Se vi ofte laboras kun la Windows Task Manager, vi ne povus helpi rimarki, ke la CSRSS.EXE-objekto ĉiam estas en la procezo. Ni eksciu, kia estas ĉi tiu elemento, kiom grava ĝi estas por la sistemo, kaj ĉu ĝi estas danĝera por la komputilo.
Informo CSRSS.EXE
CSRSS.EXE estas plenumata de la sistemo kun la sama nomo. I ĉeestas en la tuta operaciumo de Vindozo, ekde la versio de Vindozo 2000. Vi povas vidi ĝin uzante Task Manager (kombinaĵo) Stir + Maj + Esc) langeto "Procezoj". Estas plej facile trovi ĝin konstruante la datumojn en la kolumno "Bildo-nomo" laŭ alfabeta ordo.
Por ĉiu sesio, ekzistas aparta CSRSS-procezo. Sekve, en ordinaraj komputiloj, du tiaj procezoj estas lanĉitaj samtempe, kaj sur serviloj komputiloj, ilia nombro povas atingi dekojn. Tamen, malgraŭ la fakto, ke oni trovis, ke povas esti du procezoj, kaj eĉ pli multaj, nur unu dosiero CSRSS.EXE respondas al ĉiuj el ili.
Por vidi ĉiujn CSRSS.EXE-objektojn aktivigitajn en la sistemo tra la Task Manager, alklaku la apudskribon "Montri ĉiujn uzantojn".
Post tio, se vi laboras en regula kaj ne servila petskribo de Vindozo, tiam du eroj CSRSS.EXE aperos en la Task Manager-listo.
Funkcioj
Unue, malkovru kial ĉi tiu sistemo bezonas ĉi tiun elementon.
La nomo "CSRSS.EXE" estas mallongigo de "Kliento-Servilo Runtime Subsystem", kiu tradukita de la angla signifas "Klient-servila ekzekuta subsistemo". Tio estas, la procezo funkcias kiel speco de ligo inter la klientaj kaj servilaj areoj de la Vindozma sistemo.
Ĉi tiu procezo necesas por montri la grafikan komponanton, te, kion ni vidas sur la ekrano. I estas ĉefe implikita en la haltigo de la sistemo, same kiel dum forigo aŭ instalado de temo. Sen CSRSS.EXE, estos ankaŭ neeble lanĉi konzolojn (CMD, ktp.). La procezo estas necesa por la funkciado de terminalaj servoj kaj por fora rilato al la labortablo. La dosiero, kiun ni studas, ankaŭ pritraktas diversajn OS-fadenojn en la Win32-subsistemo.
Plie, se la CSRSS.EXE estas kompleta (negrave kiom: krizon aŭ devigita de la uzanto), tiam la sistemo frakasiĝos, kio rezultos en BSOD. Tiel, ni povas diri, ke la funkciado de Vindozo sen la aktiva procezo de CSRSS.EXE estas neebla. Sekve, ĝi devus esti devigita halti ĝin nur se vi estas certa, ke ĝi estis anstataŭigita de virusa objekto.
Dosiera loko
Nun ni trovos kie CSRSS.EXE estas fizike lokita sur la malmola disko. Vi povas akiri informojn pri ĝi uzante la saman taskaranganon.
- Post kiam la taskreĝimo estas difinita por montri la procezojn de ĉiuj uzantoj, alrigardu ian ajn da la objektoj sub la nomo "CSRSS.EXE". En la kunteksto listo, elektu "Malfermu stokadon de dosieroj".
- En Esploristo La dosierujo por la loko de la dezirata dosiero estos malfermita. Vi povas malkovri ŝian adreson reliefigante la adresaron de la fenestro. I montras la vojon al la dosierujo de la objekto. La adreso estas jene:
C: Windows System32
Nun, konante la adreson, vi povas iri al la dosierujo de objektoj sen uzi la Task Manager.
- Malfermu Esploristo, eniru aŭ enmetu en ĝian adres-baron antaŭe kopiitan adreson indikitan supre. Alklaku Eniru aŭ alklaku la sag-ikonon dekstre de la adresobreto.
- Esploristo malfermos la lokon de CSRSS.EXE.
Dosiera identigo
Samtempe estas oftaj situacioj, kiam diversaj virusaj aplikaĵoj (rootkits) estas kaŝvestitaj kiel CSRSS.EXE. En ĉi tiu kazo, estas grave identigi kiun dosieron specife montras la specifan CSRSS.EXE en la Task Manager. Do ni eksciu, sub kiaj kondiĉoj la indikita procezo allogos vian atenton.
- Unue, demandoj devus aperi, se en la Task Manager en la reĝimo montri la procezojn de ĉiuj uzantoj en regula, anstataŭ servila sistemo, vi vidas pli ol du CSRSS-objektojn. Unu el ili plej verŝajne estas viruso. Komparante objektojn, atentu pri la konsumado de RAM. En normalaj kondiĉoj, limo de 3000 Kb estas difinita por CSRSS. Atentu en la Task Manager por la responda indikilo en la kolumno "Memoro"Superi la supran limon signifas, ke io malĝustas kun la dosiero.
Aldone, oni notu, ke kutime ĉi tiu procezo preskaŭ tute ne ŝarĝas la centran prilaboradon (CPU). Kelkfoje oni permesas pliigi la konsumadon de CPU-resursoj ĝis malmultaj procentoj. Sed, kiam la ŝarĝo estas kalkulita je dekoj da procentoj, tio signifas, ke aŭ la dosiero mem estas virala, aŭ estas io malĝusta kun la tuta sistemo.
- En la Task Manager en la kolumno "Uzanto" ("Uzantnomo") devas esti valoro kontraŭ la objekto studata. "Sistemo" ("SISTEMO"). Se alia surskribo aperas tie, inkluzive la nomon de la aktuala profilo de uzanto, tiam kun granda grado de konfido ni povas diri ke ni traktas viruso.
- Krome, vi povas kontroli la aŭtentikecon de la dosiero provante ĉesigi ĝian funkciadon. Por fari tion, elektu la nomon de la suspektinda objekto. "CSRSS.EXE" kaj alklaku la apudskribon "Kompletigi la procezon" en la Task Manager.
Post tio dialogo devas malfermiĝi, kiu diras, ke ĉesi la specifan procezon kondukos al la haltigo de la sistemo. Nature, vi ne bezonas haltigi ĝin, do alklaku la butonon "Nuligi". Sed la apero de tia mesaĝo estas jam nerekta konfirmo, ke la dosiero estas aŭtentika. Se la mesaĝo forestas, ĝi certe signifas, ke la dosiero estas falsa.
- Ankaŭ iuj datumoj pri la aŭtentikeco de la dosiero povas esti rikoltitaj de ĝiaj ecoj. Alklaku la nomon de la suspektinda objekto en la Task Manager per la dekstra musbutono. En la kunteksto listo, elektu "Propraĵoj".
La posedaĵa fenestro malfermiĝas. Movu al la langeto "Enerala". Atentu pri la parametro "Loko". La vojo al la dosierloka dosierujo devas korespondi al la adreso, kiun ni jam menciis pli supre:
C: Windows System32Se iu alia adreso estas listigita tie, ĝi signifas ke la procezo estas falsa.
En la sama langeto proksime al la parametro "Dosiera Grandeco" Devus esti valoro de 6 KB. Se estas alia grandeco, tiam la objekto estas falsa.
Movu al la langeto "Detaloj". Pri parametro "Kopirajto" devus esti la valoro "Microsoft-Korporacio" ("Microsoft-Korporacio").
Bedaŭrinde, eĉ se ĉiuj antaŭaj postuloj estas plenumitaj, la CSRSS.EXE-dosiero povas esti virala. Fakte viruso povas ne nur kaŝi sin kiel objekton, sed ankaŭ infekti realan dosieron.
Krome, la problemo de troa konsumo de sistemaj rimedoj CSRSS.EXE povas esti kaŭzita ne nur de viruso, sed ankaŭ de difekto de la uzanta profilo. En ĉi tiu kazo, vi povas provi "retroturni" la OS al pli frua reakirpunkto, aŭ krei novan uzantan profilon kaj labori jam en ĝi.
Minaca forigo
Kion fari se vi eksciis, ke CSRSS.EXE estas kaŭzita ne de la originala OS-dosiero, sed de viruso? Ni supozos, ke via dungitara antivirus ne povus identigi la malican kodon (alikaze vi eĉ ne rimarkus la problemon). Tial ni faros aliajn paŝojn por forigi la procezon.
Metodo 1: Antivirus-Skanado
Unue, skani la sistemon per fidinda antivirus-skanilo, ekzemple Dr.Web CureIt.
Indas noti, ke estas rekomendite skani la sistemon kontraŭ virusoj per sekura modo de Vindozo, kiam laboras en kiu nur tiuj procezoj, kiuj disponigas la bazan funkciadon de la komputilo, funkcios, te la viruso "dormos" kaj estos multe pli facile trovi ĝin tiamaniere.
Legu pli: Enirante "Sekuran Modon" per BIOS
Metodo 2: Manlibro forigo
Se la esplorado ne produktis rezultojn, sed vi klare vidas, ke la dosiero CSRSS.EXE ne estas en la dosierujo en kiu ĝi supozeble devas esti, tiam en ĉi tiu kazo vi devos apliki manliberan forigan procedon.
- En la Task Manager, elektu la nomon de la falsa objekto kaj alklaku la butonon "Kompletigi la procezon".
- Post tio uzado Ŝoforo iru al la loko de la objekto. Ĉi tio povas esti iu ajn alia dosierujo ol la dosierujo. "Sistemo32". Alklaku la objekton per la dekstra musbutono kaj elektu "Forigi".
Se vi ne povas halti la procezon en la Task Manager aŭ forigi la dosieron, tiam malŝaltu la komputilon kaj ensalutu al Sekura Modo ( F8 aŭ kombinaĵo Ŝvkl + F8 kiam vi ekfunkcios, depende de la OS-versio). Poste plenumu la procedon por forigi objekton de ĝia loka dosierujo.
Metodo 3: Sistemo Restarigu
Kaj, fine, se nek la unua nek la dua metodoj donis taŭgan rezulton, kaj vi ne povus forigi la virusproceson maskitan kiel CSRSS.EXE, la sistemo-reakiro prezentita en Vindozo povas helpi vin.
La esenco de ĉi tiu funkcio estas la fakto, ke vi elektas unu el la ekzistantaj restarigaj punktoj, kiuj permesos al la sistemo reveni tute al la elektita tempoperiodo: se en la elektita momento ne estis viruso en la komputilo, tiam ĉi tiu ilo permesos forigi ĝin.
Ĉi tiu funkcio ankaŭ havas inversan flankon de la medalo: se post kreo de unu aŭ alia punkto, programoj estis instalitaj, agordoj estis enigitaj en ilin, kaj tiel plu - ĉi tio efikos ĝin laŭ la sama maniero. Sistemo Restarigo ne tuŝas nur uzanto-dosierojn, kiuj inkluzivas dokumentojn, fotojn, filmetojn kaj muzikon.
Legu pli: Kiel reakiri Vindozon
Kiel vi povas vidi, plejofte CSRSS.EXE estas unu el la plej gravaj por la funkciado de la procezo de operaciumo. Sed kelkfoje ĝi povas esti ekigita de viruso. En ĉi tiu kazo, necesas efektivigi la procedon por forigi ĝin konforme al la rekomendoj donitaj en ĉi tiu artikolo.
