Formáty súborov

Proveďte proces CSRSS.EXE

Ak často pracujete s Správcom úloh systému Windows, nemôžete si všimnúť, že v procesnom zozname vždy existuje objekt CSRSS.EXE. Poďme zistiť, aký je daný prvok, aký je dôležitý pre systém a či existuje nebezpečenstvo pre počítač.

O CSRSS.EXE

CSRSS.EXE je vykonávaný systémovým súborom s rovnakým názvom. Vo všetkých operačných systémoch Windows je súčasťou systému Windows 2000. Môžete si ho pozrieť spustením Správcu úloh (kombinácia Ctrl + Shift + Esc ) na karte "Procesy" . Najjednoduchší spôsob, ako to nájsť, je vytvorenie údajov v stĺpci "Názov obrázku" v abecednom poradí.

Proces CSRSS.EXE v Správcovi úloh

Pre každé zasadnutie existuje samostatný proces CSRSS. Preto na typickom počítači sú súčasne spustené dva takéto procesy a na serverových počítačoch ich počet môže dosiahnuť desiatky. Aj napriek tomu, že sa zistilo, že môžu existovať dva procesy a v niektorých prípadoch dokonca ešte viac, na všetky z nich zodpovedá iba jeden súbor CSRSS.EXE.

Ak chcete vidieť všetky objekty CSRSS.EXE aktivované v systéme prostredníctvom Správcu úloh, kliknite na "Zobraziť procesy všetkých používateľov" .

Prepnite na zobrazenie procesov pre všetkých používateľov v Správcovi úloh

Potom, ak pracujete v normálnej a nie v inštancii servera systému Windows, potom v zozname Správcu úloh budú dva prvky CSRSS.EXE.

Dva procesy CSRSS.EXE v Správcovi úloh

funkcie

Po prvé, zistíme, prečo tento prvok vyžaduje systém.

Názov "CSRSS.EXE" je skratka pre "subsystém Runtime pre klientov a servery", čo znamená v angličtine "subsystém run-time runtime". To znamená, že proces slúži ako jedinečný odkaz v oblasti klientov a serverov systému Windows.

Tento proces je potrebný na zobrazenie grafickej zložky, to znamená, čo vidíme na obrazovke. Najprv sa používa na konci systému, ako aj pri odstraňovaní alebo inštalácii témy. Bez CSRSS.EXE bude tiež nemožné spustiť konzoly (CMD atď.). Tento proces je potrebný pre prevádzku terminálnych služieb a pre vzdialené pripojenie k pracovnej ploche. Súbor, ktorý študujeme, tiež spracováva rôzne podprocesy v systéme Win32.

Navyše, ak je CSRSS.EXE dokončený (bez ohľadu na to, ako: náraz alebo nútený užívateľom), systém čaká na haváriu, čo povedie k vzniku BSOD. Môžeme teda povedať, že fungovanie systému Windows bez aktívneho procesu CSRSS.EXE je nemožné. Preto by mal byť zastavený násilne, len ak ste si istí, že bol nahradený objektom vírusu.

Umiestnenie súboru

Teraz sa zistíme, kde je CSRSS.EXE fyzicky umiestnený na pevnom disku. Informácie o tom môžete získať pomocou rovnakého správcu úloh.

  1. Po spustení nástroja Správca úloh sa nastaví režim zobrazovania procesov všetkých používateľov, kliknite pravým tlačidlom na ľubovoľný objekt pod názvom "CSRSS.EXE" . V zozname kontextov vyberte možnosť "Otvoriť úložisko súborov" .

    2. Prejdite na umiestnenie súboru CSRSS.EXE prostredníctvom kontextového menu v Správcovi úloh

  2. V programe Explorer sa otvorí adresár pre umiestnenie požadovaného súboru. Jeho adresu môžete zistiť výberom panela s adresou okna. Zobrazuje cestu k priečinku s umiestnením objektu. Adresa je nasledovná:

    C:WindowsSystem32

Adresa priečinka úložiska súborov CSRSS.EXE v programe Prieskumník systému Windows

Po zistení adresy môžete prejsť do adresára umiestnenia objektu bez použitia Správcu úloh.

  1. Otvorte program Explorer , zadajte do adresného riadka skopírovanú skôr uvedenú adresu. Kliknite na položku Zadajte alebo kliknite na ikonu v podobe šípky napravo od panela s adresou.

    2. Prejdite na umiestnenie súboru CSRSS.EXE pomocou programu Windows Explorer

  2. Prehliadač otvorí adresár pre umiestnenie súboru CSRSS.EXE.

Súboru CSRSS.EXE v programe Prieskumník systému Windows

Identifikácia súboru

Súčasne nie je nezvyčajné, aby sa rôzne vírusové aplikácie (rootkity) maskovali ako CSRSS.EXE. V tomto prípade je dôležité presne určiť, ktorý súbor zobrazí špecifický CSRSS.EXE v Správcovi úloh. Takže zistite, za akých podmienok by mal určený proces pritiahnuť vašu pozornosť.

  1. Najprv by sa mali objaviť otázky, ak v Správcovi úloh vidíte viac ako dva objekty CSRSS v režime zobrazovania procesov všetkých používateľov v bežnom systéme než v serveri. Jedným z nich je pravdepodobne vírus. Pri porovnávaní objektov dávajte pozor na spotrebu RAM. Za normálnych podmienok je pre CSRSS nastavený limit 3000 KB. Venujte pozornosť príslušnému indikátoru v stĺpci "Memory " v Správcovi úloh. Prekročenie vyššie uvedeného limitu znamená, že súbor nie je v poriadku.

    Zobrazuje pamäť obsadenú procesom CSRSS.EXE v Správcovi úloh

    Okrem toho je potrebné poznamenať, že tento proces zvyčajne nezaťažuje centrálny procesor (CPU). Niekedy je povolené zvýšiť spotrebu zdrojov CPU na niekoľko percent. Ale keď je záťaž vypočítaná desiatkami percent, znamená to, že buď samotný súbor je vírusový, alebo niečo nie je v systéme ako celku.

    2. Zobrazenie zaťaženia procesora v procese CSRSS.EXE v Správcovi úloh

  2. V Správcovi úloh v stĺpci "Meno používateľa" musí byť hodnota "SYSTEM" ( "SYSTEM ") vždy pred študovaným objektom. Ak sa zobrazí iný nápis, vrátane názvu aktuálneho profilu používateľa, potom s veľkou istotou môžeme povedať, že ide o vírus.

    3. Užívateľské meno procesu CSRSS.EXE v Správcovi úloh

  3. Okrem toho môžete verifikovať pravosť súboru tým, že sa ho snažíte silne zastaviť. Ak chcete urobiť, vyberte názov "CSRSS.EXE" z podozrivého objektu a kliknite na tlačidlo "Ukončiť proces" v Správcovi úloh.

    Oprava procesu CSRSS.EXE v Správcovi úloh

    Potom by sa malo otvoriť dialógové okno s uvedením, že zastavenie zadaného procesu bude mať za následok vypnutie systému. Prirodzene, nemusíte ju zastavovať, a tak kliknite na tlačidlo "Zrušiť" . Ale vzhľad takejto správy je už nepriamym potvrdením, že súbor je autentický. Ak správa nie je prítomná, potom to presne znamená skutočnosť, že súbor je falošný.

    4. Upozornenie na ukončenie procesu CSRSS.EXE

  4. Niektoré údaje o pravosti súboru možno získať aj z jeho vlastností. Kliknite na názov podozrivého objektu v Správcovi úloh pravým tlačidlom myši. V zozname skratiek vyberte položku Vlastnosti .

    Prejdite do okna vlastností procesu CSRSS.EXE cez kontextové menu v Správcovi úloh

    Otvorí sa okno vlastností. Prejdite na kartu Všeobecné . Venujte pozornosť možnosti "Poloha" . Cesta k adresáru umiestnenia súboru by mala zodpovedať adrese, ktorú sme spomenuli vyššie:

    C:WindowsSystem32

    Ak je uvedená iná adresa, znamená to, že proces je falošný.

    Na rovnakej karte v blízkosti parametra Veľkosť súboru by mala byť hodnota 6 KB. Ak je iná veľkosť, potom je objekt falošný.

    Okno Vlastnosti procesu CSRSS.EXE

    Prejdite na kartu Podrobnosti . Parameter "Autorské práva" by mal byť nastavený na "Microsoft Corporation" ( "Microsoft Corporation" ).

Autorské práva v okne vlastností procesu CSRSS.EXE

Bohužiaľ, aj keď sú splnené všetky vyššie uvedené požiadavky, súbor CSRSS.EXE môže byť vírusový. Skutočnosťou je, že vírus sa nemôže maškarovať len ako objekt, ale aj infikovať skutočný súbor.

Navyše problém nadmernej spotreby zdrojov systému CSRSS.EXE môže byť spôsobený nielen vírusom, ale aj poškodením profilu používateľa. V takom prípade sa môžete pokúsiť "vrátiť" operačný systém do staršieho miesta obnovenia alebo vytvoriť nový používateľský profil a pracovať už v ňom.

eliminácia hrozby

Čo môžete urobiť, ak zistíte, že CSRSS.EXE je spôsobený nie originálnym OS súborom, ale vírusom? Postupujeme z toho, že váš bežný antivírus nemohol identifikovať škodlivý kód (inak by ste si tento problém ani nevšimli). Preto vykonáme ďalšie kroky na odstránenie tohto procesu.

Metóda 1: Antivírusové skenovanie

Najskôr skenujte systém pomocou spoľahlivého antivírusového skenera Dr.Web CureIt ,

Skenovanie vírusov pomocou programu Dr.Web CureIt!

Stojí za zmienku, že sa odporúča skenovať systém na vírusy prostredníctvom bezpečného režimu systému Windows, v ktorom budú fungovať len procesy, ktoré zabezpečia, že funguje počítač, to znamená, že vírus bude "spať" a bude oveľa ľahšie ho nájsť.

Čítajte viac: V systéme BIOS zadáme "Núdzový režim"

Metóda 2: Ručné odstránenie

Ak skenovanie nefunguje, ale jasne vidíte, že súbor CSRSS.EXE nie je v adresári, v ktorom by mal byť, potom v tomto prípade budete musieť použiť postup manuálneho odstránenia.

  1. V Správcovi úloh vyberte názov zodpovedajúci falošnému objektu a kliknite na tlačidlo "Ukončiť proces" .

    2. Oprava falošného procesu CSRSS.EXE v Správcovi úloh

  2. Potom použite aplikáciu Explorer na navigáciu do adresára lokality objektu. Môže to byť ľubovoľný adresár iný ako priečinok "System32" . Kliknite na objekt pravým tlačidlom myši a zvoľte "Odstrániť" .

Odstránenie súboru vírusov CSRSS.EXE prostredníctvom kontextového menu v programe Prieskumník systému Windows

Ak nemôžete zastaviť proces v Správcovi úloh alebo odstrániť súbor, vypnite počítač a prejdite na núdzový režim ( kláves F8 alebo Shift + F8 pri zavádzaní v závislosti od verzie OS). Potom vykonajte postup vymazania objektu z jeho adresára.

Metóda 3: Obnovenie systému

A nakoniec, ak ani prvý, ani druhý spôsob nedosiahli správny výsledok a nedokázali ste sa zbaviť vírusového procesu maskovaného ako CSRSS.EXE, môžete pomôcť funkcii obnovenia systému poskytovanej v systéme Windows.

Spustenie Obnovenia systému

Podstatou tejto funkcie je, že vyberiete jeden z existujúcich bodov vrátenia, ktoré umožnia systému vrátiť sa úplne do zvoleného časového obdobia: ak v danom momente v počítači neexistoval vírus, potom tento nástroj umožní jeho odstránenie.

Táto funkcia má aj zadnú stranu mince: ak po vytvorení určitého bodu boli nainštalované programy, do nich boli vložené nastavenia a tak ďalej - to je presne to isté, ako sa to dotýka. Obnovenie systému neovplyvňuje iba používateľské súbory, medzi ktoré patria dokumenty, fotografie, videá a hudba.

Čítajte viac: Ako obnoviť operačný systém Windows

Ako vidíte, vo väčšine prípadov je CSRSS.EXE jedným z najdôležitejších procesov pre fungovanie operačného systému. Ale niekedy to môže byť spustené vírusom. V tomto prípade je potrebné vykonať postup na jeho odstránenie podľa odporúčaní uvedených v tomto článku.