فرآیند CSRSS.EXE

اگر غالباً با Windows Task Manager کار می کنید ، نمی توانید کمکی به این امر داشته باشید که هدف CSRSS.EXE همیشه در لیست فرایندها موجود است. بیایید دریابیم که این عنصر چیست ، چقدر برای سیستم مهم است و آیا برای کامپیوتر پر از خطر است.

جزئیات CSRSS.EXE

CSRSS.EXE توسط پرونده سیستم با همین نام اجرا می شود. این در همه سیستم عامل های ویندوز با نسخه Windows Windows 2000 موجود است. شما می توانید با اجرای Task Manager (ترکیب Ctrl + Shift + Esc) در برگه "مراحل". ساده ترین راه برای پیدا کردن آن ، ساختن داده ها در یک ستون است. "نام تصویر" به ترتیب حروف الفبا.

یک فرایند CSRSS جداگانه برای هر جلسه وجود دارد. بنابراین ، در رایانه های شخصی معمولی ، دو فرآیند مشابه به طور همزمان راه اندازی می شوند و در رایانه های شخصی سرور تعداد آنها می تواند به ده ها نفر برسد. با این وجود ، با وجود این واقعیت که مشخص شد که می تواند دو یا در بعضی موارد حتی بیشتر پردازش وجود داشته باشد ، همه آنها فقط با یک پرونده CSRSS.EXE مطابقت دارند.

به منظور مشاهده همه اشیاء CSRSS.EXE فعال شده در سیستم از طریق Task Manager ، روی کتیبه کلیک کنید "نمایش فرآیندهای همه کاربران".

پس از آن ، اگر به طور مرتب کار می کنید و نه به عنوان سرور از ویندوز ، دو عنصر CSRSS.EXE در لیست وظایف مدیر ظاهر می شوند.

توابع

اول از همه ، خواهیم فهمید که چرا این عنصر مورد نیاز سیستم است.

نام "CSRSS.EXE" مخفف مخفف "Client-Server Runtime Subsystem" است که از انگلیسی به عنوان "زیر سیستم سیستم کاربری-سرور Rientime" ترجمه شده است. یعنی این فرآیند به نوعی پیوند ارتباطی بین مناطق مشتری و سرور سیستم ویندوز عمل می کند.

این فرآیند برای نمایش مؤلفه گرافیکی ، یعنی آنچه در صفحه مشاهده می کنیم لازم است. این ، اول از همه ، هنگام خاموش شدن سیستم و همچنین در هنگام نصب یا نصب یک موضوع درگیر می شود. بدون CSRSS.EXE ، راه اندازی کنسول ها (CMD و غیره) غیرممکن خواهد بود. این فرآیند برای بهره برداری از خدمات ترمینال و برای اتصال از راه دور به دسک تاپ ضروری است. پرونده مورد بررسی ما همچنین موضوعات مختلف سیستم عامل را در زیر سیستم Win32 پردازش می کند.

علاوه بر این ، اگر CSRSS.EXE به پایان برسد (مهم نیست که: کاربر را خراب یا مجبور کرد) ، در این صورت سیستم خراب می شود که منجر به ظاهر BSOD می شود. بنابراین ، می توان گفت که عملکرد ویندوز بدون فرآیند فعال CSRSS.EXE غیرممکن است. بنابراین ، متوقف کردن آن باید فقط درصورتی که مطمئن هستید که آن را با یک ویروس جایگزین کرده اید ، مجبور شوید

محل پرونده

حال بیایید دریابیم که CSRSS.EXE از نظر جسمی بر روی هارد قرار دارد. می توانید با استفاده از همان مدیر وظیفه ، اطلاعات مربوط به این مورد را بدست آورید.

1. بعد از تنظیم حالت نمایش کار فرآیندهای همه کاربران در Task Manager ، روی هر یک از اشیاء تحت نام کلیک راست کنید "CSRSS.EXE". در فهرست زمینه ، را انتخاب کنید "باز کردن محل ذخیره فایل".



2. در اکسپلورر دایرکتوری مکان فایل مورد نظر باز خواهد شد. با برجسته کردن نوار آدرس پنجره می توانید آدرس وی را دریابید. این مسیر را به پوشه موقعیت مکانی شی نمایش می دهد. آدرس به شرح زیر است:

   C: Windows System32

حال با دانستن آدرس می توانید بدون استفاده از Task Manager به فهرست مکان آن شی بروید.

1. باز کن اکسپلورر، در نوار آدرس خود آدرس قبلی را که قبلاً کپی شده است ، وارد یا جایگذاری کنید. کلیک کنید وارد شوید یا روی نماد پیکان در سمت راست نوار آدرس کلیک کنید.



2. اکسپلورر پوشه مکان CSRSS.EXE را باز می کنید.

شناسایی پرونده

در همان زمان ، موقعیت هایی که برنامه های مختلف ویروس (ریشه کیت) به عنوان CSRSS.EXE پنهان شده اند غیر معمول نیست. در این حالت ، مهم است که مشخص کنید کدام فایل CSRSS.EXE خاص را در Task Manager نمایش می دهد. بنابراین ، بیایید دریابیم که در چه شرایطی روند مشخص شده باید توجه شما را به خود جلب کند.

1. اول از همه ، سوالات باید ظاهر شوند که اگر در Task Manager در حالت نمایش فرآیندهای همه کاربران در یک سیستم منظم و نه یک سیستم سرور ، بیش از دو شی CSRSS مشاهده کنید. یکی از آنها به احتمال زیاد ویروس است. هنگام مقایسه اشیاء ، به مصرف حافظه توجه کنید. در شرایط عادی ، حد 3000 Kb برای CSRSS تعیین شده است. در ستون ، نشانگر مربوطه را در قسمت Task Manager توجه داشته باشید "حافظه"" فراتر رفتن از حد فوق به معنای مشکلی در پرونده نیست.

   

   علاوه بر این ، باید توجه داشت که معمولاً این فرآیند به هیچ وجه پردازنده مرکزی (CPU) را بار نمی کند. بعضی اوقات مجاز است مصرف منابع CPU را تا چند درصد افزایش دهید. اما ، وقتی بار در ده ها درصد باشد ، به این معنی است که یا خود پرونده ویروسی است ، یا اینکه یک سیستم به طور کلی اشتباه است.



2. در قسمت Task Manager در ستون "کاربر" ("نام کاربری") مخالف موضوع مورد مطالعه لزوماً باید ارزش باشد "سیستم" ("سیستم"). اگر کتیبه دیگری در آنجا نمایش داده می شود ، از جمله نام پروفایل کاربر فعلی ، پس با درجه بالایی از اطمینان می توان گفت که ما با یک ویروس سر و کار داریم.



3. علاوه بر این ، می توانید صحت یک پرونده را با تلاش برای متوقف کردن عملکرد آن تأیید کنید. برای انجام این کار ، نام شی مشکوک را انتخاب کنید "CSRSS.EXE" و روی کتیبه کلیک کنید "مراحل را کامل کنید" در مدیر وظیفه

   

   پس از آن باید یک کادر گفتگو باز شود که می گوید توقف روند مشخص شده منجر به اتمام سیستم خواهد شد. طبیعتاً نیازی به متوقف کردن آن نیست ، بنابراین بر روی دکمه کلیک کنید لغو. اما ظاهر چنین پیامی در حال حاضر یک تأیید غیرمستقیم مبنی بر اصل بودن پرونده است. اگر پیام از دست رفته باشد ، قطعاً این بدان معنی است که پرونده جعلی است.



4. همچنین برخی از اطلاعات در مورد صحت پرونده را می توان از خصوصیات آن بدست آورد. روی دکمه سمت راست ماوس روی Task Manager روی نام شی مشکوک کلیک کنید. در فهرست زمینه ، را انتخاب کنید "خواص".

   

   پنجره خواص باز می شود. برو به برگه "عمومی". به پارامتر توجه کنید "مکان". مسیر دایرکتوری موقعیت مکانی فایل باید با آدرسی که در بالا ذکر کردیم مطابقت داشته باشد:

   C: Windows System32

   اگر آدرس دیگری در آنجا نشان داده شده باشد ، این بدان معنی است که فرایند جعلی است.

   در همان برگه نزدیک پارامتر اندازه پرونده باید 6 KB باشد. اگر اندازه دیگری در آنجا مشخص شده باشد ، شیء جعلی است.

   

   برو به برگه "جزئیات". پارامتر نزدیک حق چاپ باید ارزش داشته باشد شرکت مایکروسافت ("شرکت مایکروسافت").

اما متأسفانه ، حتی اگر تمام موارد فوق الذکر برآورده شود ، پرونده CSRSS.EXE می تواند ویروسی باشد. واقعیت این است که یک ویروس نه تنها می تواند خود را به عنوان یک شیء پنهان کند ، بلکه یک پرونده واقعی را نیز آلوده می کند.

علاوه بر این ، مشکل مصرف بیش از حد منابع سیستم CSRSS.EXE می تواند نه تنها توسط یک ویروس بلکه در اثر آسیب دیدن پروفایل کاربر ایجاد شود. در این حالت ، می توانید سعی کنید سیستم عامل را به حالت قبل برگردانید یا "نمایه کاربر جدید" ایجاد کرده و در آن کار کنید.

رفع تهدید

اگر فهمید که CSRSS.EXE نه توسط فایل سیستم عامل اصلی بلکه ویروس ایجاد می شود چه باید کرد؟ فرض خواهیم کرد که آنتی ویروس معمولی شما نمی تواند کد مخرب را شناسایی کند (در غیر این صورت حتی متوجه مشکل نمی شوید). بنابراین ، ما اقدامات دیگری را برای از بین بردن روند انجام خواهیم داد.

روش 1: اسکن آنتی ویروس

اول از همه ، سیستم را با یک اسکنر معتبر ضد ویروس ، مثلاً Dr.Web CureIt ، اسکن کنید.

شایان ذکر است که توصیه می شود از طریق حالت ایمن ویندوز ، سیستم ویروس ها را اسکن کنید ، در طی آن فقط آن دسته از فرآیندهای که عملکرد اصلی رایانه را تضمین می کنند ، کار می کنند ، یعنی ویروس "خواهد خوابید" و پیدا کردن آن از این طریق بسیار ساده تر خواهد بود.

بیشتر بخوانید: از طریق BIOS حالت ایمن را وارد کنید

روش 2: حذف دستی

اگر اسکن انجام نشد ، اما شما به وضوح می بینید که پرونده CSRSS.EXE در دایرکتوری که باید در آن نباشد ، پس باید از روش حذف دستی استفاده کنید.

1. در Task Manager ، نام مربوط به شی جعلی را برجسته کرده و بر روی دکمه کلیک کنید "مراحل را کامل کنید".



2. بعد از استفاده هادی به فهرست مکان شی بروید. این می تواند هر دایرکتوری به جز یک پوشه باشد "System32". روی یک شی کلیک راست کرده و را انتخاب کنید حذف کنید.

اگر نمی توانید روند کار را در Task Manager متوقف کنید یا یک پرونده را حذف کنید ، رایانه را خاموش کنید و وارد Safe Mode شوید (کلید F8 یا ترکیب Shift + F8 بسته به نسخه سیستم عامل در بوت). سپس روش حذف شی را از فهرست مکان آن انجام دهید.

روش 3: بازیابی سیستم

و سرانجام ، اگر نه روشهای اول و نه دوم نتیجه مناسبی به همراه نیاوردند ، و شما نمی توانید از روند ویروس مبدل شده به عنوان CSRSS.EXE خلاص شوید ، عملکرد بازیابی سیستم ارائه شده در ویندوز می تواند به شما کمک کند.

ماهیت این عملکرد این است که شما یکی از نقاط برگشت برگشت موجود را انتخاب می کنید ، که به شما امکان می دهد سیستم را به طور کامل به دوره زمانی انتخاب شده برگردانید: اگر در زمان انتخاب شده ویروس ای در رایانه وجود نداشته باشد ، این ابزار آن را از بین می برد.

این عملکرد همچنین دارای یک سمت تلنگر به سمت سکه است: اگر برنامه ها پس از ایجاد یک نقطه یا نقطه دیگر نصب شوند ، تنظیمات در آنها وارد می شوند و غیره - این به همان روش تأثیر می گذارد. بازگرداندن سیستم فقط روی پرونده های کاربر تأثیر نمی گذارد ، که شامل اسناد ، عکس ها ، فیلم ها و موسیقی است.

بیشتر بخوانید: نحوه بازیابی سیستم عامل ویندوز

همانطور که مشاهده می کنید ، در بیشتر موارد CSRSS.EXE یکی از مهمترین فرایندها برای عملکرد سیستم عامل است. اما گاهی اوقات می تواند توسط ویروس آغاز شود. در این حالت ، لازم است روش برداشتن مطابق توصیه های ارائه شده در این مقاله انجام شود.