Si sovint treballeu amb l’Administrador de tasques de Windows, no podeu deixar de tenir en compte que l’objecte CSRSS.EXE es troba sempre a la llista de processos. Descobrirem què és aquest element, quina importància té per al sistema i si és perillós per a l’ordinador.
Informació CSRSS.EXE
CSRSS.EXE s'executa pel fitxer del sistema amb el mateix nom. Està present en tot el sistema operatiu de Windows, començant per la versió de Windows 2000. Podeu veure-ho executant Task Manager (combinació) Ctrl + Maj + Esc) pestanya "Processos". És més fàcil trobar-lo construint les dades a la columna "Nom de la imatge" per ordre alfabètic.
Per a cada sessió, hi ha un procés CSRSS separat. Per tant, en ordinadors ordinaris, s’envien simultàniament dos d'aquests processos i, en les PC de servidor, el seu nombre pot arribar a arribar a desenes. No obstant això, tot i que es va descobrir que hi pot haver dos processos i, en alguns casos, encara més, només hi correspon un fitxer CSRSS.EXE.
Per veure tots els objectes CSRSS.EXE activats al sistema mitjançant l’administrador de tasques, feu clic a la llegenda "Mostra tots els processos d'usuari".
Després d'això, si esteu treballant en una instància normal i no en una instància de servidor de Windows, apareixeran dos elements CSRSS.EXE a la llista Administrador de tasques.
Funcions
En primer lloc, esbrineu per què aquest sistema requereix aquest element.
El nom "CSRSS.EXE" és una abreviatura de "Client-Server Runtime Subsystem", que es tradueix de l'anglès significa "Client-servidor runtime subsistema". És a dir, el procés serveix com una mena d’enllaç entre les àrees de client i de servidor del sistema Windows.
Aquest procés és necessari per mostrar el component gràfic, és a dir, el que veiem a la pantalla. Està implicat principalment en l’aturada del sistema, així com en l'eliminació o la instal·lació d’un tema. Sense CSRSS.EXE, també serà impossible llançar consoles (CMD, etc.). El procés és necessari per al funcionament dels serveis de terminal i per a la connexió remota a l’escriptori. El fitxer que estem estudiant també gestiona una varietat de subprocesos del sistema operatiu al subsistema Win32.
A més, si el CSRSS.EXE s'ha completat (per molt que sigui d’emergència o forçat per l’usuari), el sistema es bloquejarà, cosa que donarà lloc a un BSOD. Per tant, podem dir que el funcionament de Windows sense el procés actiu de CSRSS.EXE és impossible. Per tant, s'hauria de veure obligat a detenir-lo només si esteu segur que ha estat substituït per un objecte de virus.
Ubicació del fitxer
Ara descobrirem on es troba CSRSS.EXE físicament al disc dur. Podeu obtenir informació sobre el mateix utilitzant el mateix Administrador de tasques.
- Després de definir el mode de tasca per mostrar els processos de tots els usuaris, feu clic amb el botó dret a qualsevol dels objectes sota el nom "CSRSS.EXE". A la llista de context, seleccioneu "Obre la ubicació d’emmagatzematge de fitxers".
- In Explorador S'obrirà el directori de la ubicació del fitxer desitjat. Podeu trobar la seva adreça destacant la barra d’adreça de la finestra. Mostra el camí d'accés a la ubicació de la carpeta de l'objecte. L’adreça és la següent:
C: Sistema de Windows32
Ara, coneixent l’adreça, podeu anar al directori de localització de l’objecte sense utilitzar l’Administrador de tasques.
- Obriu-ho Explorador, introduïu o enganxeu a la barra d’adreça una adreça prèviament copiada que s’hagi indicat anteriorment. Feu clic a Introduïu o feu clic a la icona de fletxa situada a la dreta de la barra d'adreces.
- Explorador obrirà la ubicació de CSRSS.EXE.
Identificació de fitxers
Al mateix temps, hi ha situacions freqüents quan diverses aplicacions de virus (rootkits) es disfressen com CSRSS.EXE. En aquest cas, és important identificar quin fitxer mostra específicament el CSRSS.EXE específic a l'administrador de tasques. Així doncs, anem a esbrinar sota quines condicions el procés indicat ha d'atreure la seva atenció.
- Primer de tot, s’hauran de presentar preguntes si al Gestor de tasques en la manera de mostrar els processos de tots els usuaris en un sistema habitual, en lloc d’un servidor, podeu veure més de dos objectes CSRSS. És probable que un d’ells sigui un virus. Si comparem objectes, preste atenció al consum de memòria RAM. En condicions normals, es fixa un límit de 3000 Kb per a CSRSS. Preste atenció a l’administrador de tasques a l’indicador corresponent de la columna "Memòria"L’excés del límit anterior significa que alguna cosa no funciona amb el fitxer.
A més, cal assenyalar que normalment aquest procés pràcticament no carrega la unitat de processament central (CPU). De vegades, es permet augmentar el consum de recursos de CPU fins a un percentatge mínim. Però, quan es calcula la càrrega en desenes de per cent, significa que el propi fitxer és viral, o bé hi ha alguna cosa malament amb el sistema en conjunt.
- A l’Administrador de tasques de la columna "Usuari" ("Nom d'usuari") ha d’haver un valor contrari a l’objecte que s’està estudiant. "Sistema" ("SISTEMA"). Si apareix una altra inscripció allà, inclòs el nom del perfil d’usuari actual, llavors amb un gran grau de confiança podem dir que estem davant d’un virus.
- A més, podeu verificar l’autenticitat del fitxer intentant aturar la seva operació de manera forçada. Per fer-ho, seleccioneu el nom de l’objecte sospitós. "CSRSS.EXE" i feu clic a la llegenda "Completa el procés" al Gestor de tasques.
Després d'això, s'hauria d'obrir un quadre de diàleg, que diu que aturar el procés especificat conduirà a l'apagada del sistema. Naturalment, no cal aturar-lo, de manera que feu clic al botó "Cancel·la". Però l’aparició d’aquest missatge ja és una confirmació indirecta que el fitxer és autèntic. Si el missatge és absent, significa definitivament el fet que el fitxer sigui fals.
- A més, algunes dades sobre l’autenticitat del fitxer es poden obtenir de les seves propietats. Feu clic amb el botó dret del ratolí al nom de l’objecte sospitós a l’Administrador de tasques. A la llista de context, seleccioneu "Propietats".
S'obrirà la finestra de propietats. Vés a la pestanya "General". Tingueu en compte el paràmetre "Ubicació". El camí al directori de localització de fitxers hauria de correspondre a l’adreça que ja hem esmentat anteriorment:
C: Sistema de Windows32Si hi apareix una altra adreça, significa que el procés és fals.
A la mateixa pestanya propera al paràmetre "Mida del fitxer" Hauria de tenir un valor de 6 KB. Si hi ha una mida diferent, l’objecte és fals.
Vés a la pestanya "Detalls". Quant al paràmetre "Copyright" hauria de ser el valor "Microsoft Corporation" ("Microsoft Corporation").
Però, per desgràcia, fins i tot si es compleixen tots els requisits anteriors, el fitxer CSRSS.EXE pot ser viral. El fet és que un virus no només es pot disfressar com a objecte, sinó que també pot infectar un fitxer real.
A més, el problema del consum excessiu de recursos del sistema CSRSS.EXE pot ser causat no només per un virus, sinó també pel dany al perfil d’usuari. En aquest cas, podeu intentar "recuperar" el sistema operatiu a un punt de recuperació anterior, o crear un perfil d’usuari nou i treballar-hi ja.
Eliminació d'amenaces
Què fer si es va assabentar que CSRSS.EXE no és causat pel fitxer original del sistema operatiu, sinó per un virus? Assumirem que el vostre antivirus de personal no pot identificar el codi maliciós (en cas contrari, ni tan sols notareu el problema). Per tant, prendrem altres passos per eliminar el procés.
Mètode 1: Antivirus Scan
En primer lloc, escanejar el sistema amb un escàner antivirus fiable, per exemple Dr.Web CureIt.
Val la pena assenyalar que es recomana escanejar el sistema de virus a través del mode segur de Windows, quan es treballa en què només funcionaran els processos que proporcionen el funcionament bàsic de l'ordinador, és a dir, el virus "dormirà" i serà molt més fàcil trobar-lo així.
Llegiu-ne més: Introduïu el "mode segur" a través del BIOS
Mètode 2: eliminació manual
Si l’exploració no produeix resultats, però veieu clarament que el fitxer CSRSS.EXE no es troba al directori en el qual se suposa que és, llavors en aquest cas haureu d’aplicar un procediment d’eliminació manual.
- Al Gestor de tasques, seleccioneu el nom corresponent a l’objecte fals i feu clic al botó "Completa el procés".
- Després d’aquest ús Director d'orquestra aneu a la ubicació de l'objecte. Això pot ser qualsevol directori que no sigui la carpeta. "System32". Feu clic a l'objecte amb el botó dret del ratolí i seleccioneu "Suprimeix".
Si no podeu aturar el procés a l’Administrador de tasques o suprimir-lo, apagueu l’ordinador i inicieu la sessió en mode segur ( F8 o combinació Maj + F8 en arrencar, en funció de la versió del sistema operatiu). A continuació, realitzeu el procediment per eliminar un objecte del directori d’ubicació.
Mètode 3: Restaurar sistema
I, finalment, si ni el primer ni el segon mètode donaven un resultat adequat, i no podíeu desfer el procés de virus disfressat de CSRSS.EXE, la funció de recuperació del sistema proporcionada al sistema operatiu Windows us pot ajudar.
L'essència d'aquesta funció rau en el fet que trieu un dels punts de recuperació existents que permetran que el sistema torni completament al període de temps seleccionat: si per al moment seleccionat no hi havia virus a l'ordinador, aquesta eina permetrà eliminar-la.
Aquesta funció també té una cara inversa de la medalla: si després de crear un o un altre punt, els programes s’instal·laven, les configuracions s’introduïen, i així successivament: això l’afectarà de la mateixa manera. La restauració del sistema no afecta només els fitxers d’usuari, que inclouen documents, fotos, vídeos i música.
Llegiu més: Com recuperar Windows
Com podeu veure, en la majoria dels casos, CSRSS.EXE és un dels més importants per al funcionament del procés del sistema operatiu. Però de vegades es pot provocar un virus. En aquest cas, és necessari dur a terme el procediment per a la seva remoció d'acord amb les recomanacions que es proporcionen en aquest article.
