Ако често работите со Windows Task Manager, не можете да забележите дека објектот CSRSS.EXE е секогаш присутен во списокот со процеси. Ајде да откриеме што е овој елемент, колку е важен за системот и дали е полн со опасност за компјутерот.
Детали за CSRSS.EXE
CSRSS.EXE е извршена од системската датотека со исто име. Таа е присутна во сите оперативни системи Виндоус, почнувајќи од верзијата на Виндоус 2000. Можете да ја видите со извршување на Управувач со задачи (комбинација Ctrl + Shift + Esc) во табулаторот "Процеси". Најлесен начин да се пронајдат е со изградба на податоците во колона. "Име на слика" по азбучен ред.
Постои посебен процес на CSRSS за секоја сесија. Затоа, на обични компјутери, два вакви процеси се истовремено лансирани, а на компјутерите на серверот нивниот број може да достигне десетици. Сепак, и покрај фактот дека е откриено дека може да има две, или во некои случаи дури и повеќе процеси, сите од нив соодветствуваат само на една датотека CSRSS.EXE.
За да ги видите сите објекти CSRSS.EXE активирани во системот преку Task Manager, кликнете на натписот "Прикажи процеси на сите корисници".
После тоа, ако работите во редовна, наместо на пример сервер на Виндоус, тогаш два листа на CSRSS.EXE ќе се појават во листата на Task Manager.
Функции
Како прво, ќе откриеме зошто овој елемент го бара системот.
Името "CSRSS.EXE" е кратенка за "Клиент-сервер траење подсистем", која е преведена од англиски како "Клиент-сервер траење подсистем". Тоа е, процесот служи како еден вид поврзувачка врска помеѓу клиентот и серверот области на системот Виндоус.
Овој процес е потребен за прикажување на графичката компонента, односно она што го гледаме на екранот. Тоа, пред сè, е вклучено кога системот се исклучува, како и при деинсталирање или инсталирање на тема. Без CSRSS.EXE, исто така ќе биде невозможно да се стартуваат конзоли (CMD, итн.). Процесот е неопходен за работа на терминални услуги и за далечинско поврзување со работната површина. Датотеката што ја проучуваме, исто така, обработува различни теми за оперативниот систем во подсистемот Win32.
Покрај тоа, ако CSRSS.EXE е завршен (без разлика како: да се сруши или да се присили на корисникот), тогаш системот ќе се сруши, што ќе доведе до појава на BSOD. Така, можеме да кажеме дека функционирањето на Виндоус без активен процес CSRSS.EXE е невозможно. Затоа, запирањето треба да биде присилно само ако сте сигурни дека е заменет со предмет на вирус.
Локација на датотека
Сега да откриеме каде е CSRSS.EXE физички лоцирана на хард дискот. Можете да добиете информации за ова користејќи го истиот Управувач со задачи.
- Откако режимот за прикажување задачи на процесите на сите корисници е поставен во Task Manager, кликнете со десното копче на кој било од објектите под името "CSRSS.EXE". Во контекстната листа, изберете "Отворена локација за складирање датотеки".
- Во Истражувач Directoryе се отвори директориумот за локација на саканата датотека. Можете да ја дознаете нејзината адреса со истакнување на лентата за адреса на прозорецот. Го прикажува патеката до папката за локација на објектот. Адресата е како што следува:
C: Windows System32
Сега, знаејќи ја адресата, можете да отидете во директориумот за локација на објектот без да користите Управувач со задачи.
- Отворено Истражувач, внесете ја или ставете ја во лентата со адреси претходно копираната горена адреса. Кликнете Внесете или кликнете на иконата со стрелка десно од лентата за адреса.
- Истражувач ќе го отвори директориумот за локација CSRSS.EXE.
Идентификација на датотека
Во исто време, ситуациите кога разни вирусни апликации (rootkits) се маскираат како CSRSS.EXE не се невообичаени. Во овој случај, важно е да се идентификува која датотека прикажува специфичен CSRSS.EXE во Управувачот со задачи. Значи, да откриеме под кои услови посочениот процес треба да го привлече вашето внимание.
- Прво на сите, треба да се појават прашања ако во Task Manager во режимот на приказ на процесите на сите корисници во редовен, наместо серверски систем, ќе видите повеќе од два CSRSS објекти. Еден од нив е најверојатно вирус. Кога споредувате предмети, обрнете внимание на потрошувачката на меморија. Во нормални услови, границата од 3000 Kb е поставена за CSRSS. Забележете во Task Manager соодветниот индикатор во колоната „Меморија"Надминување на горенаведената граница значи дека нешто не е во ред со датотеката.
Покрај тоа, треба да се забележи дека обично овој процес практично воопшто не го оптеретува централниот процесор (процесорот). Понекогаш е дозволено да се зголеми потрошувачката на ресурси на процесорот до неколку проценти. Но, кога товарот е во десетици проценти, тоа значи дека или самата датотека е вирусна, или нешто не е во ред со системот како целина.
- Во Управувачот со задачи во колоната "Корисник" ("Корисничко име") спротивниот предмет што се испитува мора нужно да биде вредноста „Систем“ („СИСТЕМАко е прикажан друг натпис таму, вклучувајќи го и името на тековниот кориснички профил, тогаш со висок степен на сигурност можеме да кажеме дека се занимаваме со вирус.
- Покрај тоа, можете да ја потврдите автентичноста на датотеката обидувајќи се насилно да го запрете работењето. За да го направите ова, изберете го името на сомнителниот предмет "CSRSS.EXE" и кликнете на натписот „Завршете го процесот“ во раководителот на задачи.
После тоа, треба да се отвори дијалог прозорец, во кој се вели дека запирањето на наведениот процес ќе доведе до завршување на системот. Секако, не треба да го стопирате, затоа кликнете на копчето Откажи. Но, појавата на таква порака е веќе индиректна потврда дека датотеката е оригинална. Ако пораката недостасува, тогаш ова дефинитивно значи фактот дека датотеката е лажна.
- Исто така, некои информации за автентичноста на датотеката можат да се добијат од неговите својства. Кликнете на името на сомнителниот предмет во Task Manager со десното копче на глувчето. Во контекстната листа, изберете "Карактеристики".
Се отвора прозорецот за својства. Одете на јазичето „Генерал“. Обрнете внимание на параметарот "Локација". Патеката до директориумот за локација на датотеката треба да одговара на адресата што ја споменавме погоре:
C: Windows System32Ако има друга адреса е наведена таму, тогаш тоа значи дека процесот е лажен.
Во истиот таб во близина на параметарот Големина на датотеката треба да биде 6 KB. Ако таму е одредена различна големина, тогаш предметот е лажен.
Одете на јазичето „Детали“. Во близина на параметарот Авторско право мора да вреди Корпорација Мајкрософт ("Мајкрософт").
Но, за жал, дури и ако се исполнети сите горенаведени барања, датотеката CSRSS.EXE може да биде вирусна. Факт е дека вирусот не само што може да се маскира како предмет, туку и да зарази вистинска датотека.
Покрај тоа, проблемот со прекумерна потрошувачка на ресурси на системот CSRSS.EXE може да биде предизвикан не само од вирус, туку и од оштетување на корисничкиот профил. Во овој случај, можете да се обидете да го "вратите" оперативниот систем до претходната точка за враќање или да креирате нов кориснички профил и да работите веќе во него.
Елиминација на заканите
Што да направите ако дознаете дека CSRSS.EXE е предизвикана не од оригиналната оперативна датотека, туку од вирус? Willе претпоставиме дека вашиот редовен антивирус не може да го идентификува малициозниот код (во спротивно не би го забележале ниту проблемот). Затоа, ќе преземеме други чекори за да го елиминираме процесот.
Метод 1: Антивирусно скенирање
Како прво, скенирајте го системот со сигурен антивирусен скенер, на пример Dr.Web CureIt.
Вреди да се напомене дека се препорачува да се скенира системот за вируси преку безбеден режим на Виндоус, за време на кои ќе работат само оние процеси што обезбедуваат основно функционирање на компјутерот, односно вирусот ќе „спие“ и ќе биде многу полесно да се најде на овој начин.
Прочитајте повеќе: Внесете безбеден режим преку BIOS-от
Метод 2: Рачно отстранување
Ако скенирањето не успее, но јасно гледате дека датотеката CSRSS.EXE не е во директориумот во кој треба да биде, тогаш во овој случај ќе мора да ја користите постапката за рачно отстранување.
- Во Task Manager, означете го името што одговара на лажниот предмет и кликнете на копчето „Завршете го процесот“.
- После тоа користење Спроводник одете во директориумот за локација на предметот. Може да биде кој било директориум освен папка "Систем32". Десен клик на некој предмет и изберете Избриши.
Ако не можете да го запрете процесот во Task Manager или да избришете датотека, тогаш исклучете го компјутерот и најавете се на Safe Mode (клуч Ф8 или комбинација Shift + F8 при подигање, во зависност од верзијата на ОС). Потоа извршете ја постапката за бришење на предметот од директориумот на нејзината локација.
Метод 3: Враќање на системот
И, конечно, ако ниту првите, ниту вторите методи не донесоа соодветен резултат и не можете да се ослободите од вирусот процес преправен како CSRSS.EXE, функцијата за обновување на системот обезбедена во Виндоус може да ви помогне.
Суштината на оваа функција е дека изберете една од постојните точки на враќање, што ќе ви овозможи да го вратите системот целосно во избраниот временски период: ако немаше вирус на компјутерот во избраното време, тогаш оваа алатка ќе го елиминира.
Оваа функција, исто така, има флип страна кон монетата: ако програми беа инсталирани по создавање на една или друга точка, во нив беа внесени поставки, итн. - ова ќе влијае на истиот начин. Враќањето на системот не влијае само на датотеките со корисници, кои вклучуваат документи, фотографии, видеа и музика.
Прочитајте повеќе: Како да го обновите Windows оперативниот систем
Како што можете да видите, во повеќето случаи CSRSS.EXE е еден од најважните процеси за функционирање на оперативниот систем. Но, понекогаш може да биде иницирана од вирус. Во овој случај, неопходно е да се спроведе постапката за отстранување во согласност со препораките дадени во овој напис.
