CSRSS.EXE: що це за процес і для чого він запущений?

CSRSS.EXE: що це за процес і для чого він запущений?

Як вважається, в стандартному "Диспетчері завдань" дана служба у вигляді постійно працюючого активного процесу з 'явилася з часу виходу модифікації Windows NT. Що це за процес (Csrss.exe) і для чого він потрібен, мало хто собі уявляє. З приводу цієї служби слід дати особливі роз 'яснення, оскільки сам процес може відноситися і до системних інструментів, без яких робота Windows у звичайному режимі може стати неможливою, і до вірусних апплетів, які просто маскуються під нього. Але це є тільки частина основної проблеми, оскільки навіть оригінальна служба може давати збої, які не завжди залежать навіть від користувальницьких дій, звичайно, не кажучи про різного роду загрози у вигляді виконуваних шкідливих кодів. Але давайте розглядати дану службу з точки зору її наявності в Windows в якості системнго компонента, а до вірусів перейдемо трохи пізніше.

Csrss.exe: що це за процес, і для чого він запущений в Windows-системах?

Для початку доведеться дати пояснення з приводу того, з якою метою розробники включили в операційну систему дану службу. Наскільки обов 'язкова її присутність?

Що це за процес - Csrss.exe -, неважко зметикувати, якщо звернутися до принципів розуміння запуску і роботи так званих консольних вікон на кшталт командного рядка або PowerShell. Їхній пріоритет у Windows займає більш високе положення, ніж основний інтерфейс.

Іншими словами, якби ця служба не була запущена, в середовищі Windows можна було б працювати системою виключно шляхом введення відповідних команд для доступу до якихось елементів управління, основних або додаткових функцій за типом того, як це колись вироблялося в DOS.

І хоча офіційний опис свідчить, що даний процес відноситься до зв 'язків клієнтських і серверних додатків, наприклад, із забезпеченням віддаленого доступу через відповідну підсистему, це не завжди так.

Що буде, якщо завершити процес Csrss.exe?

Деякі користувачі, бачачи навантаження на системні ресурси (підвищене використання обчислювальних здібностей центрального процесора і завантаження оперативної пам 'яті), активний процес Csrss.exe помилково приймають за вірус.

На вірусах зупинимося трохи пізніше. А поки кілька слів про оригінальну службу. Так, дійсно, така ситуація спостерігатися може, але ось завершення процесу може призвести до найбільш непередбачуваних наслідків.

Цілком може бути, що графічний інтерфейс Windows просто відключиться, і навіть перезапуск однієї з основних служб explorer.exe (не плутати зі стандартним "Провідником") ні до чого не призведе. Навіть сама система відмовить у виконанні такої дії.

Проблеми з навантаженням на системні ресурси

Але давайте подивимося, чому процес Csrss.exe вантажить процесор і "з 'їдає" відчутний обсяг оперативної пам' яті.

Проблема тут скоріше не в збоях операційної системи, а в кількості запущених фонових служб і програм користувача. Питання тут у тому, що раніше для вивантаження компонентів стартуючих програм в оперативну пам 'ять використовувалася служба Rundll32, яка якраз і відповідала за приміщення динамічних бібліотек в ОЗП. Тепер же стартуючі програми звертаються до описуваного компонента, який поєднує в собі функції по завантаженню бібліотек і використанню графічного інтерфейсу.

Як відрізнити оригінальний процес від вірусу?

Отже, що це за процес (Csrss.exe), трохи розібралися. Тепер перейдемо до розгляду найбільш неприємної ситуації, яка пов 'язана з появою в системі однойменних вірусних загроз.

На жаль, ось так, з ходу виявити саме вірусний процес за ідентифікаторами процесів (SYSTEM, LOCAL тощо) не завжди є можливим. 2 процесу Csrss.exe в "Диспетчері завдань" - явище нормальне.

Два, але не більше! Якщо бачите три і більше процесів, терміново вживайте заходів щодо усунення загроз.

Для цього достатньо використовувати меню ПКМ на зазначеному процесі і вибрати відображення місця розташування виконуваного EXE-файлу, який відповідає за активацію процесу. Оригінальний файл завжди знаходиться в теці System32 головній директорії операційної системи і має розмір за замовчуванням не більше 6 Кб. Якщо подивитися на його властивості, в розширеному описі можна побачити і наявність цифрового підпису Microsoft. Всі вірусні файли матимуть кардинальні відмінності.

Завершення активних процесів у менеджері завдань

Що це за процес (Csrss.exe), з 'ясували. Тепер найголовніше - позбутися від вірусів таким чином, щоб це жодним чином не позначилося на оригінальній службі.

Після визначення розташування проблемних файлів слід зупинити пов 'язані з ними процеси і спробувати видалити шукані об' єкти через "Провідник". У ньому такі операції можна здійснити не завжди, тому для отримання адміністративних прав краще скористатися програмами на кшталт FAR Manger або Total Commander.

Перевірка комп 'ютера на віруси

Якщо це не допоможе, використовуйте портативні утиліти для пошуку вірусів, які являють собою розробки на кшталт KVRT або Dr. Web CureIt.

Якщо вони не виявлять взагалі нічого, запишіть на знімний носій утиліту Rescue Disk, завантажіться з її допомогою, виберіть тип інтерфейсу з бажаною мовою і проскануйте систему до попереднього завантаження Windows. Результат не змусить себе чекати, оскільки такі утиліти визначають навіть ті віруси, які можуть перебувати в оперативній пам 'яті і прихованих завантажувальних секторах жорсткого диска.

Додаткові засоби

У разі якщо і така методика не спрацює, перевантажте систему в безпечному режимі (для Windows нижче десятої модифікації використовується клавіша F8 при старті), використовуйте відповідний режим і повторіть описані вище дії.

Якщо вийде, відновіть останню вдалу конфігурацію, яка передувала появі збоїв. При завантаженні системи також можна звернутися в "Центр відновлення". Але в даному випадку мова йде виключно про режим Safe Mode.

Додаткові рішення після нейтралізації загроз

Дуже може бути, що при проникненні вірусу пошкодженими виявляться системні файли, які вилікувати стандартними засобами антивірусних сканерів може виявитися неможливим. Завантаження аналогічних об 'єктів з інтернету з поміщенням їх у відповідні локації нічого не дасть (принаймні, їх доведеться реєструвати за допомогою команди regsvr32).

Якщо порушення роботи все ж спостерігається, куди простіше скористатися командним рядком з введенням команди перевірки і відновлення системних об 'єктів sfc/scannow.

Як один з варіантів: якщо система стартує, можете відновити системні бібліотеки шляхом використання програми DLL Suite, яка здатна завантажувати відсутні компоненти з інтернету. Зрештою, використовуйте онлайн-відновлення за допомогою вбудованого інструментарію DISM. Хоча б один з варіантів допоможе (або сканування, або відновлення). Але це, в принципі, можна назвати самою останньою методикою усунення проблеми, якщо вже зовсім нічого не працює. Плюс такого підходу полягає в тому, що в більшості випадків систему перевстановлювати не доведеться, а то ж багато користувачів саме цим і починають займатися.

Замість підсумку

Ну ось і все про системну службу Csrss.exe. Що це за процес (системний компонент або вірус), розібралися. Наскільки доцільно відключати його в системних службах, думається, обговорювати не варто, оскільки в цьому випадку "злетить" вест інтерфейс системи. Однак при появі вірусів видаляти їх потрібно моментально. Рішення щодо позбавлення від загроз такого типу, наведені вище, дозволяють вирішити проблему, що називається, на всі сто. Використовуйте завантаження за допомогою дискової утиліти. Дуже може бути, що у вашій системі будуть визначені навіть ті загрози, про які ви взагалі не підозрювали, а їх усунення або нейтралізація займуть мінімум часу і використання комп 'ютерних ресурсів, після чого вся система прийде в норму.