Зміст
Якщо ви часто працюєте з Диспетчером завдань Windows, то не могли не звернути уваги, що в списку процесів завжди присутній об'єкт CSRSS.EXE. Давайте з'ясуємо, що являє собою даний елемент, наскільки він важливий для системи і чи не таїть небезпека для роботи комп'ютера.
Відомості про CSRSS.EXE
CSRSS.EXE виконується системним файлом з однойменною назвою. Він присутній у всіх ОС лінійки Віндовс, починаючи з версії Windows 2000. Побачити його можна, запустивши Диспетчер завдань (комбінація Ctrl+Shift+Esc ) у вкладці »процеси" . Найлегше його знайти, збудувавши дані в колонці " ім'я образу» в алфавітному порядку.
Для кожного сеансу існує окремий процес CSRSS. Тому на звичайних ПК одночасно запущено два таких процесу, а на серверних ПК чисельність їх може досягати десятків. Проте, незважаючи на те, що було з'ясовано, що процесів може бути два, а в деяких випадках навіть більше, всім їм відповідає тільки єдиний файл CSRSS.EXE.
Для того, щоб побачити всі об'єкти CSRSS.EXE, активовані в системі через Диспетчер завдань, слід клікнути по напису " відображати процеси всіх користувачів» .
Після цього, якщо ви працюєте в звичайному, а не серверному екземплярі Windows, то в списку Диспетчера завдань з'явиться два елементи CSRSS.EXE.
Функції
Перш за все, з'ясуємо, для чого цей елемент потрібно системі.
Найменування " CSRSS.EXE "є абревіатурою від" Client-Server Runtime Subsystem«, що в перекладі з англійської означає»клієнт-серверна субсистема часу виконання". Тобто, процес служить своєрідним сполучною ланкою клієнтської і серверної областей системи Віндовс.
Даний процес потрібен для відображення графічної складової, тобто, того, що ми бачимо на екрані. Він, в першу чергу, задіюється при завершенні роботи системи, а також при видаленні або установці теми. Без CSRSS.EXE також буде неможливим запуск консолей (CMD та ін.). Процес необхідний для функціонування термінальних служб і для віддаленого підключення до робочого столу. Досліджуваний нами файл також обробляє різноманітні потоки ОС в підсистемі Win32.
Більше того, якщо CSRSS.EXE завершено (неважливо як: аварійно або примусово користувачем), то систему чекає крах, що призведе до появи BSOD. Таким чином, можна сказати, що функціонування Windows без активного процесу CSRSS.EXE неможливо. Тому зупиняти його примусово слід виключно в тому випадку, якщо ви впевнені, що він був підмінений вірусним об'єктом.
Розташування файлу
Тепер з'ясуємо, де фізично на вінчестері розміщується CSRSS.EXE. Отримати відомості про це можна за допомогою того ж Диспетчера завдань.
- Після того, як в диспетчері завдань встановлений режим відображення процесів всіх користувачів, зробіть клік правою кнопкою мишки по будь-якому з об'єктів під ім'ям «CSRSS.EXE» . У контекстному переліку виберете " відкрити місце зберігання файлу» .
- В провіднику
буде відкрита директорія розташування потрібного файлу. Її адресу можна дізнатися, виділивши адресний рядок вікна. У ній відобразиться шлях до папки розташування об'єкта. Адреса має наступний вигляд:
C:\Windows\System32
Тепер, знаючи адресу, можна переходити в директорію розташування об'єкта без задіяння Диспетчера завдань.
- Відкрийте провідник , введіть або вставте в його адресний рядок заздалегідь скопійовану, вказану вище адресу. Клацнувши Enter або зробіть клік по значку у вигляді стрілки праворуч від адресного рядка.
- Провідник відкриє директорію розташування CSRSS.EXE.
Ідентифікація файлу
Разом з тим, нерідкі ситуації, коли різні вірусні додатки (Руткіти) маскуються під CSRSS.EXE. У цьому випадку важливо визначити, який саме файл відображає певний CSRSS.EXE в диспетчері завдань. Отже, з'ясуємо, за яких умов позначений процес повинен привернути вашу увагу.
- Перш за все, питання повинні з'явитися, якщо в диспетчері завдань в режимі відображення процесів всіх користувачів у звичайній, а не серверній системі, Ви побачите більше двох об'єктів CSRSS. Один з них, швидше за все, вірус. Порівнюючи об'єкти, зверніть увагу на витрату оперативної пам'яті. При нормальних умовах для CSRSS встановлено ліміт в 3000 Кб. Зверніть увагу в диспетчері завдань на відповідний показник в колонці " Пам'ять
». Перевищення зазначеного вище ліміту означає, що з файлом щось не в порядку.
Крім того, слід зауважити, що зазвичай даний процес практично взагалі не вантажить центральний процесор (ЦП). Іноді допускається збільшення споживання ресурсів ЦП до декількох відсотків. Але, коли навантаження обчислюється десятками відсотків, то це говорить про те, що або сам файл вірусний, або з системою в цілому щось не в порядку.
- В диспетчері завдань в колонці»Користувач" ( «User Name» ) навпроти досліджуваного об'єкта обов'язково має стояти значення «Система» ( «SYSTEM »). Якщо там відображається інший напис, включаючи найменування поточного профілю користувача, то з великою часткою впевненості можна сказати, що ми маємо справу з вірусом.
- Крім того, перевірити справжність файлу можна, спробувавши примусово зупинити його роботу. Для цього у підозрілого об'єкта виділіть найменування «CSRSS.EXE»
і клацніть по напису
" завершити процес»
в диспетчері завдань.
Після цього має відкритися діалогове вікно, в якому говориться, що зупинка зазначеного процесу призведе до завершення роботи системи. Природно, що зупиняти його не потрібно, тому тисніть на кнопку " скасування» . Але поява такого повідомлення вже є непрямим підтвердженням того, що файл справжній. Якщо ж повідомлення буде відсутнім, то це точно означає той факт, що файл фальшивий.
- Також деякі дані про справжність файлу можна почерпнути з його властивостей. Клацніть по найменуванню підозрілого об'єкта в диспетчері завдань правою кнопкою мишки. У контекстному переліку виберіть «властивості»
.
Відкривається вікно властивостей. Перейдіть у вкладку «Загальні» . Зверніть увагу на параметр " розташування» . Шлях до директорії розташування файлу повинен відповідати тій адресі, про який ми вже говорили вище:
C:\Windows\System32
Якщо там вказано будь-який інший адресу, то це означає, що процес підроблений.
На тій же вкладці біля параметра " Розмір файлу» повинна стояти величина 6 КБ. Якщо там вказано інший розмір, то об'єкт підроблений.
Перейдіть на вкладку»детально" . Про параметр «авторські права» має стояти значення " Корпорація Майкрософт» ( «Microsoft Corporation» ).
Але, на жаль, навіть при відповідності всім вищевказаним вимогам файл CSRSS.EXE може виявитися вірусним. Справа в тому, що вірус може не тільки маскуватися під об'єкт, але і заражати справжній файл.
Крім того, проблема зайвого споживання ресурсів системи CSRSS.EXE може бути викликана не тільки вірусом, але і пошкодженням профілю користувача. В цьому випадку можна спробувати «відкотити» ОС до більш ранньої точки відновлення або сформувати новий користувальницький профіль і працювати вже в ньому.
Усунення загрози
Що ж робити, якщо ви з'ясували, що CSRSS.EXE викликаний не оригінальним файлом ОС, а вірусом? Будемо виходити з того, що ваш штатний антивірус не зміг ідентифікувати шкідливий код (інакше ви б проблему навіть не помітили). Тому для усунення процесу зробимо інші кроки.
Спосіб 1: сканування антивірусом
Перш за все, проскануйте систему надійним антивірусним сканером, наприклад Dr.Web CureIt .
Варто відзначити, що сканування системи на наявність вірусів рекомендується виконувати через безпечний режим Windows, при роботі в якому будуть працювати лише ті процеси, які забезпечують базове функціонування комп'ютера, тобто вірус буде «спати», і знайти його таким чином буде значно простіше.
Детальніше: входимо в "Безпечний режим" через BIOS
Спосіб 2: ручне видалення
Якщо сканування не дало результатів, але ви чітко бачите, що файл CSRSS.EXE не в тій директорії, в якій йому належить бути, то в цьому випадку доведеться застосувати ручну процедуру видалення.
- У диспетчері завдань виділіть найменування, відповідне фальшивому об'єкту, і натисніть на кнопку " завершити процес» .
- Після цього за допомогою провідника перейдіть в директорію розміщення об'єкта. Це може бути будь-який каталог, крім папки «System32» . Клацніть по об'єкту правою кнопкою мишки і виберіть " видалити» .
Якщо у вас не виходить зупинити процес в диспетчері завдань або зробити видалення файлу, то вимкніть комп'ютер і зайдіть в систему в безпечному режимі (клавіша F8 або комбінація Shift+F8 при завантаженні, залежно від версії ОС). Потім зробіть процедуру видалення об'єкта з директорії його розташування.
Спосіб 3: Відновлення системи
І, нарешті, якщо ні перший, ні другий способи не принесли належного результату, і ви не змогли позбутися від вірусного процесу, замаскувався під CSRSS.EXE, вам зможе допомогти функція відновлення системи, передбачена в ОС Windows.
Суть даної функції полягає в тому, що ви вибираєте одну з існуючих точок відкату, яка дозволить повернути роботу системи повністю до вибраного періоду часу: якщо до вибраного моменту вірус на комп'ютері був відсутній, то даний інструмент дозволить його усунути.
Є у цієї функції і зворотна сторона медалі: якщо після створення тієї чи іншої точки були встановлені програми, в них заносилися настройки і т.п &8212; це це точно таким же чином торкнеться. Відновлення системи не зачіпає лише призначені для користувача файли, до яких відносяться документи, фотографії, відео і музика.
Детальніше: як відновити ОС Windows
Як бачимо, в більшості випадків CSRSS.EXE є одним з найважливіших для функціонування операційної системи процесом. Але іноді він може бути ініційований вірусом. В цьому випадку необхідно провести процедуру його видалення згідно з тими рекомендаціями, які надані в даній статті.