Удалить Csrss.exe trojan (Руководство по удалению) – Фев 2021 обновление

Я расскажу, что за процесс csrss.exe, опишу специфику его функционала, а также поясню как поступить в ситуации, когда csrss.exe грузит процессор.

Что такое Процесс исполнения клиент-сервер csrss.exe

Прежде всего, процесс csrss.exe является частью Windows и обычно в диспетчере задач запущен один, два, а иногда и более таких процессов.

Данный процесс в Windows 7, 8 и Windows 10 отвечает за консольные (выполняемые в режиме командной строки) программы, процесс выключения, запуск другого важного процесса — conhost.exe и другие критические функции системы.

Процесс csrss.exe в Windows

Удалить или отключить csrss.exe нельзя, результатом будут ошибки ОС: процесс запускается автоматически при запуске системы и, в случае, если каким-то образом вам удалось отключить этот процесс, вы получите синий экран смерти с кодом ошибки 0xC000021A.

Обзор[править | править код]

Процесс участвует в работе:

  • терминальных служб;
  • служб удалённого доступа к рабочему столу;
  • приложений с интерфейсом командной строки;
  • потоков в операционной системе (создание потоков в подсистеме Win32).

Что такое csrss.exe или процесс исполнения клиент-сервер

Процесс выполнения Client Server имеет долгую историю. До 1996 года процесс управлял всей графической подсистемой, в то время как в настоящее время он ограничен несколькими критическими процессами, такими как выключение Windows и запуск консоли Windows. CSRSS обозначает клиент-серверную подсистему времени выполнения, и она должна работать постоянно. Ранее, во время выполнения клиентского сервера использовалась командная строка, однако с момента запуска Windows 7 функция этого процесса ограничивается запуском процесса conhost.exe, который в свою очередь вызывает командную строку.

Что это такое

Процесс сsrss.exe грузит систему: что делать и как уменьшить загрузку ОС

Csrss.exe – это процесс исполнения клиент-сервера, который в диспетчере задач активирован не в едином экземпляре. Обычно, неотъемлемых частей Виндовс два и более. Он в ответе за:

  • Программы, реализуемые через CMD (еще их называют консольные).
  • Процедуру выключения.
  • Включение другого нужного процесса «conhost.exe».
  • Прочие опции, необходимые для адекватной штатной работы системы.

Отключить и, тем более, удалить процесс «csrss.exe» нельзя из-за дестабилизации ОС. Он активируется самостоятельно во время запуска Windows 7, 8, 10. При отключении процесс исполнения клиент-сервер (ели вам это все же удалось), вы получите BSOD-ошибку (на синем экране) с кодовым номером:

0xC000021A

Работа подсистемы[править | править код]

CSRSS выполняется как системный сервис пользовательского режима. Когда процесс пользовательского режима вызывает функцию с участием консольных окон, создания процесса/потока, или поддержки Side-by-Side, библиотеки Win32 (kernel32.dll, user32.dll, gdi32.dll) вместо запроса системного вызова обращаются к процессу CSRSS путём меж-процессного вызова (LPC вида Local Procedure Call), и CSRSS делает большую часть реальной работы, без того, чтобы подвергать опасности (компрометировать) ядро[1]. Однако вызовы к оконному менеджеру и сервисам GDI обрабатываются драйверами режима ядра (win32k.sys)[2].

Можно ли завершить процесс csrss.exe?

В настоящее время процесс csrss.exe имеет ограниченную функциональность для систем Windows, однако эта ограниченная функциональность является критической. Вы не можете убить процесс, и принудительное выполнение этого сделает систему непригодной для использования. Это может выключить компьютер автоматически и показать вам “синий экран”. Однако у этого процесса нет причин чрезмерно использовать системные ресурсы, и поскольку он работает в фоновом режиме, он не должен вас беспокоить. 

Что делать, если csrss.exe грузит процессор, не вирус ли это

Если процесс исполнения клиент-сервер грузит процессор, для начала загляните в диспетчере задач, нажмите правой кнопкой мыши по этому процессу и выберите пункт меню «Открыть расположение файла».

По умолчанию файл располагается в C:WindowsSystem32 и если это так, то, вероятнее всего, это не вирус. Дополнительно убедиться в этом можно, открыв свойства файла и посмотрев вкладку «Подробнее» — в «Название продукта» вы должны увидеть «Операционная система Microsoft Windows», а на вкладке «Цифровые подписи» — информацию о том, что файл подписан Microsoft Windows Publisher.

Свойства оригинального файла csrss.exe

При размещении csrss.exe в других расположениях это действительно может быть вирус и тут может помочь следующая инструкция: Как проверить процессы Windows на вирусы с помощью CrowdInspect.

Если это оригинальный файл csrss.exe, то высокую нагрузку на процессор он может вызывать из-за неправильной работы функций, за которые он отвечает. Чаще всего — что-то связанное с питанием или гибернацией.

В данном случае, если вы выполняли какие-то действия с файлом гибернации (например, устанавливали сжатый размер), попробуйте включить полный размер файла гибернации (подробнее: Гибернация Windows 10, подойдет и для предыдущих ОС). Если проблема появилась после переустановки или «большого обновления» Windows, то убедитесь, что у вас установлены все оригинальные драйверы для ноутбука (с сайта производителя для вашей модели, особенно драйверы ACPI и чипсета) или компьютера (с сайта производителя материнской платы).

Но необязательно дело именно в этих драйверах. Чтобы попробовать выяснить, в каком именно, попробуйте выполнить следующие действия: скачайте программу Process Explorer https://technet.microsoft.com/ru-ru/sysinternals/processexplorer.aspx запустите и в списке запущенных процессов дважды кликните по экземпляру csrss.exe, вызывающему нагрузку на процессор.

Откройте вкладку Threads и отсортируйте ее по столбцу CPU. Обратите внимание на верхнее по нагрузке на процессор значение. С большой вероятностью, в столбце Start Address это значение будет указывать на какую-то DLL (примерно, как на скриншоте, если не считать того, что у меня нагрузки на процессор нет).

csrss.exe грузит процессор

Узнайте (используя поисковик), что это за DLL и частью чего она является, попробуйте переустановить данные компоненты, если это возможно.

Дополнительные методы, которые могут помочь при проблемах с csrss.exe:

  • Попробуйте создать нового пользователя Windows, выйти из под текущего пользователя (обязательно выйти, а не просто сменить пользователя) и проверить, сохраняется ли проблема с новым пользователем (иногда нагрузка на процессор может быть вызвана поврежденным профилем пользователя, в этом случае, если есть, можно использовать точки восстановления системы).
  • Выполните проверку компьютера на наличие вредоносных программ, например, с помощью AdwCleaner (даже если у вас уже есть хороший антивирус).

Способы предотвращения троянов на системе

Основным способом проникновения вредоносных программ в вашу систему являются ненадежные веб-сайты, которые предлагают установить подозрительное программное обеспечение. Как правило, трудно определить, является ли приложение законным, и люди устанавливают ненужные программы без тщательной проверки.

Преступники загружают троянских коней, замаскированных под невинное ПО, на сайты обмена файлами на одноранговой сети (P2P) и извлекают выгоду из новичков, которые попадают в их ловушку. Поэтому, необходимо загружать и устанавливать приложения только с авторизованных веб-сайтов.

Кроме того, некоторые онлайн-объявления и гиперссылки предназначены для запуска фальшивых скриптов, которые автоматически устанавливают вредоносные программы. Таким образом, никогда не нажимайте на какой-либо коммерческий онлайн-контент и всегда используйте профессиональное программное обеспечение для защиты от вредоносного ПО.

Угрозы[править | править код]

Известно, что вирусы, шпионские программы и трояны заражают или маскируются под этот процесс. Это делают по меньшей мере следующие зловредные программы:

  • Nimda.E [5]
  • W32/Netsky.ab@MM [6]
  • W32/VBMania@MM [7]

Множество вирусов использует для маскировки имя приложения, чтобы не вызвать подозрения у пользователя, особенно учитывая, что для каждой терминальной сессии создаётся отдельный экземпляр процесса, поэтому на серверных машинах их количество может доходить до нескольких десятков. Оригинальный файл хранится только в папке %SYSTEMROOT%system32, а его подмена практически невозможна на компьютере с одной операционной системой.

Что делать, если процесс нагружает системные ресурсы?

Если такая ситуация наблюдается в действительности, завершать процесс в «Диспетчере задач» не рекомендуется (о вирусах пока речь не идет).

Оптимальным вариантом станет закрытие всех активных в данный момент программ и полная перезагрузка компьютера (а не смена одного пользователя на другого). По идее, после рестарта все придет в норму. В обычном активном состоянии служба потребляет максимум около 2000 Кб оперативной памяти, а нагрузка на процессор не превышает нескольких десятых долей процента.

Видео

maxresdefault.jpg

В крайнем случае, запустите восстановление системы, чтобы вернуться к предыдущей успешной конфигурации. Тему “csrss exe что это за процесс Windows 7 8 10” можно считать закрытой. Но если есть вопросы – задавайте в комментах под этой публикацией.

Подозрение на вирусы

Начнем с того, что сегодня можно встретить достаточно много вирусов, маскирующихся под системный процесс Csrss.exe. Что это именно в понимании заражения компьютера? А вот что. Вирус, во-первых, самокопируется, размещая копии с одноименным названием (Csrss.exe) в папках, используемых для хранения временных файлов Интернета, перемещает собственные копии на USB-накопители и т.д. Как уже понятно, все запущенные копии можно увидеть в диспетчере задач.

При этом если даже просматривать данные о размещении файла или командную строку, рядовой пользователь ничего подозрительного может и не увидеть. Все данные будут просто идентичны между собой. Далее мы рассмотрим несколько способов, использование которых позволит бороться с такими негативными проявлениями.

Как определить, что это вирус?

Но достаточно часто можно встретить и ситуации, связанные с проникновением маскирующихся под системный процесс вирусов. Выяснить, действительно ли это произошло, можно совершенно просто. Дело в том, что в «Диспетчере задач» обычно отображается только один процесс. Два процесса Csrss.exe – тоже нормально (особенно, если речь идет о Windows 7 и выше). Большее количество – явный признак вирусного воздействия.

csrss exe процесс исполнения клиент сервер

При попытке завершения оригинального процесса система выдаст предупреждение насчет того, действительно ли пользователь хочет остановить выбранную службу, а затем откажет в выполнении действия. При выполнении аналогичных действий с вирусными апплетами, предупреждения не последует.

csrss exe два процесса

Для того, чтобы убедиться, что один или несколько процессов представляют собой вирусные угрозы, используйте меню ПКМ на выбранной службе в «Диспетчере задач» с отображением местоположения файла, отвечающего за процессы. Оригинальный объект всегда располагается в директории System32 основной папки Windows и имеет размер порядка 6 Кб.

Кроме того, если обратиться к свойствам оригинального файла через меню ПКМ в «Проводнике», на вкладке сведений можно увидеть наличие цифровой подписи Microsoft. Как уже понятно, вирусные объекты ее не содержат, или она отличается.

Ссылки[править | править код]

  1. Detailed implementation of a system service in Windows NT (неопр.) (недоступная ссылка). Undocumented Windows NT. Дата обращения: 17 ноября 2011. Архивировано 15 марта 2012 года.
  2. Russinovich, Mark. Windows Internals, 5th Edition (неопр.). — Microsoft Press (англ.)русск., 2009. — С. 54.
  3. The Windows NT 4.0 Kernel mode change (неопр.). MS Windows NT Kernel-mode User and GDI White Paper. Microsoft. Дата обращения: 19 января 2009. Архивировано 15 марта 2012 года.
  4. Inside the Windows Vista Kernel – Startup Processes (неопр.). Inside the Windows Vista Kernel – Startup Processes. Microsoft. Дата обращения: 1 октября 2010. Архивировано 15 марта 2012 года.
Рейтинг
( 1 оценка, среднее 5 из 5 )
Загрузка ...