Калі вы часта працуеце з Дыспетчарам задач Windows, то не маглі не звярнуць увагі, што ў сьпісе працэсаў заўсёды прысутнічае аб'ект CSRSS.EXE. Давайце высветлім, што ўяўляе сабой дадзены элемент, наколькі ён важны для сістэмы і не ўтойвае Ці ёсць небяспека для працы кампутара.
Звесткі аб CSRSS.EXE
CSRSS.EXE спаўняецца сістэмным файлам з аднайменнай назвай. Ён прысутнічае ва ўсіх АС лінейкі Віндовс, пачынаючы з версіі Windows 2000. Убачыць яго можна, запусціўшы Дыспетчар задач (камбінацыя Ctrl + Shift + Esc) Ва ўкладцы "Працэсы". Лягчэй за ўсё яго знайсці, выбудаваўшы дадзеныя ў калонцы "Імя ладу" ў алфавітным парадку.
Для кожнай сесіі існуе асобны працэс CSRSS. Таму на звычайных ПК адначасова запушчана два такія працэсу, а на серверных ПК колькасць іх можа дасягаць дзесяткаў. Тым не менш, нягледзячы на тое, што было высветлена, што працэсаў можа быць два, а ў некаторых выпадках нават больш, усім ім адпавядае толькі адзіны файл CSRSS.EXE.
Для таго, каб убачыць усё аб'екты CSRSS.EXE, актываваныя ў сістэме праз Дыспетчар задач, варта клікнуць па надпісе "Адлюстроўваць працэсы ўсіх карыстальнікаў".
Пасля гэтага, калі вы працуеце ў звычайным, а не серверным экзэмпляры Windows, то ў спісе Дыспетчара задач з'явіцца два элемента CSRSS.EXE.
функцыі
Перш за ўсё, высветлім, для чаго гэты элемент патрабуецца сістэме.
Найменне "CSRSS.EXE" з'яўляецца абрэвіятурай ад "Client-Server Runtime Subsystem", што ў перакладзе з ангельскага азначае "Кліент-серверная субсистема часу выканання". Гэта значыць, працэс служыць своеасаблівым злучным звяном кліенцкай і сервернай абласцей сістэмы Віндовс.
Дадзены працэс патрэбен для адлюстравання графічнай складнікам, гэта значыць, таго, што мы бачым на экране. Ён, у першую чаргу, задзейнічаецца пры завяршэнні працы сістэмы, а таксама пры выдаленні або ўсталёўцы тэмы. Без CSRSS.EXE таксама будзе немагчымым запуск кансоляў (CMD і інш.). Працэс неабходны для функцыянавання тэрмінальных службаў і для выдаленага падлучэння да працоўнага стала. Вывучаецца намі файл таксама апрацоўвае разнастайныя патокі АС у падсістэме Win32.
Больш за тое, калі CSRSS.EXE завершаны (усё роўна як: аварыйна або прымусова карыстальнікам), то сістэму чакае крах, што прывядзе да з'яўлення BSOD. Такім чынам, можна сказаць, што функцыянаванне Windows без актыўнага працэсу CSRSS.EXE немагчыма. Таму спыняць яго прымусова варта толькі ў тым выпадку, калі вы ўпэўнены, што ён быў падменены вірусным аб'ектам.
Размяшчэнне файла
Цяпер высвятлім, дзе фізічна на вінчэстары размяшчаецца CSRSS.EXE. Атрымаць звесткі аб гэтым можна пры дапамозе таго ж Дыспетчара задач.
- Пасля таго, як у Дыспетчару задач усталяваны рэжым адлюстравання працэсаў ўсіх юзэраў, зрабіце клік правай кнопкай мышкі па любым з аб'ектаў пад імем "CSRSS.EXE". У кантэкстным пераліку вылучыце "Адкрыць месца захоўвання файла".
- У правадыру будзе адкрыта дырэкторыя размяшчэння патрэбнага файла. Яе адрас можна даведацца, вылучыўшы адрасную радок вокны. У ёй адлюструецца шлях да тэчцы размяшчэння аб'екта. Адрас мае наступны выгляд:
C: Windows System32
Цяпер, ведаючы адрас, можна пераходзіць у дырэкторыю размяшчэння аб'екта без задзейнічання Дыспетчара задач.
- Адкрыйце правадыр, Увядзіце або устаўце ў яго адрасную радок загадзя скапіяваны, паказаны вышэй адрас. пстрыкніце Enter або зрабіце клік па значку ў выглядзе стрэлкі справа ад адраснага радка.
- правадыр адкрые дырэкторыю размяшчэння CSRSS.EXE.
ідэнтыфікацыя файла
Разам з тым, нярэдкія сітуацыі, калі розныя вірусныя прыкладання (руткітов) маскіруюцца пад CSRSS.EXE. У гэтым выпадку важна ідэнтыфікаваць, які менавіта файл адлюстроўвае канкрэтны CSRSS.EXE ў Дыспетчару задач. Такім чынам, высветлім, пры якіх умовах пазначаны працэс павінен прыцягнуць вашу ўвагу.
- Перш за ўсё, пытанні павінны з'явіцца, калі ў Дыспетчару задач у рэжыме адлюстравання працэсаў ўсіх юзэраў у звычайным, а не сервернай сістэме, вы ўбачыце больш за два аб'ектаў CSRSS. Адзін з іх, хутчэй за ўсё, вірус. Параўноўваючы аб'екты, звярніце ўвагу на расход аператыўнай памяці. Пры нармальных умовах для CSRSS усталяваны ліміт у 3000 Кб. Звярніце ўвагу ў Дыспетчару задач на адпаведны паказчык у калонцы "Памяць". Перавышэнне названага вышэй ліміту азначае, што з файлам нешта не ў парадку.
Акрамя таго, варта заўважыць, што звычайна дадзены працэс практычна наогул не грузіць цэнтральны працэсар (ЦП). Часам дапускаецца павелічэнне спажывання рэсурсаў ЦП да некалькіх адсоткаў. Але, калі нагрузка вылічаецца дзесяткамі адсоткаў, то гэта гаворыць пра тое, што альбо сам файл вірусны, альбо з сістэмай у цэлым нешта не ў парадку.
- У Дыспетчару задач у калонцы "Карыстальнік" ("User Name") Насупраць вывучаемай аб'екта абавязкова павінна стаяць значэнне "Сістэма" ("SYSTEM"). Калі там адлюстроўваецца іншая надпіс, уключаючы найменне бягучага карыстацкага профілю, то з вялікай доляй упэўненасці можна сказаць, што мы маем справу з вірусам.
- Акрамя таго, праверыць сапраўднасць файла можна, паспрабаваўшы прымусова спыніць яго працу. Для гэтага ў падазронага аб'екта вылучыце найменне "CSRSS.EXE" і пстрыкніце па надпісе "Завяршыць працэс" у Дыспетчару задач.
Пасля гэтага павінна адкрыцца дыялогавае акно, у якім гаворыцца, што спыненне названага працэсу прывядзе да завяршэння працы сістэмы. Натуральна, што спыняць яго не трэба, таму цісніце на кнопку "Адмена". Але з'яўленне такога паведамленні ўжо з'яўляецца ўскосным пацверджаннем таго, што файл сапраўдны. Калі ж паведамленне будзе адсутнічаць, то гэта дакладна азначае той факт, што файл фальшывы.
- Таксама некаторыя дадзеныя аб сапраўднасці файла можна запазычыць з яго уласцівасцяў. Клікніце па найменні падазронага аб'екта ў Дыспетчару задач правай кнопкай мышкі. У кантэкстным пераліку абярыце "Уласцівасці".
Адкрываецца акно уласцівасцяў. Перамесціцеся ва ўкладку "Агульныя". Звярніце ўвагу на параметр "Размяшчэнне". Шлях да дырэкторыі размяшчэння файла павінен адпавядаць тым адрасе, пра які мы ўжо казалі вышэй:
C: Windows System32
Калі там паказаны любы іншы адрас, то гэта азначае, што працэс падроблены.
У той жа ўкладцы каля параметру "Памер файла" павінна стаяць велічыня 6 КБ. Калі там пазначаны іншы памер, то аб'ект падроблены.
Перамесціцеся ва ўкладку "Падрабязна". каля параметру "Аўтарскія правы" павінна стаяць значэнне "Карпарацыя Майкрасофт" ("Microsoft Corporation").
Але, на жаль, нават пры адпаведнасці ўсім вышэйпералічаным патрабаванням файл CSRSS.EXE можа апынуцца вірусным. Справа ў тым, што вірус можа не толькі маскіравацца пад аб'ект, але і заражаць сапраўдны файл.
Акрамя таго, праблема залішняга спажывання рэсурсаў сістэмы CSRSS.EXE можа быць выкліканая не толькі вірусам, але і пашкоджаннем карыстацкага профілю. У гэтым выпадку можна паспрабаваць "адкаціць" АС да больш ранняй пункце аднаўлення або сфармаваць новы карыстацкі профіль і працаваць ужо ў ім.
ліквідацыю пагрозы
Што ж рабіць, калі вы высветлілі, што CSRSS.EXE выкліканы не арыгінальным файлам АС, а вірусам? Будзем зыходзіць з таго, што ваш штатны антывірус не змог ідэнтыфікаваць шкоднасны код (інакш вы б праблему нават не заўважылі). Таму для ліквідацыі працэсу прымем іншыя крокі.
Спосаб 1: Сканіраванне антывірусам
Перш за ўсё, праскануюць сістэму надзейным антывірусным сканарам, напрыклад Dr.Web CureIt.
Варта адзначыць, што сканаванне сістэмы на наяўнасць вірусаў рэкамендуецца выконваць праз бяспечны рэжым Windows, пры працы ў якім будуць працаваць толькі тыя працэсы, якія забяспечваюць базавую функцыянаванне кампутара, то ёсць вірус будзе "спаць", і знайсці яго такім чынам будзе значна прасцей.
Чытаць далей: Уваходзім ў "Бяспечны рэжым" праз BIOS
Спосаб 2: Ручное выдаленне
Калі сканаванне не дало вынікаў, але вы выразна бачыце, што файл CSRSS.EXE не ў той дырэкторыі, у якой яму пакладзена быць, то ў гэтым выпадку прыйдзецца ўжыць ручную працэдуру выдалення.
- У Дыспетчару задач вылучыце найменне, якое адпавядае фальшывым аб'екту, і націсніце на кнопку "Завяршыць працэс".
- Пасля гэтага з дапамогай правадніка перайдзіце ў дырэкторыю размяшчэння аб'екта. Гэта можа быць любы каталог, акрамя тэчкі "System32". Клікніце па аб'екце правай кнопкай мышкі і выберыце "Выдаліць".
Калі ў вас не атрымліваецца спыніць працэс у Дыспетчару задач або вырабіць выдаленне файла, то выключыце кампутар і зайдзіце ў сістэму ў бяспечным рэжыме (клавіша F8 або спалучэнне Shift + F8 пры загрузцы, у залежнасці ад версіі АС). Затым вырабіце працэдуру выдалення аб'екта з дырэкторыі яго размяшчэння.
Спосаб 3: Аднаўленне сістэмы
І, нарэшце, калі ні першы, ні другі спосабы не прынеслі належнага выніку, і вы не змаглі пазбавіцца ад віруснага працэсу, замаскіравалі пад CSRSS.EXE, вам зможа дапамагчы функцыя аднаўлення сістэмы, прадугледжаная ў АС Windows.
Сутнасць гэтай функцыі заключаецца ў тым, што вы выбіраеце адну з існуючых кропак адкату, якая дасць магчымасць вярнуць працу сістэмы цалкам да абранага перыяду часу: калі да абранага моманту вірус на кампутары адсутнічаў, то дадзены інструмент дазволіць яго ліквідаваць.
Ёсць у гэтай функцыі і адваротны бок медаля: калі пасля стварэння той ці іншай кропкі былі ўсталяваныя праграмы, у іх заносіліся налады і т.п - гэта гэта сапраўды такім жа чынам закране. Аднаўленне сістэмы не закранае толькі прыстасаваныя файлы, да якіх ставяцца дакументы, фатаграфіі, відэа і музыка.
Больш падрабязна: Як аднавіць АС Windows
Як бачым, у большасці выпадкаў CSRSS.EXE з'яўляецца адным з самых важных для функцыянавання аперацыйнай сістэмы працэсам. Але часам ён можа быць ініцыяваны вірусам. У гэтым выпадку неабходна правесці працэдуру яго выдалення паводле тых рэкамендацый, якія прадастаўлены ў дадзеным артыкуле.