Как считается, в стандартном «Диспетчере задач» данная служба в виде постоянно работающего активного процесса появилась со времени выхода модификации Windows NT. Что это за процесс (Csrss.exe) и для чего он нужен, мало кто себе представляет. По поводу данной службы следует дать особые разъяснения, поскольку сам процесс может относиться и к системным инструментам, без которых работа Windows в обычном режиме может стать невозможной, и к вирусным апплетам, которые просто маскируются под него. Но это есть только часть основной проблемы, поскольку даже оригинальная служба может давать сбои, которые не всегда зависят даже от пользовательских действий, конечно, не говоря о разного рода угрозах в виде исполняемых вредоносных кодов. Но давайте рассматривать данную службу с точки зрения ее наличия в Windows в качестве системнго компонента, а к вирусам перейдем чуть позже.
Csrss.exe: что это за процесс, и для чего он запущен в Windows-системах?
Для начала придется дать пояснения по поводу того, с какой целью разработчики включили в операционную систему данную службу. Насколько обязательно ее присутствие?
What happens if you DELETE csrss.exe?
Что это за процесс — Csrss.exe -, нетрудно сообразить, если обратиться к принципам понимания запуска и работы так называемых консольных окон вроде командной строки или PowerShell. Их приоритет в Windows занимает более высокое положение, нежели основной интерфейс.
Иными словами, если бы данная служба не была запущена, в среде Windows можно было бы работать системой исключительно путем ввода соответствующих команд для доступа к каким-то элементам управления, основным или дополнительным функциям по типу того, как это когда-то производилось в DOS.
И хотя официальное описание гласит, что данный процесс относится к связям клиентских и серверных приложений, например, с обеспечением удаленного доступа через соответствующую подсистему, это не всегда так.
Что будет, если завершить процесс Csrss.exe?
Некоторые пользователи, видя нагрузку на системные ресурсы (повышенное использование вычислительных способностей центрального процессора и загрузки оперативной памяти), активный процесс Csrss.exe ошибочно принимают за вирус.
На вирусах остановимся чуть позже. А пока несколько слов об оригинальной службе. Да, действительно, такая ситуация наблюдаться может, но вот завершение процесса может привести к самым непредсказуемым последствиям.
Вполне может быть, что графический интерфейс Windows попросту отключится, и даже перезапуск одной из основных служб explorer.exe (не путать со стандартным «Проводником») ни к чему не приведет. Даже сама система откажет в выполнении такого действия.
What happens if we delete csrss.exe in Windows XP
Проблемы с нагрузкой на системные ресурсы
Но давайте посмотрим, почему процесс Csrss.exe грузит процессор и «съедает» ощутимый объем оперативной памяти.
Проблема тут скорее не в сбоях операционной системы, а в количестве запущенных фоновых служб и пользовательских приложений. Вопрос тут в том, что раньше для выгрузки компонентов стартующих программ в оперативную память использовалась служба Rundll32, которая как раз и отвечала за помещение динамических библиотек в ОЗУ. Теперь же стартующие программы обращаются к описываемому компоненту, который совмещает в себе функции по загрузке библиотек и использованию графического интерфейса.
Как отличить оригинальный процесс от вируса?
Итак, что это за процесс (Csrss.exe), немного разобрались. Теперь перейдем к рассмотрению самой неприятной ситуации, которая связана с появлением в системе одноименных вирусных угроз.
К сожалению, вот так, с ходу выявить именно вирусный процесс по идентификаторам процессов (SYSTEM, LOCAL и т. д.) не всегда представляется возможным. 2 процесса Csrss.exe в «Диспетчере задач» — явление нормальное.
Два, но не более! Если видите три и больше процессов, срочно принимайте меры по устранению угроз.
Для этого достаточно использовать меню ПКМ на отмеченном процессе и выбрать отображение места расположения исполняемого EXE-файла, который отвечает за активацию процесса. Оригинальный файл всегда находится в папке System32 главной директории операционной системы и имеет размер по умолчанию не более 6 Кб. Если посмотреть на его свойства, в расширенном описании можно увидеть и наличие цифровой подписи Microsoft. Все вирусные файлы будут иметь кардинальные отличия.
Завершение активных процессов в «Диспетчере задач»
Что это за процесс (Csrss.exe), выяснили. Теперь самое главное — избавиться ото вирусов таким образом, чтобы это никоим образом не сказалось на оригинальной службе.
После определения местоположения проблемных файлов следует остановить связанные с ними процессы и попытаться произвести удаление искомых объектов через «Проводник». В нем такие операции можно осуществить не всегда, поэтому для получения административных прав лучше воспользоваться программами вроде FAR Manger или Total Commander.
Проверка компьютера на вирусы
Если это не поможет, используйте портативные утилиты для поиска вирусов, которые представляют собой разработки вроде KVRT или Dr. Web CureIt.
Если они не выявят вообще ничего, запишите на съемный носитель утилиту Rescue Disk, загрузитесь с ее помощью, выберите тип интерфейса с предпочитаемым языком и просканируйте систему до предварительной загрузки Windows. Результат не заставит себя ждать, поскольку такие утилиты определяют даже те вирусы, которые могут находиться в оперативной памяти и скрытых загрузочных секторах жесткого диска.
Расширенные средства
В случае когда и такая методика не сработает, перегрузите систему в безопасном режиме (для Windows ниже десятой модификации используется клавиша F8 при старте), используйте соответствующий режим и повторите описанные выше действия.
Если получится, восстановите последнюю удачную конфигурацию, которая предшествовала появлению сбоев. При загрузке системы также можно обратиться в «Центр восстановления». Но в данном случае речь идет исключительно о режиме Safe Mode.
Дополнительные решения после нейтрализации угроз
Очень может быть, что при проникновении вируса поврежденными окажутся системные файлы, которые вылечить стандартными средствами антивирусных сканеров может оказаться невозможным. Загрузка аналогичных объектов из интернета с помещением их в соответствующие локации ничего не даст (по крайней мере, их придется регистрировать при помощи команды regsvr32).
Если нарушение работы все же наблюдается, куда проще воспользоваться командной строкой с вводом команды проверки и восстановления системных объектов sfc /scannow.
Как один из вариантов: если система стартует, можете произвести восстановление системных библиотек путем использования программы DLL Suite, которая способна догружать недостающие компоненты из интернета. В конце концов, используйте онлайн-восстановление при помощи встроенного инструментария DISM. Хотя бы один из вариантов поможет (либо сканирование, либо восстановление). Но это, в принципе, можно назвать самой последней методикой устранения проблемы, если уж совсем ничего не работает. Плюс такого подхода состоит в том, что в большинстве случаев систему переустанавливать не придется, а то ведь многие пользователи именно этим и начинают заниматься.
Вместо итога
Ну вот и все о системной службе Csrss.exe. Что это за процесс (системный компонент или вирус), разобрались. Насколько целесообразно отключать его в системных службах, думается, обсуждать не стоит, поскольку в этом случае «слетит» вест интерфейс системы. Однако при появлении вирусов удалять их нужно моментально.
Решения по избавлению от угроз такого типа, приведенные выше, позволяют решить проблему, что называется, на все сто. Используйте загрузку при помощи дисковой утилиты. Очень может быть, что в вашей системе будут определены даже те угрозы, о которых вы вообще не подозревали, а их устранение или нейтрализация займут минимум времени и использования компьютерных ресурсов, после чего вся система придет в норму.
Источник: www.syl.ru
Процесс CSRSS.EXE
Если вы часто работаете с Диспетчером задач Windows, то не могли не обратить внимания, что в списке процессов всегда присутствует объект CSRSS.EXE. Давайте выясним, что представляет собой данный элемент, насколько он важен для системы и не таит ли опасность для работы компьютера.
Сведения о CSRSS.EXE
CSRSS.EXE исполняется системным файлом с одноименным наименованием. Он присутствует во всех ОС линейки Виндовс, начиная с версии Windows 2000. Увидеть его можно, запустив Диспетчер задач (комбинация Ctrl+Shift+Esc) во вкладке «Процессы». Легче всего его найти, выстроив данные в колонке «Имя образа» в алфавитном порядке.
Для каждой сессии существует отдельный процесс CSRSS. Поэтому на обычных ПК одновременно запущено два таких процесса, а на серверных ПК численность их может достигать десятков. Тем не менее, несмотря на то, что было выяснено, что процессов может быть два, а в некоторых случаях даже больше, всем им соответствует только единственный файл CSRSS.EXE.
Для того, чтобы увидеть все объекты CSRSS.EXE, активированные в системе через Диспетчер задач, следует кликнуть по надписи «Отображать процессы всех пользователей».
После этого, если вы работаете в обычном, а не серверном экземпляре Windows, то в списке Диспетчера задач появится два элемента CSRSS.EXE.
Функции
Прежде всего, выясним, для чего этот элемент требуется системе.
Наименование «CSRSS.EXE» является аббревиатурой от «Client-Server Runtime Subsystem», что в переводе с английского означает «Клиент-серверная субсистема времени выполнения». То есть, процесс служит своеобразным связующим звеном клиентской и серверной областей системы Виндовс.
Csrss.exe — что это? Csrss.exe грузит процессор, как лечить?
Начиная с версий ОС Windows 2000 пользователь, открывая Диспетчер задач, видит в дереве активных процессов службу Csrss.exe. Что это такое, знают далеко не все юзеры. Сейчас мы рассмотрим эту тему, а заодно посмотрим, почему возникают ошибки и как с ними бороться.
Csrss.exe: что это?
Прежде всего стоит сказать, что служба Csrss.exe является важным системным процессом. Сокращение в названии файла происходит от Server Client Runtime Subsystem, что в переводе можно трактовать как «подсистема взаимодействия сервера и клиента».
Если быть более точным, то процесс Csrss.exe является прослойкой, обеспечивающей взаимодействие между серверной и клиентской частями «операционки».
Описание процесса
Давайте подробнее рассмотрим процесс Csrss.exe. Что за процесс мы имеем и как он работает, будет понятно на простом примере. Можно привести в качестве наглядного примера, допустим, установленные пользователем приложения, которые запускаются именно благодаря этой службе.
Однако наилучшим вариантом является обеспечение доступа юзера ко всем возможностям системы посредством графического интерфейса. Служба Csrss.exe отвечает и за это.
В некотором смысле ее можно сравнить с процессом Rundll.32, только этот процесс взаимодействует исключительно с динамическими библиотеками, а служба Csrss.exe работает в более широком аспекте, отвечая за запуск и системных, и пользовательских процессов.
Расположение файла программы
Если говорить о файле программы, стандартным месторасположением является путь C:WindowsSystem32. Файл Csrss.exe расположен именно в папке System32 и не может находиться нигде больше.
Отсюда следует простейший вывод: в диспетчере задач пользователь не должен наблюдать более одного процесса Csrss.exe. Это, как говорится, де-факто. Правда, иногда возникает ситуация, когда, например, в диспетчере задач «висит» несколько служб Csrss.exe. Два процесса и более – явный признак присутствия вируса, хотя бывают и исключения из правил.
Так, например, в зависимости от версии ОС Windows таких процессов может быть более одного. Действительно, такие ситуации встречаются. К примеру, в Windows 7 или 8 два процесса Csrss.exe могут присутствовать в диспетчере задач одновременно, но не более. А вот если их уже больше двух, тогда дело плохо.
Придется с этим бороться, тем более что многие вирусы могут запросто маскироваться под системные службы. Но об этом будет сказано несколько позже.
Почему служба Csrss.exe грузит процессор?
Вот теперь мы подходим к разрешению нелицеприятной ситуации, когда этот процесс слишком активно использует системные ресурсы, нагружая оперативную память и центральный процессор до предела.
Изначально, как это и было задумано разработчиками, процесс Csrss.exe не должен занимать в «оперативке» более 3000 Кб (при нормальной работе). Если посмотреть на использование ресурсов процессора, то здесь обычно высвечивается значение, равное нулю, или немного больше. Это «немного больше» выражается не более чем в долях процента. Так что если пользователь наблюдает нагрузку, соизмеримую с десятками процентов, нужно принимать экстренные меры.
Подозрение на вирусы
Начнем с того, что сегодня можно встретить достаточно много вирусов, маскирующихся под системный процесс Csrss.exe. Что это именно в понимании заражения компьютера? А вот что. Вирус, во-первых, самокопируется, размещая копии с одноименным названием (Csrss.exe) в папках, используемых для хранения временных файлов Интернета, перемещает собственные копии на USB-накопители и т.д. Как уже понятно, все запущенные копии можно увидеть в диспетчере задач.
При этом если даже просматривать данные о размещении файла или командную строку, рядовой пользователь ничего подозрительного может и не увидеть. Все данные будут просто идентичны между собой. Далее мы рассмотрим несколько способов, использование которых позволит бороться с такими негативными проявлениями.
Простейшие способы исправления ситуации
Начнем с простейшего. Итак, имеем подозрение на вирус, замаскированный под процесс Csrss.exe. Как лечить систему в данном случае? Проще простого. Для начала нужно «пройтись» по системе мощным антивирусным сканером, установленным в системе, либо использовать онлайн сканеры.
Какому антивирусу отдать предпочтение, пользователь решает сам. Но в данном конкретном случае луше использовать утилиты помощнее, скажем, того же «Касперского» или Eset NOD32. Очень интересной штукой является «облачный» сканер Panda, который совмещает в себе возможности штатных стандартных антивирусов и онлайн сканеров. Суть не в этом.
Иногда могут встречаться ситуации, что антивирусное ПО угроз, связанных с этим процессом, не обнаруживает. Вирусы ведь становятся в своем поведении намного изощреннее. Иногда на пользовательском компьютерном терминале просто может быть установлен слабенький антивирус и т. д. Что делать в этом случае?
Тут можно посоветовать ручное вмешательство. Конечно, можно покопаться в реестре, поудалять ненужные ключи или восстановить поврежденные, но можно поступить намного проще. Самым простым средством является тот же диспетчер задач. Если пользователь видит в нем несколько процессов, нагружающих систему до невозможности, можно попробовать завершать каждый из них поочередно.
В случае если процесс окажется вирусом, ничего страшного не произойдет. Он завершится, только и всего.
Если же завершение работы будет применено к оригинальной службе, сама ОС Windows тут же выдаст сообщение с запросом, действительно ли пользователь хочет завершить данный процесс (Do you want to end this process?), а также с предупреждением, что завершение процесса может повлиять на стабильность рабты системы. Заметьте, такое сообщение высвечивается исключительно при обращении к настоящему файлу Csrss.exe.
Удаление файлов
Теперь посмотрим, что можно сделать после того, как мы обнаружили в системе угрозу и завершили соответствующие процессы в диспетчере задач. Нам нужно найти все подозрительные файлы и удалить их вручную.
Для этого используем сочетание клавиш Win + F для вызова поисковой системы Windows. В поле поиска прописываем название файла (в данном случае Csrss.exe), а сам поиск производим на всех жестких дисках, логических разделах и съемных носителях. Съемные носители нужно задействовать обязательно (естественно, в случае появления угрозы, когда они были подключены к компьютерному терминалу или ноутбуку), поскольку одним из проявлений самопроизвольного копирования вирусов этого типа является именно перемещение своих копий на обычные флэшки или винчестеры USB-HDD. Наверное, уже понятно, что если избавиться от вируса в самой системе, при повторном подключении съемного USB-носителя заражения не миновать.
Поиск может занять достаточно много времени, но лучше потерпеть. После того как поиск будет окончен, а в результатах отобразятся все найденные файлы с таким именем, необходимо каждый из них проверить хотя бы на наличие цифровой подписи. Правым кликом на каждом файле вызываем меню «Свойства».
На вкладке «Подробно» у настоящего файла дожа быть цифровая подпись (авторские права Microsoft, название продукта, месторасположение, а главное – размер 6 Кб). Теперь все файлы, не соответствующие этим критериям, можно удалить без зазрения совести.
Правда, иногда удаление произвести окажется невозможным, или файлы будут замаскированы настолько, что система их не найдет. В этой ситуации придется использовать специальные сканеры, обычно называемые Rescue Disc. Их преимущество в том, что загрузка антивирусного ПО происходит еще до того, как начнет стартовать ОС Windows. Как показывает практика, такие утилиты способны определять и удалять вирусы в 99,9% случаев из ста.
Заключение
Итак, мы рассмотрели процесс Csrss.exe. Что это такое, думается, хоть немного стало понятно. В принципе, сам процесс, если он грузит систему и является единственным в списке, принудительно лучше не завершать, а проверить систему антивирусом. Вполне может быть, что файл просто поврежден или заражен. Вышеописанные действия применяются только в случае обнаружения в системе нескольких процессов Csrss.exe.
Источник: fb.ru