формати файлів

процес CSRSS.EXE

Якщо ви часто працюєте з Диспетчером завдань Windows, то не могли не звернути уваги, що в списку процесів завжди присутній об'єкт CSRSS.EXE. Давайте з'ясуємо, що являє собою даний елемент, наскільки він важливий для системи і не таїть небезпека для роботи комп'ютера.

Відомості про CSRSS.EXE

CSRSS.EXE виповнюється системним файлом з однойменною назвою. Він присутній у всіх ОС лінійки Віндовс, починаючи з версії Windows 2000. Побачити його можна, запустивши Диспетчер завдань (комбінація Ctrl + Shift + Esc) у вкладці «Процеси». Найлегше його знайти, збудувавши дані в колонці "Ім'я образу» в алфавітному порядку.

Процес CSRSS.EXE в диспетчері завдань

Для кожної сесії існує окремий процес CSRSS. Тому на звичайних ПК одночасно запущено два таких процесу, а на серверних ПК чисельність їх може досягати десятків. Проте, не дивлячись на те, що було з'ясовано, що процесів може бути два, а в деяких випадках навіть більше, всім їм відповідає тільки єдиний файл CSRSS.EXE.

Для того, щоб побачити всі об'єкти CSRSS.EXE, активовані в системі через Диспетчер завдань, слід клікнути по напису «Відображати процеси всіх користувачів».

Перехід до відображення процесів всіх користувачів в диспетчері завдань

Після цього, якщо ви працюєте в звичайному, а не серверному екземплярі Windows, то в списку Диспетчера завдань з'явиться два елементи CSRSS.EXE.

Два процесу CSRSS.EXE в диспетчері завдань

функції

Перш за все, з'ясуємо, для чого цей елемент потрібно системі.

Найменування «CSRSS.EXE» є абревіатурою від «Client-Server Runtime Subsystem», що в перекладі з англійської означає «Клієнт-серверна субсистема часу виконання». Тобто, процес служить своєрідною сполучною ланкою клієнтської і серверної областей системи Віндовс.

Даний процес потрібен для відображення графічної складової, тобто, того, що ми бачимо на екрані. Він, в першу чергу, задіюється при завершенні роботи системи, а також при видаленні або установці теми. Без CSRSS.EXE також буде неможливим запуск консолей (CMD і ін.). Процес необхідний для функціонування термінальних служб і для віддаленого підключення до робочого столу. Досліджуваний нами файл також обробляє різноманітні потоки ОС в підсистемі Win32.

Більш того, якщо CSRSS.EXE завершений (неважливо як: аварійно або примусово користувачем), то систему чекає крах, що призведе до появи BSOD. Таким чином, можна сказати, що функціонування Windows без активного процесу CSRSS.EXE неможливо. Тому зупиняти його примусово слід виключно в тому випадку, якщо ви впевнені, що він був підмінений вірусним об'єктом.

Розташування файлу

Тепер з'ясуємо, де фізично на вінчестері розміщується CSRSS.EXE. Отримати відомості про це можна за допомогою того ж Диспетчера завдань.

  1. Після того, як в диспетчері завдань встановлений режим відображення процесів всіх користувачів, зробіть клік правою кнопкою мишки за допомогою одного з об'єктів під ім'ям «CSRSS.EXE». У контекстному переліку виберете «Відкрити місце зберігання файлу».

    2. Перехід в місце зберігання файлу CSRSS.EXE через контекстне меню в диспетчері завдань

  2. У Провіднику буде відкрита директорія розташування потрібного файлу. Її адреса можна дізнатися, виділивши адресний рядок вікна. У ній відобразиться шлях до папки розташування об'єкта. Адреса має наступний вигляд:

    C:WindowsSystem32

Адреса папки зберігання файлу CSRSS.EXE в Провіднику Windows

Тепер, знаючи адресу, можна переходити в директорію розташування об'єкта без задіяння Диспетчера завдань.

  1. Відкрийте Провідник, введіть або вставте в його адресний рядок заздалегідь скопійований, зазначену вище адресу. Клацніть Enter або зробіть клік по значку у вигляді стрілки праворуч від адресного рядка.

    2. Перехід в місце зберігання файлу CSRSS.EXE c допомогою Провідника Windows

  2. Провідник відкриє директорію розташування CSRSS.EXE.

Файл CSRSS.EXE в Провіднику Windows

ідентифікація файлу

Разом з тим, непоодинокі випадки, коли різні вірусні програми (руткіти) маскуються під CSRSS.EXE. У цьому випадку важливо ідентифікувати, який саме файл відображає конкретний CSRSS.EXE в диспетчері завдань. Отже, з'ясуємо, за яких умов позначений процес повинен привернути вашу увагу.

  1. Перш за все, питання повинні з'явитися, якщо в диспетчері завдань в режимі відображення процесів всіх користувачів в звичайній, а не серверній системі, ви побачите більше двох об'єктів CSRSS. Один з них, швидше за все, вірус. Порівнюючи об'єкти, зверніть увагу на витрату оперативної пам'яті. При нормальних умовах для CSRSS встановлений ліміт в 3000 КБ. Зверніть увагу в диспетчері завдань на відповідний показник в колонці «Пам'ять». Перевищення зазначеного вище ліміту означає, що з файлом щось не в порядку.

    Відображення займаної процесом CSRSS.EXE оперативної пам'яті в диспетчері завдань

    Крім того, слід зауважити, що зазвичай цей процес практично взагалі не вантажить центральний процесор (ЦП). Іноді допускається збільшення споживання ресурсів ЦП до декількох відсотків. Але, коли навантаження обчислюється десятками відсотків, то це говорить про те, що або сам файл вірусний, або з системою в цілому щось не в порядку.

    2. Відображення навантаження на центральний процесор процесу CSRSS.EXE в диспетчері завдань

  2. У диспетчері завдань в колонці «Користувач» ( «User Name») навпроти досліджуваного об'єкта обов'язково має стояти значення «Система» ( «SYSTEM»). Якщо там показуються інші напис, включаючи найменування поточного профілю користувача, то з великою часткою впевненості можна сказати, що ми маємо справу з вірусом.

    3. Ім'я користувача процесу CSRSS.EXE в диспетчері завдань

  3. Крім того, перевірити справжність файлу можна, спробувавши примусово зупинити його роботу. Для цього у підозрілого об'єкту виділіть найменування «CSRSS.EXE» і клацніть по напису «Завершити процес» в диспетчері завдань.

    Зайоржений процесу CSRSS.EXE в диспетчері завдань

    Після цього має відкритися діалогове вікно, в якому говориться, що зупинка зазначеного процесу призведе до завершення роботи системи. Природно, що зупиняти його не потрібно, тому тисніть на кнопку «Скасування». Але поява такого повідомлення вже є непрямим підтвердженням того, що файл справжній. Якщо ж повідомлення буде відсутній, то це точно означає той факт, що файл фальшивий.

    4. Попередження про завершення процесу CSRSS.EXE

  4. Також деякі дані про справжність файлу можна почерпнути з його властивостей. Клацніть по найменуванню підозрілого об'єкту в диспетчері завдань правою кнопкою мишки. У контекстному переліку виберіть «Властивості».

    Перехід у вікно властивостей процесу CSRSS.EXE через контекстне меню в диспетчері завдань

    Відкривається вікно властивостей. Прокрутіть у вкладку «Загальні». Зверніть увагу на параметр «Розташування». Шлях до директорії розташування файлу повинен відповідати тією адресою, про який ми вже говорили вище:

    C:WindowsSystem32

    Якщо там вказано будь-який інший адресу, то це означає, що процес підроблений.

    У тій же вкладці близько параметра «Розмір файлу» повинна стояти величина 6 КБ. Якщо там вказано інший розмір, то об'єкт підроблений.

    Вікно властивостей процесу CSRSS.EXE

    Прокрутіть у вкладку «Докладно». Близько параметра «Авторські права» має стояти значення «Корпорація Майкрософт» ( «Microsoft Corporation»).

Авторські права в вікні властивостей процесу CSRSS.EXE

Але, на жаль, навіть при відповідності всім вищевказаним вимогам файл CSRSS.EXE може виявитися вірусним. Справа в тому, що вірус може не тільки маскуватися під об'єкт, але і заражати справжній файл.

Крім того, проблема надмірного споживання ресурсів системи CSRSS.EXE може бути викликана не тільки вірусом, але і пошкодженням профілю користувача. В цьому випадку можна спробувати «відкотити» ОС до більш ранньої точки відновлення або сформувати новий користувальницький профіль і працювати вже в ньому.

усунення загрози

Що ж робити, якщо ви з'ясували, що CSRSS.EXE викликаний не оригінальним файлом ОС, а вірусом? Будемо виходити з того, що ваш штатний антивірус не зміг ідентифікувати шкідливий код (інакше ви б проблему навіть не помітили). Тому для усунення процесу зробимо інші кроки.

Спосіб 1: Сканування антивірусом

Перш за все, проскануйте систему надійним антивірусним сканером, наприклад Dr.Web CureIt .

Сканування системи на віруси утилітою Dr.Web CureIt!

Варто відзначити, що сканування системи на наявність вірусів рекомендується виконувати через безпечний режим Windows, при роботі в якому будуть працювати лише ті процеси, які забезпечують базове функціонування комп'ютера, тобто вірус буде «спати», і знайти його таким чином буде значно простіше.

Детальніше: Входимо в «Безпечний режим» через BIOS

Спосіб 2: Ручне видалення

Якщо сканування не дало результатів, але ви чітко бачите, що файл CSRSS.EXE не в тій директорії, в якій йому належить бути, то в цьому випадку доведеться застосувати ручну процедуру видалення.

  1. У диспетчері завдань виділіть найменування, відповідне фальшивому об'єкту, і натисніть на кнопку «Завершити процес».

    2. Зайоржений фальшивого процесу CSRSS.EXE в диспетчері завдань

  2. Після цього за допомогою Провідника перейдіть в директорію розміщення об'єкта. Це може бути будь-який каталог, крім папки «System32». Клацніть по об'єкту правою кнопкою мишки і виберіть «Видалити».

Видалення вірусного файлу CSRSS.EXE через контекстне меню в Провіднику Windows

Якщо у вас не виходить зупинити процес в диспетчері завдань або провести видалення файлу, то вимкніть комп'ютер і зайдіть в систему в безпечному режимі (клавіша F8 або поєднання Shift + F8 при завантаженні, в залежності від версії ОС). Потім зробіть процедуру видалення об'єкта з директорії його розташування.

Спосіб 3: Відновлення системи

І, нарешті, якщо ні перший, ні другий способи не принесли належного результату, і ви не змогли позбутися від вірусного процесу, замаскувався під CSRSS.EXE, вам зможе допомогти функція відновлення системи, передбачена в ОС Windows.

Запуск відновлення системи

Суть даної функції полягає в тому, що ви вибираєте одну з існуючих точок відкату, яка дозволить повернути роботу системи повністю до вибраного періоду часу: якщо до вибраного моменту вірус на комп'ютері був відсутній, то цей інструмент дозволить його усунути.

Є у цієї функції і зворотна сторона медалі: якщо після створення тієї чи іншої точки були встановлені програми, в них вносилися настройки і т.п - це це точно таким же чином торкнеться. Відновлення системи не зачіпає лише призначені для користувача файли, до яких належать документи, фотографії, відео та музика.

Детальніше: Як відновити ОС Windows

Як бачимо, в більшості випадків CSRSS.EXE є одним з найважливіших для функціонування операційної системи процесом. Але іноді він може бути ініційований вірусом. У цьому випадку необхідно провести процедуру його видалення згідно з тими рекомендаціями, які надані в даній статті.