Użytkownicy Windowsa od czasu wydania wersji NT zaczęli zauważać w Menedżerze zadań stale działającej usługi Csrss.exe. Jeśli chodzi o proces Csrss.exe od zwykłych użytkowników, niewiele osób rozumie. W związku z tym więcej zostanie poproszony o rozważenie go w pewnych szczegółach, a jednocześnie określić przyczyny podniesienie jego rąk na obciążenia zasobów komputerowych i rozważyć penetrację w poszukiwaniu wirusów, które mogą udają tego składnika.

Csrss.exe: Jaki jest proces w Menedżerze zadań?

Zacznijmy od tego, że pierwszy aplet wirusowy, jak uważają niektórzy użytkownicy, ta usługa nie jest. Jest to krytyczny aplet systemu, który działa wraz z systemem operacyjnym. Redukcja w nazwie pochodzi od angielskiej Client Server Runtime Subsystem (Podsystem operacji, która odpowiada wykonywalny Csrss.exe) - proces wdrażania „klient-serwer” z dostępu do funkcjonalności systemu i aplikacje są uruchamiane. Programy, system i użytkownik) nie używają już pobierania własnych bibliotek do procesu RAM, takiego jak Rundll32 i bezpośredniego kontaktu z powyższą usługą.

Csrss.exe MUI: Co to za proces?

Czasami można zaobserwować wygląd tego samego procesu (i plików) o tej samej nazwie, z dodatkiem skrótu MUI. Znowu wielu użytkowników natychmiast podejrzewa wirusy. To nie jest, ponieważ oryginalny Service jest jedynym wielojęzyczna podsystem, który odpowiada w przybliżeniu interfejsu systemu Windows do tłumaczenia określonego językadomyślny

W jaki sposób usługa działa w praktyce?

Zobaczmy teraz, jak działa ta usługa. Nie zniechęcaj się tym, że podsystem odnosi się do rodzaju haseł klient-serwer i zapewnia połączenie między klientem a częścią serwera samego systemu. Tak, rzeczywiście, usługa jest aktywnie wykorzystywana podczas organizowania tego samego dostępu do zdalnego pulpitu ", ale jej głównym celem nie jest to.

W przypadku procesu Csrss.exe w systemie Windows 7 lub w innych systemach można łatwo wyobrazić sobie, jeśli przyjrzymy się interfejsowi systemu operacyjnego. Każdy jest przyzwyczajony do posiadania dostępu do niektórych funkcji, uruchamiania programów i znacznie bardziej wyłącznie za pośrednictwem graficznego interfejsu z wykorzystaniem okien i przycisków. Tylko na tę okazję i odpowiada opisanej usłudze. Z grubsza rzecz biorąc, gdyby tak nie było, Windows mógł być uruchamiany tylko w oknach konsoli jako linia poleceń, jak to było w DOS. W ten sposób staje się jasne, że tej usługi nie można usunąć ani wyłączyć z jakiegokolwiek powodu (system Windows na to nie zezwoli). Ale czasami można zauważyć, że pożądany proces z nieznanych przyczyn zaczyna aktywnie korzystać z zasobów systemowych, że cały system zaczyna zwalniać i zawieszać się, nie wspominając o bardziej krytycznym zachowaniu.

Co zrobić, jeśli proces ładuje zasoby systemowe?

Jeśli taka sytuacja jest obserwowana w rzeczywistości, nie zaleca się zakończenia procesu w Menedżerze zadań (w przypadku wirusów do tej pory nie jest). Najlepszym wyjściem jest zamknięcie wszystkich aktywnych programów i zakończenie ponownego uruchomieniakomputer (i nie zmieniać jednego użytkownika na drugiego). Zgodnie z pomysłem, po ponownym uruchomieniu wszystko się spełni. W normalnym czynnej służbie państwowej zużywa maksymalnie około 2000 KB pamięci i obciążenie procesora nie przekracza kilku dziesiątych procenta.

Jak ustalić, czym jest wirus?

Ale dość często można się spotkać, a sytuacje związane z penetracją są maskowane przez systemowy proces wirusów. Bardzo łatwo może się dowiedzieć, czy tak naprawdę się stało. Faktem jest, że w Menedżerze zadań zazwyczaj wyświetlany jest tylko jeden proces. Dwa procesy Csrss.exe są również normalne (szczególnie jeśli chodzi o Windows 7 i nowsze). Większa liczba jest oczywistą oznaką efektów wirusowych. W próbie zakończenia oryginalnego procesu, system będzie dać ostrzeżenie, czy użytkownik chce zatrzymać wybraną usługę, a następnie odmówić podjęcia działań. Podczas wykonywania podobnych akcji z apletami wirusów nie będzie ostrzeżenia. W celu upewnienia się, że jeden lub więcej procesów są zagrożenia wirusowe, użyj menu wybranego serwisu PKM w „Task Manager” z położenia wyświetlanego pliku, który jest odpowiedzialny za procesy. Oryginalny obiekt znajduje się zawsze w folderze System32 głównego folderu systemu Windows i ma rozmiar około 6 KB.

Ponadto, jeśli zwracamy się do właściwości pliku pierwotnego poprzez PKM menu w zakładce „Explorer”, można zobaczyć dostępność danych Microsoft podpisane cyfrowo. Jak już wiadomo, wirusowe obiekty go nie zawierają lub są inne.

Usunięciezagrożenia

W przypadku procesu Csrss.exe (wirusowego lub systemowego) zostały one uporządkowane. Teraz kilka słów o najczęstszych metodach usuwania zagrożeń. Zazwyczaj wirusy tego typu, takie jak samodzielne aplikacje w sekcji programu i komponentu, nigdy nie są wyświetlane, więc po znalezieniu plików zawierających groźby należy natychmiast spróbować je usunąć. Nie ma żadnej nadziei na możliwość usunięcia, ponieważ same wirusy mogą zawierać wbudowaną ochronę przed usunięciem, a jeśli spróbujesz stworzyć takie gorsze działania, mogą tworzyć własne kopie, które będą wtedy jeszcze trudniejsze do pozbycia się. Ale jak usunąć proces Csrss.exe, jeśli naprawdę jest to wirus? Aby rozpocząć, użyj dowolnego przenośnego skanera antywirusowego. Idealne dla Dr. Web CureIt !, skanuj tylko wszystkie dyski i partycje logiczne.
Kompletny system może sprawdzić za pomocą specjalnych programów z ogólnym tytułem Rescue Disk, które są zapisywane na nośniku wymiennym i zlecić ich przeprowadzenie rozruchu komputera, aby uruchomić system Windows (należy ustawić pierwsze urządzenie, aby pobrać ustawienia specyficzne BIOS /UEFI). Następnie należy wybrać język, interfejs graficzny i zanotować nie tylko wszystkie dyski, ale także obszary rozruchowe i ukryte partycje do sprawdzenia. W większości przypadków takimi narzędziami są nawet te burze z piorunami, które mogą zintegrować swoje komponenty z pamięcią RAM z ich całkowitą neutralizacją.

zamiast wyniku

W rzeczywistości chodzi o to, że proces Csrss.exe. Jeśli podasz krótkie podsumowanie, wartoNależy zauważyć, że użytkownik może napotkać zarówno oryginalną usługę, jak i wirusy. Wysysanie oryginalnego procesu jest wysoce niepożądane, ale przy zagrożeniach, które zastępują procesy systemowe, można i trzeba walczyć. Jeśli obciążenie zasobów jest obserwowane z pierwotnego procesu, być może nawet nie jest w nim, ale w samym systemie i jego komponentach, które są połączone tylko z aktywnym procesem w sposób pośredni. W takim przypadku zalecamy ustawienie Optymalizatora i wykonanie pełnego skanowania. Jeśli to nie zadziała, skorzystaj z konsoli poleceń, na przykład, aby skanować i przywracać komponenty systemowe (sfc /scannow) lub sprawdzać dysk twardy (wariacje polecenia chkdsk).