CSRSS.EXE: co to za proces i dlaczego działa?
Uważa się, że w standardowym Menedżerze zadań ta usługa pojawiła się jako stale działający aktywny proces od czasu wydania modyfikacji Windows NT. Co to jest ten proces (Csrss.exe) i do czego służy niewielu ludzi. Należy podać specjalne wyjaśnienia dotyczące tej usługi, ponieważ sam proces może odnosić się również do narzędzi systemowych, bez których system Windows normalnie nie działa, oraz do wirusowych apletów, które są po prostu zamaskowane. Ale to tylko część głównego problemu, ponieważ nawet oryginalna usługa może dawać awarie, które nie zawsze zależą nawet od działań użytkownika, oczywiście, nie wspominając o różnych zagrożeniach w postaci wykonywalnego złośliwego kodu. Ale rozważmy tę usługę z punktu widzenia jej obecności w systemie Windows jako składnika systemu, a później przejdźmy do wirusów.
Csrss.exe: czym jest ten proces i dlaczego działa on w systemach Windows?
Na początek będziesz musiał podać wyjaśnienia dotyczące celu, dla którego deweloperzy zawarli tę usługę w systemie operacyjnym. Jak potrzebna jest jej obecność?
Co to jest ten proces - Csrss.exe - jest łatwy do myślenia, jeśli spojrzysz na zasady rozumienia uruchamiania i działania tak zwanych okien konsoli, takich jak wiersz poleceń lub PowerShell. Ich priorytet w Windows jest wyższy niż główny interfejs.
Innymi słowy, gdyby ta usługa nie została uruchomiona, w środowisku Windows byłoby możliwe operowanie systemem wyłącznie poprzez wprowadzenie odpowiednich poleceń w celu uzyskania dostępu do niektórych elementów sterujących, podstawowych lub dodatkowych funkcji typu, który kiedyś był wykonywany w systemie DOS.
Chociaż oficjalny opis mówi, że proces ten dotyczy aplikacji klienckich i serwerowych, na przykład zapewniających zdalny dostęp przez odpowiedni podsystem, nie zawsze tak jest.
Co się stanie, jeśli zakończysz proces Csrss.exe?
Niektórzy użytkownicy, widząc obciążenie zasobów systemowych (zwiększone wykorzystanie możliwości obliczeniowych centralnego procesora i ładowanie pamięci RAM), omyłkowo biorą aktywny proces Csrss.exe dla wirusa.
Na wirusy mieszkają trochę później. W międzyczasie kilka słów o pierwotnej usłudze. Tak, rzeczywiście, można zauważyć tę sytuację, ale zakończenie procesu może doprowadzić do najbardziej nieprzewidywalnych konsekwencji.
Być może tak jest interfejs graficzny Windows po prostu się wyłączy, a nawet restartowanie jednej z głównych usług explorer.exe (nie mylić ze standardowym "Explorerem") doprowadzi do niczego. Nawet sam system odmówi wykonania takiej akcji.
Problemy z obciążeniem zasobów systemowych
Ale zobaczmy, dlaczego proces Csrss.exe ładuje procesor i "zjada" znaczną ilość pamięci RAM.
Problem tutaj prawdopodobnie nie dotyczy awarii systemu operacyjnego, ale liczby uruchomionych usług w tle i aplikacji użytkownika. Chodzi o to, że wcześniej, usługa Rundll32, która była odpowiedzialna za umieszczanie bibliotek dynamicznych w pamięci RAM, została użyta do rozładowania komponentów programów startowych do pamięci RAM. Teraz programy startowe odnoszą się do opisanego komponentu, który łączy funkcje ładowania bibliotek i korzystania z interfejsu graficznego.
Jak odróżnić oryginalny proces od wirusa?
Co to jest ten proces (Csrss.exe), nieco uporządkowany. Przejdziemy teraz do rozważenia najbardziej nieprzyjemnej sytuacji, która wiąże się z pojawieniem się w systemie zagrożeń wirusowych o tej samej nazwie.
Niestety tak po prostu nie zawsze można zidentyfikować proces wirusowy według identyfikatorów procesu (SYSTEM, LOKALNY itp.). 2 procesu Csrss.exe w "Menedżerze zadań" jest zjawiskiem normalnym.
Dwa, ale nie więcej! Jeśli widzisz trzy lub więcej procesów, natychmiast podejmij kroki, aby wyeliminować zagrożenia.
Aby to zrobić, po prostu kliknij prawym przyciskiem myszy na zaznaczonym procesie i wybierz, aby wyświetlić lokalizację pliku EXE, który jest odpowiedzialny za aktywację procesu. Oryginalny plik zawsze znajduje się w folderze System32 głównego katalogu systemu operacyjnego i ma domyślny rozmiar nie większy niż 6 KB. Jeśli spojrzysz na jego właściwości, w rozszerzonym opisie możesz zobaczyć obecność cyfrowego podpisu Microsoft. Wszystkie pliki wirusów będą miały dramatyczne różnice.
Zakończenie aktywnych procesów w "Menedżerze zadań"
Co to jest ten proces (Csrss.exe), wykryty. Teraz najważniejsze jest pozbycie się wirusów w taki sposób, aby w żaden sposób nie wpływał na oryginalną usługę.
Po określeniu lokalizacji plików powodujących problemy należy zatrzymać powiązane z nimi procesy i spróbować usunąć żądane obiekty za pomocą "Eksploratora". W tym przypadku takie operacje mogą być wykonywane nie zawsze, aby uzyskać prawa administracyjne, lepiej używać programów takich jak FAR Manger lub Total Commander.
Skanowanie komputera w poszukiwaniu wirusów
Jeśli to nie pomoże, użyj przenośnego narzędzia do skanowania antywirusowego, takiego jak KVRT lub Dr. Web CureIt.
Jeśli nic nie ujawnią, napisz narzędzie Rescue Disk na nośniku wymiennym, uruchom z nim, wybierz typ interfejsu z preferowanym językiem i przeskanuj system przed uruchomieniem systemu Windows. Rezultat nie jest długi, ponieważ takie narzędzia wykrywają nawet wirusy znajdujące się w pamięci RAM i ukryte sektory startowe dysku twardego.
Rozszerzone fundusze
Jeśli ta technika nie działa, uruchom ponownie system w trybie awaryjnym (dla systemu Windows poniżej dziesiątej modyfikacji, użyj klawisza F8 na początku), użyj odpowiedniego trybu i powtórz kroki opisane powyżej.
Jeśli to możliwe, przywróć ostatnią udaną konfigurację, która poprzedziła pojawienie się awarii. Podczas uruchamiania systemu możesz również skontaktować się z "Centrum odzyskiwania". Ale w tym przypadku mówimy wyłącznie o trybie awaryjnym.
Dodatkowe rozwiązania po neutralizowaniu zagrożeń
Może się zdarzyć, że w przypadku przeniknięcia wirusa pliki systemowe zostaną uszkodzone i może nie być możliwe ich wyleczenie za pomocą standardowych narzędzi skanera antywirusowego. Pobieranie podobnych obiektów z Internetu i umieszczanie ich w odpowiednich lokalizacjach nic nie da (przynajmniej będą musiały być zarejestrowane przy użyciu polecenia regsvr32).
Jeśli nadal obserwuje się awarię, znacznie łatwiej jest korzystać z wiersza poleceń, wprowadzając polecenie sprawdzania i przywracania obiektów systemowych sfc / scannow.
Jako jedną z opcji: jeśli system się uruchomi, możesz przywrócić biblioteki systemowe, korzystając z programu DLL Suite, który jest w stanie pobrać brakujące składniki z Internetu. W końcu użyj odzyskiwania online za pomocą wbudowanego zestawu narzędzi DISM. Przynajmniej jedna z opcji pomoże (zeskanować lub przywrócić). Ale to, w zasadzie, można nazwać najnowszą metodą eliminacji problemu, jeśli nic nie działa. Zaletą tego podejścia jest to, że w większości przypadków system nie będzie musiał być ponownie instalowany, ponieważ wielu użytkowników zaczyna właśnie to robić.
Zamiast całości
Cóż, wszystko zależy od usługi systemowej Csrss.exe. Co to jest ten proces (komponent systemu lub wirus), posortowany. Myślę, że nie warto dyskutować o tym, jak celowo jest wyłączyć to w usługach systemowych, ponieważ w tym przypadku interfejs systemu "odleci". Jednak w przypadku pojawienia się wirusów należy je natychmiast usunąć. Rozwiązania eliminujące zagrożenia tego typu, podane powyżej, mogą rozwiązać problem, który nazywamy stuprocentowym. Użyj bootowania za pomocą narzędzia dyskowego. Jest bardzo możliwe, że nawet te zagrożenia, których nawet nie podejrzewasz, zostaną zidentyfikowane w twoim systemie, a ich usunięcie lub unieszkodliwienie potrwa minimalnie czas i użycie zasobów komputera, po czym cały system wróci do normy.