyświetlania procesów wszystkich użytkowników w zwykłym, a nie serwerowym systemie. Jednym z nich jest najprawdopodobniej wirus. Porównując obiekty, należy zwrócić uwagę na zużycie pamięci RAM. W normalnych warunkach dla CSRSS ustawiany jest limit 3000 KB. Zwróć uwagę na odpowiedni wskaźnik w kolumnie "Pamięć " w Menedżerze zadań. Przekroczenie powyższego limitu oznacza, że ​​coś jest nie tak z plikiem.

    Wyświetla pamięć zajmowaną przez proces CSRSS.EXE w Menedżerze zadań

    Ponadto należy zauważyć, że proces ten zwykle nie ładuje w ogóle procesora centralnego (CPU). Czasami można zwiększyć zużycie zasobów procesora do kilku procent. Ale kiedy obciążenie jest obliczane przez dziesiątki procent, oznacza to, że albo sam plik jest wirusowy, albo coś jest nie tak z systemem jako całością.

    2. Wyświetlanie obciążenia procesora procesu CSRSS.EXE w Menedżerze zadań

  2. W Menedżerze zadań w kolumnie "Nazwa użytkownika" wartość "SYSTEM" ( "SYSTEM ") musi zawsze znajdować się przed badanym obiektem. Jeśli jest wyświetlany inny napis, w tym nazwa bieżącego profilu użytkownika, to z dużą dozą pewności możemy powiedzieć, że mamy do czynienia z wirusem.

    3. Nazwa użytkownika procesu CSRSS.EXE w Menedżerze zadań

  3. Ponadto można zweryfikować autentyczność pliku, próbując go forsownie zatrzymać. Aby to zrobić, wybierz nazwę "CSRSS.EXE" z podejrzanego obiektu i kliknij "Zakończ proces" w Menedżerze zadań.

    Poprawianie procesu CSRSS.EXE w Menedżerze zadań

    Następnie powinno otworzyć się okno dialogowe z informacją, że zatrzymanie określonego procesu spowoduje zamknięcie systemu. Oczywiście nie trzeba go zatrzymywać, więc kliknij przycisk "Anuluj" . Ale pojawienie się takiej wiadomości jest już pośrednim potwierdzeniem, że plik jest autentyczny. Jeśli wiadomość nie jest obecna, oznacza to dokładnie, że plik jest fałszywy.

    4. Ostrzeżenie o zakończeniu procesu CSRSS.EXE

  4. Ponadto niektóre dane dotyczące autentyczności pliku można zebrać z jego właściwości. Kliknij nazwę podejrzanego obiektu w Menedżerze zadań prawym przyciskiem myszy. Na liście skrótów wybierz Właściwości .

    Przejdź do okna właściwości procesu CSRSS.EXE za pośrednictwem menu kontekstowego w Menedżerze zadań

    Otworzy się okno właściwości. Przejdź do karty Ogólne . Zwróć uwagę na opcję "Lokalizacja" . Ścieżka do katalogu lokalizacji pliku powinna odpowiadać adresowi, który wymieniliśmy powyżej:

    C:WindowsSystem32

    Jeśli na liście znajduje się inny adres, oznacza to, że proces jest fałszywy.

    Na tej samej karcie obok parametru "Rozmiar pliku" powinna mieć wartość 6 KB. Jeśli istnieje inny rozmiar, obiekt jest fałszywy.

    Okno właściwości procesu CSRSS.EXE

    Przejdź do karty Szczegóły . Parametr "Prawa autorskie" powinien mieć wartość "Microsoft Corporation" ( "Microsoft Corporation" ).

Prawa autorskie w oknie właściwości procesu CSRSS.EXE

Niestety, nawet jeśli wszystkie powyższe wymagania zostaną spełnione, plik CSRSS.EXE może być wirusowy. Faktem jest, że wirus może nie tylko maskować się jako obiekt, ale także infekować prawdziwy plik.

Ponadto problem nadmiernego zużycia zasobów systemu CSRSS.EXE może być spowodowany nie tylko przez wirus, ale także przez uszkodzenie profilu użytkownika. W takim przypadku możesz spróbować "przywrócić" system operacyjny do wcześniejszego punktu przywracania lub utworzyć nowy profil użytkownika i pracować już w nim.

Rozwiązywanie problemów

Co możesz zrobić, jeśli się dowiesz, że CSRSS.EXE nie jest spowodowane oryginalnym plikiem systemu operacyjnego, ale wirusem? Zaczniemy od tego, że Twój zwykły program antywirusowy nie mógł zidentyfikować złośliwego kodu (w przeciwnym razie nie zauważyłbyś problemu). Dlatego podejmiemy inne kroki, aby wyeliminować ten proces.

Metoda 1: Skanowanie antywirusowe

Przede wszystkim, skanuj system za pomocą niezawodnego skanera antywirusowego, na przykład Dr.Web CureIt .

Skanowanie w poszukiwaniu wirusów przy użyciu Dr.Web CureIt!

Warto zauważyć, że zaleca się przeskanowanie systemu w poszukiwaniu wirusów poprzez bezpieczny tryb systemu Windows, w którym będą działać tylko procesy zapewniające podstawowe działanie komputera, czyli wirus "uśpi" i będzie o wiele łatwiej go znaleźć.

Czytaj więcej: Wchodzimy w "Tryb awaryjny" przez BIOS

Metoda 2: ręczne usunięcie

Jeśli skanowanie nie działa, ale wyraźnie widać, że plik CSRSS.EXE nie znajduje się w katalogu, w którym powinien być, to w takim przypadku będziesz musiał zastosować ręczną procedurę usuwania.

  1. W Menedżerze zadań wybierz nazwę odpowiadającą fałszywemu obiektowi i kliknij przycisk "Zakończ proces" .

    2. Naprawianie fałszywego procesu CSRSS.EXE w Menedżerze zadań

  2. Następnie użyj Eksploratora, aby przejść do katalogu lokalizacji obiektu. Może to być dowolny katalog inny niż folder "System32" . Kliknij obiekt prawym przyciskiem myszy i wybierz "Usuń" .

Usuwanie pliku wirusa CSRSS.EXE za pośrednictwem menu kontekstowego w Eksploratorze Windows

Jeśli nie możesz zatrzymać procesu w Menedżerze zadań lub usunąć pliku, zamknij komputer i przejdź do trybu awaryjnego ( klawisz F8 lub Shift + F8 podczas uruchamiania, w zależności od wersji systemu operacyjnego). Następnie wykonaj procedurę usuwania obiektu z jego katalogu lokalizacji.

Metoda 3: Przywracanie systemu

I na koniec, jeśli ani pierwsza, ani druga metoda nie przyniosły właściwego rezultatu i nie można było pozbyć się procesu wirusowego przebranego za CSRSS.EXE, możesz pomóc funkcji przywracania systemu dostępnej w systemie Windows.

Rozpoczęcie przywracania systemu

Istotą tej funkcji jest wybranie jednego z istniejących punktów wycofania, który pozwoli systemowi na powrót do wybranego okresu: jeśli wirus nie istnieje na komputerze w wybranym momencie, to narzędzie to pozwoli je wyeliminować.

Ta funkcja ma również odwrotną stronę monety: jeśli po utworzeniu określonego punktu zainstalowano programy, wprowadzono w nich ustawienia itd. - dokładnie tak samo, jak dotyka. Przywracanie systemu nie wpływa tylko na pliki użytkownika, które obejmują dokumenty, zdjęcia, filmy i muzykę.

Czytaj więcej: Jak przywrócić system operacyjny Windows

Jak widać, w większości przypadków CSRSS.EXE jest jednym z najważniejszych procesów dla funkcjonowania systemu operacyjnego. Ale czasami może zostać wywołany przez wirusa. W takim przypadku konieczne jest przeprowadzenie procedury jego usunięcia zgodnie z zaleceniami podanymi w tym artykule.