Pokud často pracujete s Správcem úloh systému Windows, nemůžete si všimnout, že v seznamu procesů je vždy objekt CSRSS.EXE. Zjistíme, jaký je daný prvek, jak důležitý je pro systém a zda existuje nebezpečí pro počítač.

O společnosti CSRSS.EXE

CSRSS.EXE je spuštěn systémovým souborem se stejným názvem. Je přítomen ve všech operačních systémech Windows z Windows 2000. Můžete si je prohlédnout spuštěním Správce úloh (kombinace Ctrl + Shift + Esc ) na kartě "Procesy" . Nejjednodušší způsob, jak to zjistit, je vytvoření dat v sloupci "Název obrázku" v abecedním pořadí.

Proces CSRSS.EXE v Správci úloh

Pro každou relaci existuje samostatný proces CSRSS. Proto na typickém počítači jsou současně spuštěny dva takové procesy a na serverových počítačích jejich počet může dosáhnout desítky. Navzdory skutečnosti, že bylo zjištěno, že mohou existovat dva procesy a v některých případech ještě více, všem tam odpovídá pouze jeden soubor CSRSS.EXE.

Chcete-li vidět všechny objekty CSRSS.EXE aktivované v systému pomocí Správce úloh, klikněte na "Zobrazit procesy všech uživatelů" .

Přepněte na zobrazení procesů pro všechny uživatele v nástroji Správce úloh

Poté, pokud pracujete v normální, nikoliv na instanci serveru systému Windows, pak v seznamu Správce úloh budou dva prvky CSRSS.EXE.

Dva procesy CSRSS.EXE v Správci úloh

Funkce

Za prvé zjistěte, proč je tento prvek vyžadován systémem.

Název "CSRSS.EXE" je zkratka pro subsystém "Runtime pro klienty a servery", což znamená v angličtině "Subsystém run-time run-time". To znamená, že proces slouží jako jedinečný odkaz v klientských a serverových oblastech systému Windows.

Tento proces je nezbytný pro zobrazení grafické komponenty, to znamená, co vidíme na obrazovce. Nejdříve se používá na konci systému, stejně jako při mazání nebo instalaci motivu. Bez CSRSS.EXE nebude možné také spouštět konzoly (CMD atd.). Tento proces je nezbytný pro provoz terminálových služeb a pro vzdálené připojení k pracovní ploše. Soubor, který studujeme, také zpracovává různé podprocesy v podsystému Win32.

Pokud je CSRSS.EXE dokončen (bez ohledu na to, jak: zhroucení nebo vynucený uživatelem), systém čeká na havárii, což povede k vzhledu BSOD. Můžeme tedy říci, že fungování Windows bez aktivního procesu CSRSS.EXE je nemožné. Proto by mělo být zastaveno násilně, pouze pokud jste si jisti, že byl nahrazen objektem viru.

Umístění souboru

Nyní zjistěte, kde je CSRSS.EXE fyzicky umístěn na pevném disku. Informace o tom můžete získat pomocí stejného Správce úloh.

  1. Poté, co jste v nástroji Správce úloh nastavili režim zobrazování procesů všech uživatelů, klepněte pravým tlačítkem myši na některý z objektů pod názvem "CSRSS.EXE" . V seznamu kontextů vyberte možnost "Otevřít úložiště souborů" .
  2. Přejděte do umístění souboru CSRSS.EXE prostřednictvím kontextové nabídky v nástroji Správce úloh

  3. V Průzkumníku se otevře adresář pro umístění požadovaného souboru. Adresu můžete zjistit výběrem adresního řádku okna. Zobrazí cestu ke složce umístění objektu. Adresa je následující:

    C:WindowsSystem32

Adresa složky úložiště souborů CSRSS.EXE v Průzkumníku Windows

Nyní, znát adresu, můžete přejít do adresáře umístění objektu bez použití Správce úloh.

  1. Otevřete program Explorer , zadejte nebo vložte do jeho adresního řádku dříve kopírovanou adresu uvedenou výše. Klikněte na tlačítko Enter nebo klikněte na ikonu ve tvaru šipky napravo od pruhu adres.
  2. Přejděte na umístění souboru CSRSS.EXE pomocí Průzkumníka Windows

  3. Prohlížeč otevře adresář pro umístění souboru CSRSS.EXE.

Soubor CSRSS.EXE v Průzkumníku Windows

Identifikace souboru

Současně není neobvyklé, že řada virových aplikací (rootkitů) se maskuje jako CSRSS.EXE. V tomto případě je důležité přesně určit, který soubor zobrazí konkrétní CSRSS.EXE v Správci úloh. Takže zjistěte, za jakých podmínek by měl určený proces přilákat vaši pozornost.

  1. Nejprve by se měly objevit otázky, pokud v nástroji Správce úloh vidíte více než dva objekty CSRSS v režimu zobrazování procesů všech uživatelů v běžném systému než v serveru. Jedním z nich je pravděpodobně virus. Při porovnávání objektů věnujte pozornost spotřebě paměti RAM. Za normálních podmínek je pro CSRSS nastaven limit 3000 KB. Dbejte na odpovídající indikátor ve sloupci "Memory " ve Správci úloh. Překročení výše uvedeného limitu znamená, že v souboru je něco špatně.

    Zobrazí paměť obsazenou procesem CSRSS.EXE v Správci úloh

    Kromě toho je třeba poznamenat, že tento proces obvykle nenahrává centrální procesor (CPU) vůbec. Někdy je povoleno zvýšit spotřebu zdrojů CPU na několik procent. Ale když je zatížení vypočteno desítkami procent, znamená to, že buď samotný soubor je virový, nebo je něco špatného se systémem jako celku.

  2. Zobrazení zatížení CPU procesu CSRSS.EXE v nástroji Správce úloh

  3. Ve Správci úloh ve sloupci "Uživatelské jméno" musí být hodnota "SYSTEM" ( "SYSTEM ") vždy před studovaným objektem. Pokud je zobrazen další nápis, včetně názvu aktuálního profilu uživatele, pak s velkou důvěrou lze říci, že se jedná o virus.
  4. Uživatelské jméno procesu CSRSS.EXE v Správci úloh

  5. Kromě toho můžete ověřit pravost souboru tím, že ji budete nucen zastavit. Chcete-li to provést, vyberte název "CSRSS.EXE" z podezřelého objektu a klepněte na tlačítko "Ukončit proces" v Správci úloh.

    Oprava procesu CSRSS.EXE v Správci úloh

    Poté by se mělo otevřít dialogové okno s tím, že zastavení zadaného procesu bude mít za následek vypnutí systému. Samozřejmě, že jej nemusíte zastavit, klikněte na tlačítko "Zrušit" . Ale vzhled takové zprávy je již nepřímým potvrzením, že soubor je autentický. Pokud zpráva není přítomna, pak to přesně znamená skutečnost, že soubor je falešný.

  6. Upozornění na dokončení procesu CSRSS.EXE

  7. Některé údaje o pravosti souboru mohou být získány z jeho vlastností. Klepněte na název podezřelého objektu v Správci úloh pravým tlačítkem myši. V seznamu zkratek vyberte Vlastnosti .

    Přejděte do okna vlastností procesu CSRSS.EXE prostřednictvím kontextové nabídky v nástroji Správce úloh

    Otevře se okno vlastností. Přejděte na kartu Obecné . Věnujte pozornost možnosti "Umístění" . Cesta k adresáři umístění souboru by měla odpovídat adrese, kterou jsme uvedli výše:

    C:WindowsSystem32

    Pokud je uvedena jiná adresa, znamená to, že proces je falešný.

    Na stejné záložce v blízkosti parametru "Velikost souboru" by měla být hodnota 6 KB. Pokud je jiná velikost, pak je objekt falešný.

    Okno Vlastnosti procesu CSRSS.EXE

    Přejděte na kartu Podrobnosti . Parametr "Autorská práva" by měl být nastaven na "Microsoft Corporation" ( "Microsoft Corporation" ).

Copyright v okně vlastností procesu CSRSS.EXE

Bohužel, i když jsou splněny všechny výše uvedené požadavky, může být soubor CSRSS.EXE virový. Faktem je, že virus může nejen maskovat jako objekt, ale i infikovat skutečný soubor.

Kromě toho problém nadměrné spotřeby zdrojů systému CSRSS.EXE může být způsoben nejen virem, ale také poškozením profilu uživatele. V takovém případě se můžete pokusit "vrátit" operační systém do staršího bodu obnovy nebo vytvořit nový uživatelský profil a pracovat již v něm.

Odstraňování problémů

Co můžete udělat, pokud zjistíte, že CSRSS.EXE není způsoben původním OS, ale virem? Vycházíme z toho, že váš běžný antivirový program nedokázal identifikovat škodlivý kód (jinak byste si toho problém ani nevšimli). Proto přijmeme další kroky k odstranění tohoto procesu.

Metoda 1: Antivirové skenování

Především skenujte systém pomocí spolehlivého antivirového skeneru Dr.Web CureIt .

Kontrola virů pomocí aplikace Dr.Web CureIt!

Stojí za to poznamenat, že je doporučeno naskenovat systém pro viry v bezpečném režimu Windows, ve kterém budou pracovat pouze procesy, které zajistí základní fungování počítače, to znamená, že virus "spí" a bude mnohem jednodušší jej najít.

Přečtěte si více: Do režimu "Núdzový režim" vstupujeme přes BIOS

Metoda 2: Ruční odebrání

Pokud skenování nefunguje, ale jasně vidíte, že soubor CSRSS.EXE není v adresáři, v němž by měl být, pak musíte v tomto případě použít postup manuálního odstraňování.

  1. V nástroji Správce úloh vyberte název odpovídající falešnému objektu a klepněte na tlačítko "Ukončit proces" .
  2. Oprava falešného procesu CSRSS.EXE v nástroji Správce úloh

  3. Potom použijte Průzkumník pro navigaci do adresáře umístění objektu. Může jít o libovolný adresář jiný než složka "System32" . Klepněte na objekt pravým tlačítkem myši a vyberte "Odstranit" .

Odebrání souboru virů CSRSS.EXE prostřednictvím kontextové nabídky v Průzkumníku Windows

Pokud nemůžete zastavit proces v Správci úloh nebo odstranit soubor, vypněte počítač a přejděte do Nouzového režimu (klávesa F8 nebo Shift + F8 při zavádění v závislosti na verzi OS). Potom proveďte postup odstranění objektu z adresáře umístění.

Metoda 3: Obnovení systému

A konečně, pokud ani první ani druhá metoda nezajistí správný výsledek a nedokážete se zbavit virového procesu maskovaného jako CSRSS.EXE, můžete pomoci funkci obnovení systému poskytované v systému Windows.

Spuštění nástroje Obnovení systému

Podstatou této funkce je vybrání jednoho ze stávajících bodů vrácení, které umožňují systému vrátit se zcela do zvoleného časového období: pokud v daném okamžiku v počítači neexistoval virus, pak tento nástroj umožní jeho odstranění.

Tato funkce má také zadní stranu mince: pokud po vytvoření určitého bodu byly nainstalovány programy, v nich byly zadány nastavení a tak dále - je to přesně stejný způsob, jak se dotkne. Obnova systému neovlivňuje pouze uživatelské soubory, které zahrnují dokumenty, fotografie, videa a hudbu.

Přečtěte si více: Jak obnovit operační systém Windows

Jak je vidět, ve většině případů je CSRSS.EXE jedním z nejdůležitějších procesů pro fungování operačního systému. Ale někdy to může vyvolat virus. V tomto případě je nutné provést postup pro jeho odstranění podle doporučení uvedených v tomto článku.