Se adoita traballar co Xestor de tarefas de Windows, non podes deixar de ter en conta que o obxecto CSRSS.EXE está sempre na lista de procesos. Descubrimos o que é este elemento, o importante que é para o sistema e se é perigoso para a computadora.
Información de CSRSS.EXE
CSRSS.EXE execútase polo ficheiro do sistema co mesmo nome. Está presente en todo o sistema operativo de Windows, comezando coa versión de Windows 2000. Pódese ver executando Task Manager (combinación) Ctrl + Maiús + Esc) separador "Procesos". É máis fácil atopalo construíndo os datos na columna "Nome da imaxe" en orde alfabética.
Para cada sesión, hai un proceso CSRSS separado. Xa que logo, nas computadoras ordinarias ponse en marcha dous procesos semellantes e nas PCs do servidor o seu número pode chegar a decenas. Non obstante, a pesar de descubrir que pode haber dous procesos e, nalgúns casos, aínda máis, só un único ficheiro CSRSS.EXE corresponde a todos eles.
Para ver todos os obxectos CSRSS.EXE activados no sistema mediante o Xestor de tarefas, faga clic na lenda "Amosar todos os procesos de usuario".
Despois diso, se está a traballar nunha instancia normal de Windows e non nun servidor, entón dous elementos CSRSS.EXE aparecerán na lista Xestor de tarefas.
Funcións
Primeiro de todo, descubra por que este sistema require o elemento.
O nome "CSRSS.EXE" é unha abreviatura de "Client-Server Runtime Subsystem", que traducido do inglés significa "subsistema de tempo de execución cliente-servidor". É dicir, o proceso serve como unha especie de conexión entre as áreas cliente e servidor do sistema Windows.
Este proceso é necesario para mostrar o compoñente gráfico, é dicir, o que vemos na pantalla. Implica principalmente o apagado do sistema, así como ao eliminar ou instalar un tema. Sen CSRSS.EXE, tamén será imposible lanzar consolas (CMD, etc.). O proceso é necesario para a operación dos servizos de terminal e para a conexión remota ao escritorio. O ficheiro que estamos a estudar tamén xestiona unha variedade de subprocesos do SO no subsistema Win32.
Ademais, se o CSRSS.EXE está completo (sen importar como: emerxencia ou forzado polo usuario), o sistema bloqueará, o que resultará nun BSOD. Así, podemos dicir que o funcionamento de Windows sen o proceso activo de CSRSS.EXE é imposible. Polo tanto, debería estar obrigado a detelo só se está seguro de que foi substituído por un obxecto antivirus.
Situación do ficheiro
Agora descubriremos onde está localizado CSRSS.EXE no disco duro. Pode obter información sobre el usando o mesmo Xestor de tarefas.
- Despois de configurar o modo de tarefa para mostrar os procesos de todos os usuarios, faga clic co botón dereito do rato en calquera dos obxectos baixo o nome "CSRSS.EXE". Na lista de contexto, seleccione "Abrir a localización de almacenamento de ficheiros".
- En Explorador Abrirase o directorio para a localización do ficheiro desexado. Podes descubrir o seu enderezo resaltando a barra de enderezos da xanela. Mostra o camiño cara á localización do cartafol do obxecto. O enderezo é o seguinte:
C: Sistema de Windows32
Agora, coñecendo a dirección, pode ir ao directorio de localización de obxectos sen usar o Xestor de tarefas.
- Abre Explorador, introduza ou pegue na súa barra de enderezos unha dirección anteriormente copiada indicada anteriormente. Fai clic Intro ou faga clic na icona de frecha situada á dereita da barra de enderezos.
- Explorador abrirá a localización de CSRSS.EXE.
Identificación de ficheiros
Ao mesmo tempo, hai situacións frecuentes cando varias aplicacións de virus (rootkits) están disfrazadas como CSRSS.EXE. Neste caso, é importante identificar o ficheiro que mostra específicamente o CSRSS.EXE específico no Xestor de tarefas. Entón, descubrimos en que condicións debe atraer a atención o proceso indicado.
- Primeiro de todo, deberían aparecer preguntas no Xestor de tarefas no modo de mostrar os procesos de todos os usuarios nun sistema normal, en lugar dun servidor, verá máis de dous obxectos CSRSS. Un deles é probablemente un virus. Comparando obxectos, preste atención ao consumo de RAM. En condicións normais, establécese un límite de 3000 Kb para CSRSS. Preste atención no Xestor de tarefas ao indicador correspondente na columna "Memoria"Exceder o límite anterior significa que algo está mal co ficheiro.
Ademais, débese notar que normalmente este proceso practicamente non carga a unidade de procesamento central (CPU). Ás veces, permítese aumentar o consumo de recursos de CPU ata algúns por cento. Pero, cando a carga se calcula en decenas de por cento, significa que o ficheiro en si é viral, ou hai algo mal no sistema como un todo.
- No Xestor de tarefas da columna "Usuario" ("Nome de usuario") debe haber un valor en oposición ao obxecto que está a ser estudado. "Sistema" ("SISTEMA"). Se se amosa outra inscrición alí, incluído o nome do perfil de usuario actual, entón con un gran grao de confianza podemos dicir que estamos ante un virus.
- Ademais, pode verificar a autenticidade do ficheiro intentando deter a operación por forza. Para facer isto, selecciona o nome do obxecto sospeitoso. "CSRSS.EXE" e fai clic na lenda "Completa o proceso" no Xestor de tarefas.
Despois disto debería abrirse un cadro de diálogo, que di que parar o proceso especificado producirá o apagado do sistema. Por suposto, non fai falta detelo, entón faga clic no botón "Cancelar". Pero a aparición de tal mensaxe xa é unha confirmación indirecta de que o ficheiro é auténtico. Se a mensaxe está ausente, significa definitivamente o feito de que o ficheiro é falso.
- Tamén se poden obter algúns datos sobre a autenticidade do ficheiro das súas propiedades. Fai clic co nome dereito do obxecto sospeitoso no Xestor de tarefas co botón dereito do rato. Na lista de contexto, seleccione "Propiedades".
Ábrese a ventá de propiedades. Mova á pestana "Xeral". Preste atención ao parámetro "Localización". O camiño ao directorio de localización de ficheiros debe corresponder ao enderezo que xa mencionamos anteriormente:
C: Sistema de Windows32Se aparece algunha outra dirección alí, significa que o proceso é falso.
Na mesma pestana preto do parámetro "Tamaño do ficheiro" Debe ter un valor de 6 KB. Se hai un tamaño diferente, o obxecto é falso.
Mova á pestana "Detalles". Acerca do parámetro "Copyright" debe ser o valor "Microsoft Corporation" ("Microsoft Corporation").
Pero, desgraciadamente, aínda que se cumpren todos os requisitos anteriores, o ficheiro CSRSS.EXE pode ser viral. O feito é que un virus pode non só disfrazarse dun obxecto, senón que tamén pode infectar un arquivo real.
Ademais, o problema do exceso de consumo dos recursos do sistema CSRSS.EXE pode ser causado non só por un virus, senón tamén por danos no perfil de usuario. Neste caso, pode tentar "retroceder" o SO a un punto de recuperación anterior ou crear un novo perfil de usuario e traballar nel.
Eliminación de ameazas
Que facer se descubriu que CSRSS.EXE non é causado polo ficheiro orixinal do sistema operativo, pero por un virus? Supoñeremos que o antivirus do seu persoal non podería identificar o código malicioso (se non, nin sequera notaría o problema). Polo tanto, tomaremos outros pasos para eliminar o proceso.
Método 1: Antivirus
Primeiro de todo, escanea o sistema cun escáner antivirus de confianza, por exemplo Dr.Web CureIt.
É interesante notar que se recomenda escanear o sistema de virus a través do modo seguro de Windows, cando se traballa no que só os procesos que proporcionan o funcionamento básico da computadora funcionarán, é dicir, o virus "durmirá" e será moito máis fácil atopalo así.
Ler máis: Ingresando o "Modo seguro" a través do BIOS
Método 2: eliminación manual
Se a comprobación non produciu resultados, pero ve claramente que o ficheiro CSRSS.EXE non está no directorio no que se supón que é, entón neste caso terá que aplicar un procedemento de eliminación manual.
- No Xestor de tarefas, seleccione o nome correspondente ao obxecto falso e prema no botón "Completa o proceso".
- Despois de usar isto Condutor vaia á localización do obxecto. Isto pode ser calquera directorio que non sexa o cartafol. "System32". Fai clic no obxecto co botón dereito do rato e selecciona "Eliminar".
Se non pode parar o proceso no Xestor de tarefas ou elimine o ficheiro, desactive o computador e inicie sesión en modo seguro. F8 ou combinación Maiús + F8 cando se inicia, dependendo da versión do sistema operativo). A continuación, realice o procedemento para eliminar un obxecto do seu directorio de localización.
Método 3: Restaurar sistema
E, finalmente, se nin o primeiro nin o segundo métodos produciron un resultado adecuado, e non podes desfacerse do proceso de virus disfrazado de CSRSS.EXE, a función de recuperación do sistema fornecida no sistema operativo Windows pode axudar.
A esencia desta función radica en que escolle un dos puntos de retroceso existentes que permiten que o sistema regrese completamente ao período de tempo seleccionado: se no momento seleccionado non había virus no ordenador, esta ferramenta permitiralle eliminalo.
Esta función tamén ten un lado inverso da medalla: se despois de crear un ou outro punto, instaláronse programas, inseríronse configuracións e así sucesivamente - isto afectaralle do mesmo xeito. A Restauración do sistema non afecta só aos ficheiros de usuario, que inclúen documentos, fotos, vídeos e música.
Ler máis: Como recuperar Windows
Como podes ver, na maioría dos casos, CSRSS.EXE é un dos máis importantes para o funcionamento do proceso do sistema operativo. Pero ás veces pode ser provocado por un virus. Neste caso, é necesario levar a cabo o procedemento para a súa remoción de acordo coas recomendacións deste artigo.
