اگر شما اغلب با مدیر وظیفه Windows کار میکنید، نمیتوانید کمک کنید اما توجه داشته باشید که CSRSS.EXE همیشه در فهرست پردازش است. بیایید پیدا کنیم که این عنصر چیست، مهم است که برای سیستم و اینکه آیا برای کامپیوتر خطرناک است.
CSRSS.EXE اطلاعات
CSRSS.EXE توسط فایل سیستم با همین نام اجرا می شود. این در تمام OS های ویندوز وجود دارد، که با نسخه ویندوز 2000 آغاز می شود. شما می توانید با اجرای Task Manager (ترکیب Ctrl + Shift + Escتب) تب "پروسه". ساده تر است که آن را با ساختن داده ها در ستون پیدا کنید "نام تصویر" به ترتیب حروف الفبا.
برای هر جلسه، یک فرآیند CSRSS جداگانه وجود دارد. بنابراین، در رایانه های معمولی، دو پروسه به طور همزمان راه اندازی می شوند و در رایانه های شخصی سرور تعداد آنها می تواند به ده ها نفر برسد. با این وجود، به رغم این واقعیت که متوجه شدیم که دو پروسه وجود دارد و در برخی موارد حتی بیشتر، تنها یک پرونده CSRSS.EXE به همه آنها مربوط می شود.
برای دیدن همه اشیا CSRSS.EXE در سیستم از طریق Task Manager فعال شده، بر روی عنوان کلیک کنید "نمایش همه فرآیندهای کاربر".
پس از آن، اگر شما به طور منظم و نه به عنوان مثال سرور از ویندوز کار می کنید، سپس دو مورد CSRSS.EXE در لیست مدیر Task Manager ظاهر می شود.
توابع
اول از همه، متوجه شوید که چرا این عنصر توسط سیستم مورد نیاز است.
نام "CSRSS.EXE" یک اختصار "Subsystem Runtime Client-Server" است که از زبان انگلیسی به معنای "زیرسیستم زمان اجرا Client-server" ترجمه شده است. به این معنی که این فرایند به عنوان یک نوع ارتباط بین قسمت های سرویس دهنده و سرور سیستم ویندوز عمل می کند.
این فرایند برای نمایش جزء گرافیکی مورد نیاز است، یعنی آنچه که ما بر روی صفحه نمایش می بینیم. این عمدتا در خاموش شدن سیستم و همچنین هنگام حذف یا نصب یک تم درگیر است. بدون CSRSS.EXE، راه اندازی کنسول (CMD، و غیره) غیر ممکن خواهد بود. این فرایند برای استفاده از خدمات ترمینال و اتصال از راه دور به دسکتاپ ضروری است. پروندهی که در حال مطالعه هستیم، انواع مختلف موضوعات OS را در زیر سیستم Win32 نیز در اختیار شما قرار می دهد.
علاوه بر این، اگر CSRSS.EXE کامل باشد (مهم نیست که چگونه: اورژانسی یا توسط کاربر اجباری شود)، سپس سیستم سقوط خواهد کرد، که نتیجه BSOD خواهد شد. بنابراین می توان گفت که عملکرد ویندوز بدون فرآیند فعال CSRSS.EXE غیرممکن است. بنابراین، مجبور است آن را متوقف کند، تنها اگر مطمئن هستید که با شیء ویروس جایگزین شده است.
محل فایل
در حال حاضر ما پیدا کردن جایی که CSRSS.EXE فیزیکی بر روی هارد دیسک قرار دارد. شما می توانید اطلاعات مربوط به آن را با استفاده از همان Task Manager دریافت کنید.
- پس از اینکه حالت کار برای نمایش فرآیندهای تمام کاربران تنظیم شده است، روی هر یک از اجسام تحت نام راست کلیک کنید "CSRSS.EXE". در لیست چارچوب، انتخاب کنید "باز کردن محل ذخیره فایل".
- در اکسپلورر دایرکتوری برای محل فایل مورد نظر باز خواهد شد. شما می توانید آدرس خود را با برجسته کردن نوار آدرس پنجره، پیدا کنید. این مسیر را به محل پوشه شیء نمایش می دهد. آدرس به شرح زیر است:
C: Windows System32
در حال حاضر، با دانستن آدرس، می توانید بدون استفاده از مدیریت Task به دایرکتوری محل شی بروید.
- باز کردن اکسپلورر، در نوار آدرس آن یک آدرس قبلا کپی شده ذکر شده در بالا وارد یا وارد کنید. کلیک کنید وارد شوید یا روی نماد فلش سمت راست نوار آدرس کلیک کنید.
- اکسپلورر مکان CSRSS.EXE را باز می کند.
شناسایی پرونده
در عین حال، موارد متعددی وجود دارد که برنامه های مختلف ویروس (rootkits) به عنوان CSRSS.EXE پوشیده شده اند. در این مورد مهم است که مشخص شود کدام فایل CSRSS.EXE خاص را در مدیر وظیفه نشان می دهد. بنابراین، بیایید بیاموزیم که در چه شرایطی فرآیند مشخص شده باید توجه شما را جلب کند.
- اول از همه، اگر در مديريت وظيفه در حالت نمايش فرآيندهاي تمامي کاربران در يک سيستم منظم، و نه به عنوان يک سيستم سرور، سوالات بايد ظاهر شوند، شما بيش از دو object CSRSS را مي بينيد. یکی از آنها احتمالا یک ویروس است. مقایسه اشیاء، توجه به مصرف RAM. در شرایط عادی، محدودیت 3000 کیلوبایت برای CSRSS تنظیم شده است. توجه داشته باشید در Task Manager به شاخص مربوطه در ستون "حافظه"بیش از حد بالا به این معنی است که چیزی با فایل اشتباه است.
علاوه بر این، لازم به ذکر است که معمولا این روند عملا پردازنده مرکزی (CPU) را بارگیری نمی کند. گاهی اوقات مجاز است مصرف منابع CPU را تا چند درصد افزایش دهد. اما وقتی که بار در دهها درصد محاسبه می شود، بدین معنی است که فایل خود ویروسی است یا در کل سیستم چیزی اشتباه است.
- در Task Manager در ستون "کاربر" ("نام کاربری") باید مقادیری را در مقابل جسم بررسی کرد. "سیستم" ("SYSTEM"). اگر یک کتیبه دیگر نمایش داده شود، از جمله نام نمایه کاربر فعلی، با اعتماد به نفس بالا می توان گفت که ما با یک ویروس برخورد می کنیم.
- علاوه بر این، می توانید از صحت فایل با تأیید تلاش خود برای متوقف کردن عملیات آن، تأیید کنید. برای انجام این کار، نام شیء مشکوک را انتخاب کنید. "CSRSS.EXE" و بر روی عنوان کلیک کنید "فرآیند را کامل کنید" در مدیر وظیفه
پس از این، یک جعبه محاوره باید باز شود، که می گوید توقف متد مشخص شده منجر به خاموش شدن سیستم خواهد شد. به طور طبیعی، شما لازم نیست آن را متوقف کنید، بنابراین روی دکمه کلیک کنید "لغو". اما ظاهر چنین پیامی قبلا یک تایید غیرمستقیم است که فایل معتبر است. اگر پیام وجود ندارد، قطعا این بدان معنی است که فایل جعلی است.
- همچنین برخی از اطلاعات مربوط به صحت فایل را می توان از خواص آن حذف کرد. با کلیک بر روی نام شیء مشکوک در Task Manager با دکمه راست موس کلیک کنید. در لیست چارچوب، انتخاب کنید "خواص".
پنجره Properties باز می شود. به برگه بروید "عمومی". توجه به پارامتر "مکان". مسیر فایل دایرکتوری محل فایل باید با آدرس ما در بالا ذکر شده باشد:
C: Windows System32اگر آدرس دیگری در آنجا وجود دارد، به این معنی است که این فرآیند جعلی است.
در همین تب در نزدیکی پارامتر "اندازه فایل" باید مقدار 6 کیلوبایت باشد اگر اندازه های مختلفی وجود داشته باشد، جسم جعلی است.
به برگه بروید "جزئیات". درباره پارامتر "کپی رایت" باید ارزش باشد "شرکت مایکروسافت" ("شرکت مایکروسافت").
اما، متاسفانه، حتی اگر تمام الزامات فوق برآورده شود، فایل CSRSS.EXE می تواند ویروسی باشد. واقعیت این است که ویروس نه تنها می تواند خود را به عنوان یک شی، بلکه یک فایل واقعی را نیز آلوده کند.
علاوه بر این، مشکل بیش از حد مصرف منابع سیستم CSRSS.EXE می تواند نه تنها توسط یک ویروس، بلکه آسیب به مشخصات کاربر ایجاد شود. در این حالت می توانید سعی کنید "سیستم عامل" را به یک نقطه بازیابی قبلی بازگردانید یا یک نمایه کاربری جدید ایجاد کرده و در حال کار در آن هستید.
حذف تهدید
چه باید بکنید اگر متوجه شدید که CSRSS.EXE نه توسط فایل اصلی OS، بلکه توسط ویروس ایجاد می شود؟ فرض میکنیم که آنتی ویروس کارکنان شما نمیتواند کد مخرب را شناسایی کند (در غیر این صورت شما حتی متوجه مشکل نخواهید شد). بنابراین، ما گام های دیگر را برای از بین بردن این روند می گیریم.
روش 1: اسکن آنتی ویروس
اول از همه، سیستم را با یک اسکنر ضد ویروس قابل اعتماد، برای مثال Dr.Web CureIt اسکن کنید.
شایان ذکر است توصیه می شود که سیستم را برای ویروس ها از طریق حالت ایمن ویندوز اسکن کنید، در حالی که کارهایی که فقط آن فرایندهایی که عملکرد اساسی کامپیوتر را انجام می دهند، کار خواهند کرد، یعنی ویروس "خواب" خواهد بود و این کار بسیار آسان تر خواهد بود.
ادامه مطلب: ورود به "Safe Mode" از طریق BIOS
روش 2: حذف دستی
اگر اسکن نتایج نداشته باشد، اما شما به وضوح خواهید دید که فایل CSRSS.EXE در پوشه ای قرار ندارد که در آن قرار باشد، در این صورت شما باید یک روش حذف دستی را اعمال کنید.
- در وظیفه مدیر، نام مربوط به شی جعلی را انتخاب کنید و روی دکمه کلیک کنید "فرآیند را کامل کنید".
- پس از آن با استفاده از هادی به محل شیء بروید. این می تواند هر دایرکتوری غیر از پوشه باشد. "System32". با کلیک راست بر روی جسم با کلیک راست موس و انتخاب کنید "حذف".
اگر نتوانستید فرآیند را در Task Manager متوقف کنید یا فایل را حذف کنید، سپس کامپیوتر را خاموش کرده و وارد حالت ایمن ( F8 یا ترکیبی Shift + F8 هنگام بوت شدن، بسته به نسخه سیستم عامل). سپس روش برای حذف یک شی را از دایرکتوری محل آن انجام دهید.
روش 3: بازیابی سیستم
و در نهایت، اگر نه روش اول و نه دوم نتایج درستی به دست نیاورده و شما نمیتوانید از فرایند ویروس که به عنوان CSRSS.EXE مخفی شده است خلاص شوید، قابلیت بازیابی سیستم ارائه شده در سیستم عامل ویندوز به شما کمک می کند.
ماهيت اين تابع اين واقعيت است که شما يکي از نقاط بازيابي موجود را انتخاب مي کنيد که به سيستم اجازه مي دهد به طور کامل به دوره زماني منتخب بازگردد: در صورتيکه در لحظه انتخاب شده هيچ ويروس بر روي کامپيوتر وجود نداشته باشد، اين ابزار آن را حذف مي کند.
این تابع همچنین یک طرف معکوس از مدال دارد: اگر پس از ایجاد یک نقطه دیگر، برنامه ها نصب شد، تنظیمات به آنها وارد شد، و غیره - این به همان شیوه تاثیر می گذارد. بازگرداندن سیستم تنها فایل های کاربر را شامل نمی شود، که شامل اسناد، عکس ها، فیلم ها و موسیقی است.
ادامه مطلب: چگونه برای بازیابی ویندوز
همانطور که می بینید، در بیشتر موارد، CSRSS.EXE یکی از مهم ترین کارکرد فرایند سیستم عامل است. اما گاهی اوقات می تواند توسط یک ویروس ایجاد شود. در این مورد لازم است که روش حذف آن مطابق با توصیه های ارائه شده در این مقاله انجام شود.
