از زمان انتشار نسخه NT ، کاربران ویندوز شروع به توجه به سرویس مداوم Csrss.exe در Task Manager کردند. Csrss.exe چه فرایندی است ، افراد معدودی از کاربران عادی را درک می کنند. به همین دلیل بیشتر پیشنهاد خواهد شد تا با جزئیات بیشتری مورد بررسی قرار گیرد و درعین حال دلایل افزایش بار آن بر روی منابع رایانه ای کشف شود و نفوذ ویروس ها به سیستم در نظر گرفته شود که می تواند جزء این مؤلفه ها باشد.
Csrss.exe: چه نوع فرآیند در Task Manager قابل مشاهده است؟
برای شروع ، همانطور که برخی کاربران فکر می کنند ، در ابتدا این سرویس اپلیکیشن ویروس نیست. این یک اپلت سیستم مهم است که با سیستم عامل اجرا می شود.
مخفف این نام از زبان انگلیسی Client Server Runtime Subsystem (زیر سیستم که مسئولیت اجرایی Csrss.exe را بر عهده دارد) گرفته شده است - فرآیند اجرای "سرویس دهنده سرویس دهنده" هنگام دسترسی به عملکرد سیستم و اجرای برنامه ها. برنامه ها (سیستم و کاربر) دیگر از فرآیندی مانند Rundll32 برای بارگیری کتابخانه های خود در RAM استفاده نمی کنند ، اما مستقیماً به سرویس فوق دسترسی دارند.
Csrss.exe MUI: این روند چیست؟
گاهی اوقات می توانید ظهور همان فرآیند (و پرونده ها) را با اضافه کردن مخفف MUI مشاهده کنید. باز هم ، بسیاری از کاربران بلافاصله به ویروس مشکوک می شوند. این طور نیست ، زیرا سرویس اصلی فقط یک زیر سیستم چند زبانه است ، که تقریباً مسئول ترجمه واسط ویندوز به زبان پیش فرض نصب شده است.
خدمات در عمل چگونه عمل می کنند؟
حال بیایید ببینیم این سرویس چگونه کار می کند. بگذارید بلافاصله شما را نادیده بگیرد که سیستم فرعی از نوع "سرویس دهنده-مشتری" است و ارتباط بین بخش های مشتری و سرور خود سیستم را برقرار می کند. بله ، در واقع ، این سرویس بطور فعال برای سازماندهی همان دسترسی به "دسک تاپ" از راه دور استفاده می شود ، اما هدف اصلی آن این نیست.
Csrss.exe در ویندوز 7 یا در سیستمهای دارای رتبه دیگری چه فرایندی است ، اگر با دقت به رابط کاربری سیستم نگاه کنید ، تصور ساده است. همه از این واقعیت استفاده می کنند که دسترسی به برخی از توابع ، اجرای برنامه ها و موارد دیگر بسیار منحصراً از طریق رابط گرافیکی با استفاده از ویندوز و دکمه ها انجام می شود. دقیقاً برای این امکان است که سرویس شرح داده شده مسئولیت دارد.
به سختی می گویم ، اگر اینطور نبود ، می توانستید فقط با ویندوز کنسول به شکل یک خط فرمان ، مانند گذشته در DOS ، با ویندوز کار کنید. بنابراین ، مشخص می شود که این سرویس به هر بهانه ای نمی تواند حذف یا غیرفعال شود (ویندوز اجازه این کار را نمی دهد). اما گاهی اوقات ممکن است توجه کنید که روند ناشناخته شروع به استفاده از منابع سیستم می کند تا بطور فعالانه که کل سیستم شروع به کند شدن و یخ زدگی می کند ، نه اینکه به رفتار بحرانی تری اشاره کنیم.
اگر فرآیند منابع سیستم را بارگیری کند ، چه اتفاقی می افتد؟
اگر چنین وضعیتی در واقعیت مشاهده شود ، توصیه نمی شود فرآیند را در "Task Manager" تکمیل کنید (ما هنوز در مورد ویروس ها صحبت نمی کنیم).
بهترین گزینه بستن کلیه برنامه های فعال فعلی و راه اندازی مجدد کامپیوتر به طور کامل (به جای تغییر یک کاربر به کاربر دیگر) است. از نظر تئوری ، بعد از شروع مجدد ، همه چیز به حالت عادی باز خواهد گشت. در حالت فعال طبیعی ، این سرویس حداکثر حدود 2000 KB رم مصرف می کند ، و بار پردازنده از چند دهم درصد درصد تجاوز نمی کند.
چگونه تشخیص دهیم که آیا این ویروس است؟
اما اغلب اوقات می توانید موقعیتهای مربوط به نفوذ ویروسهای مبدل شده به عنوان یک فرآیند سیستمیک را نیز بیابید. برای فهمیدن اینکه آیا این واقعاً اتفاق افتاده است بسیار ساده است. واقعیت این است که در "Task Manager" معمولاً فقط یک فرآیند نمایش داده می شود. دو فرآیند Csrss.exe نیز خوب هستند (خصوصاً وقتی صحبت از ویندوز 7 و بالاتر است). تعداد بیشتر علامت بارز اثر ویروسی است.
هنگامی که سعی می کنید فرایند اصلی را تکمیل کنید ، سیستم هشداری را در مورد اینکه آیا کاربر واقعاً می خواهد سرویس منتخب را متوقف کند ، صادر می کند و سپس از انجام عمل خودداری می کند. هنگام انجام اقدامات مشابه با اپلت های ویروسی ، هیچ اخطاری انجام نمی شود.
برای اطمینان از اینکه یک یا چندین فرآیند تهدید ویروسی هستند ، از فهرست PCM در سرویس انتخاب شده در "Task Manager" با محل پرونده مربوط به فرآیندها استفاده کنید. شی اصلی همیشه در پوشه System32 پوشه اصلی ویندوز قرار دارد و اندازه آن حدود 6 Kb است.
علاوه بر این ، اگر از طریق منوی PCM در اکسپلورر به خواص فایل اصلی نگاهی بیندازید ، می توانید وجود یک امضای دیجیتال مایکروسافت را در برگه جزئیات مشاهده کنید. همانطور که قبلاً مشخص است ، اشیاء ویروس آن را شامل نمی شوند ، یا متفاوت است
رفع تهدید
چه نوع فرآیند Csrss.exe (ویروس یا سیستم) ، فهمید. اکنون چند کلمه در مورد رایج ترین تکنیک های رفع تهدید.
به طور معمول ، ویروس های از این نوع هرگز به عنوان برنامه های نصب شده جداگانه در بخش برنامه ها و مؤلفه ها نمایش داده نمی شوند ؛ بنابراین ، پس از یافتن پرونده های تهدید ، باید سعی کنید فوراً آنها را حذف کنید. امید زیادی وجود ندارد که از بین بردن امکان پذیر باشد ، زیرا خود ویروس ها می توانند دارای محافظت داخلی در برابر حذف باشند ، و هنگام تلاش برای انجام چنین کارهایی ، حتی بدتر ، ممکن است نسخه های خود را ایجاد کنند ، که در این صورت خلاص شدن از آن حتی سخت تر خواهد شد.
اما پس چگونه می توان فرآیند Csrss.exe را حذف کرد اگر واقعاً ویروس است؟ برای شروع ، از برخی اسکنر قابل حمل ضد ویروس استفاده کنید. عالی برای دکتر Web CureIt! ، فقط تمام درایوها و پارتیشن های منطقی را اسکن کنید.
شما می توانید با استفاده از برنامه های خاص با نام عمومی Rescue Disk ، که روی رسانه های قابل جابجایی ضبط می شوند ، سیستم را کاملتر بررسی کنید و رایانه قبل از شروع ویندوز از آنها بوت می شود (برای راه اندازی در تنظیمات مربوط به BIOS / UEFI باید دستگاه ابتدا نصب شود).
در مرحله بعد ، شما نیاز به انتخاب زبان ، رابط گرافیکی و علامت گذاری نه تنها همه دیسک ها ، بلکه قسمت های بوت شدن و بخش های پنهان برای تأیید دارید. در بیشتر موارد ، چنین ابزارهایی است که حتی رعد و برق را نیز می توان یافت که با خنثی سازی کامل آنها ، می توانند اجزای خود را در RAM ادغام کنند.
به جای کل
در اینجا ، در واقع ، همه چیز در مورد روند Csrss.exe است. برای خلاصه ، شایان ذکر است که کاربر ممکن است با سرویس اصلی و ویروس ها روبرو شود. لمس کردن روند اصلی بسیار نامطلوب است ، اما مقابله با تهدیداتی که جایگزین فرآیندهای سیستم می شوند ، امری ممکن و ضروری است. اگر بار روی منابع دقیقاً از طرف فرآیند اصلی مشاهده شود ، شاید مشکل حتی در آن نباشد ، بلکه در خود سیستم و مؤلفه های آن ، که تنها با غیر مستقیم به فرآیند فعال وصل می شوند. در این حالت ، می توانید به شما توصیه كنید كه بهینه ساز را نصب كنید و بررسی كامل انجام دهید. اگر این کار کمکی نمی کند ، به عنوان مثال از کنسول فرمان استفاده کنید تا اجزای سیستم (sfc / scannow) را اسکن و بازیابی کنید یا هارد دیسک را بررسی کنید (تغییرات فرمان chkdsk).
اگر غالباً با Windows Task Manager کار می کنید ، نمی توانید کمکی به این امر داشته باشید که هدف CSRSS.EXE همیشه در لیست فرایندها موجود است. بیایید دریابیم که این عنصر چیست ، چقدر برای سیستم مهم است و آیا برای کامپیوتر پر از خطر است.
CSRSS.EXE توسط پرونده سیستم با همین نام اجرا می شود. این در همه سیستم عامل های ویندوز با نسخه Windows Windows 2000 موجود است. شما می توانید با اجرای Task Manager (ترکیب Ctrl + Shift + Esc) در برگه "مراحل". ساده ترین راه برای پیدا کردن آن ، ساختن داده ها در ستون است. "نام تصویر" به ترتیب حروف الفبا.
یک فرایند CSRSS جداگانه برای هر جلسه وجود دارد. بنابراین ، در رایانه های شخصی معمولی ، دو فرآیند مشابه به طور همزمان راه اندازی می شوند و در رایانه های شخصی سرور تعداد آنها می تواند به ده ها نفر برسد. با وجود این ، مشخص شد که می تواند دو فرآیند وجود داشته باشد ، و در برخی موارد حتی بیشتر ، همه آنها فقط با یک پرونده CSRSS.EXE مطابقت دارند.
به منظور مشاهده همه اشیاء CSRSS.EXE فعال شده در سیستم از طریق Task Manager ، روی کتیبه کلیک کنید "نمایش فرآیندهای همه کاربران".
پس از آن ، اگر به طور منظم کار می کنید و نه به عنوان سرور از ویندوز ، آنگاه دو عنصر CSRSS.EXE در لیست وظایف مدیر ظاهر می شوند.
کارکرد
اول از همه ، خواهیم فهمید که چرا این عنصر مورد نیاز سیستم است.
نام "CSRSS.EXE" مخفف مخفف "Client-Server Runtime Subsystem" است که از انگلیسی به عنوان "زیر سیستم سیستم Client-Server Runtime" ترجمه شده است. یعنی این فرآیند به نوعی پیوند ارتباطی بین مناطق مشتری و سرور سیستم ویندوز عمل می کند.
این فرآیند برای نمایش مؤلفه گرافیکی ، یعنی آنچه در صفحه مشاهده می کنیم لازم است. این ، اول از همه ، هنگام خاموش شدن سیستم و همچنین در هنگام نصب یا نصب یک موضوع درگیر می شود. بدون CSRSS.EXE ، راه اندازی کنسول ها (CMD و غیره) غیرممکن خواهد بود. این فرآیند برای بهره برداری از خدمات ترمینال و برای اتصال از راه دور به دسک تاپ ضروری است. پرونده مورد بررسی ما همچنین موضوعات مختلف سیستم عامل را در زیر سیستم Win32 پردازش می کند.
علاوه بر این ، اگر CSRSS.EXE به پایان برسد (مهم نیست که: کاربر را خراب یا مجبور کرد) ، در این صورت سیستم خراب می شود که منجر به ظاهر BSOD می شود. بنابراین ، می توان گفت که عملکرد ویندوز بدون فرآیند فعال CSRSS.EXE غیرممکن است. بنابراین ، فقط اگر مطمئن باشید که آن را با یک ویروس جایگزین کرده اید ، باید به زور متوقف شود.
محل فایل
حال بیایید دریابیم که CSRSS.EXE از نظر جسمی بر روی هارد قرار دارد. می توانید با استفاده از همان مدیر وظیفه ، اطلاعات مربوط به این مورد را بدست آورید.
حال با دانستن آدرس می توانید بدون استفاده از Task Manager به فهرست مکان آن شی بروید.
شناسایی پرونده
در همان زمان ، موقعیت هایی که برنامه های مختلف ویروس (ریشه کیت) به عنوان CSRSS.EXE پنهان شده اند غیر معمول نیست. در این حالت ، مهم است که مشخص کنید کدام فایل CSRSS.EXE خاص را در Task Manager نمایش می دهد. بنابراین ، ما خواهیم فهمید که تحت چه شرایطی روند مشخص شده باید توجه شما را به خود جلب کند.
- اول از همه ، سوالات باید ظاهر شوند ، اگر در Task Manager ، در حالت نمایش فرآیندهای همه کاربران به طور منظم و نه یک سیستم سرور ، بیش از دو شی CSRSS مشاهده کنید. یکی از آنها به احتمال زیاد ویروس است. هنگام مقایسه اشیاء ، به مصرف حافظه توجه کنید. در شرایط عادی ، حد 3000 Kb برای CSRSS تعیین شده است. در ستون ، نشانگر مربوطه را در قسمت Task Manager توجه داشته باشید "حافظه" فراتر از حد فوق به معنای عدم وجود اشکال در پرونده است.
علاوه بر این ، باید توجه داشت که معمولاً این فرآیند به هیچ وجه پردازنده مرکزی (CPU) را بار نمی کند. بعضی اوقات مجاز است مصرف منابع CPU را تا چند درصد افزایش دهید. اما ، وقتی بار در ده ها درصد باشد ، این نشان می دهد كه یا خود پرونده ویروسی است ، یا كلی با سیستم به طور كلی اشتباه است.
- در قسمت Task Manager در ستون "کاربر" ("نام کاربری") مخالف موضوع مورد مطالعه لزوماً باید ارزش باشد "سیستم" ("سیستم") اگر کتیبه دیگری در آنجا نمایش داده شود ، از جمله نام پروفایل کاربر فعلی ، پس با اطمینان بسیار بالایی می توان گفت که ما با یک ویروس سر و کار داریم.
- علاوه بر این ، می توانید صحت یک پرونده را با تلاش برای متوقف کردن عملکرد آن تأیید کنید. برای انجام این کار ، نام شی مشکوک را انتخاب کنید "CSRSS.EXE" و روی کتیبه کلیک کنید "مراحل را کامل کنید" در مدیر وظیفه
پس از آن باید یک کادر گفتگو باز شود که می گوید توقف روند مشخص شده منجر به اتمام سیستم خواهد شد. طبیعتاً نیازی به متوقف کردن آن نیست ، بنابراین بر روی دکمه کلیک کنید "لغو". اما ظاهر چنین پیامی در حال حاضر یک تأیید غیرمستقیم مبنی بر اصل بودن پرونده است. اگر پیام از دست رفته باشد ، قطعاً این بدان معنی است که پرونده جعلی است.
- همچنین برخی از اطلاعات در مورد صحت پرونده را می توان از خصوصیات آن بدست آورد. بر روی نام شیء مشکوک در Task Manager کلیک راست کنید. در فهرست زمینه ، را انتخاب کنید "خواص".
پنجره خواص باز می شود. برو به برگه "معمول هستند". به پارامتر توجه کنید "محل". مسیر دایرکتوری موقعیت مکانی فایل باید با آدرسی که در بالا به آن اشاره کردیم مطابقت داشته باشد:
C: \\ Windows \\ System32
اگر آدرس دیگری در آنجا نشان داده شده باشد ، این بدان معنی است که فرایند جعلی است.
در همان برگه نزدیک پارامتر "حجم فایل" باید 6 KB باشد. اگر اندازه دیگری در آنجا مشخص شده باشد ، شیء جعلی است.
برو به برگه "جزئیات". پارامتر نزدیک "کپی رایت" باید ارزش داشته باشد شرکت مایکروسافت ("شرکت مایکروسافت").
اما متأسفانه ، حتی اگر تمام موارد فوق الذکر برآورده شود ، پرونده CSRSS.EXE می تواند ویروسی باشد. واقعیت این است که یک ویروس نه تنها می تواند خود را به عنوان یک شیء پنهان کند ، بلکه یک پرونده واقعی را نیز آلوده می کند.
علاوه بر این ، مشکل مصرف بیش از حد منابع سیستم CSRSS.EXE می تواند نه تنها توسط یک ویروس بلکه در اثر آسیب دیدن پروفایل کاربر ایجاد شود. در این حالت ، می توانید سعی کنید سیستم عامل را به حالت قبل برگردانید یا "نمایه کاربر جدید" ایجاد کرده و در آن کار کنید.
رفع تهدید
اگر فهمید که CSRSS.EXE نه توسط فایل سیستم عامل اصلی بلکه ویروس ایجاد می شود چه باید کرد؟ فرض خواهیم کرد که آنتی ویروس معمولی شما نمی تواند کد مخرب را شناسایی کند (در غیر این صورت حتی متوجه مشکل نمی شوید). بنابراین ، ما اقدامات دیگری را برای از بین بردن روند انجام خواهیم داد.
روش 1: اسکن آنتی ویروس
اول از همه ، مثلاً سیستم را با یک اسکنر ضد ویروس قابل اعتماد اسکن کنید.
شایان ذکر است که اسکن سیستم ویروس ها از طریق حالت ایمن ویندوز توصیه می شود ، که طی آن فقط آن دسته از فرآیندهای که عملکرد اصلی رایانه را تضمین می کنند ، کار می کنند ، یعنی ویروس "خواهد خوابید" و پیدا کردن آن از این طریق بسیار ساده تر خواهد بود.
روش 2: حذف دستی
اگر اسکن کار نکند ، اما شما به وضوح می بینید که پرونده CSRSS.EXE در دایرکتوری که باید در آن نباشد ، پس باید از روش حذف دستی استفاده کنید.
اگر نمی توانید فرآیند را در Task Manager متوقف کنید یا پرونده را حذف کنید ، کامپیوتر را خاموش کنید و در Safe Mode وارد سیستم شوید (کلید F8 یا ترکیب Shift + F8 بسته به نسخه سیستم عامل ، هنگام بارگیری). سپس روش حذف شی را از فهرست مکان آن انجام دهید.
روش 3: بازیابی سیستم
و سرانجام ، اگر نه روشهای اول و نه دوم نتیجه مناسبی به همراه نیاوردند ، و شما نمی توانید از فرایند ویروس مبدل شده به عنوان CSRSS.EXE خلاص شوید ، عملکرد بازیابی سیستم ارائه شده در ویندوز می تواند به شما کمک کند.
ماهیت این عملکرد این است که شما یکی از نقاط بازگشت برگشتی موجود را انتخاب می کنید ، که به شما امکان می دهد سیستم را به بازه زمانی انتخاب شده برگردانید: اگر ویروس در زمان انتخاب شده روی رایانه نبود ، این ابزار آن را از بین می برد.
این عملکرد همچنین دارای یک سمت تلنگر به سمت سکه است: اگر برنامه ها پس از ایجاد یک نقطه یا نقطه دیگر نصب شوند ، تنظیمات در آنها و غیره وارد می شوند - این به همان روش تأثیر می گذارد. بازگرداندن سیستم فقط روی پرونده های کاربر تأثیر نمی گذارد ، که شامل اسناد ، عکس ها ، فیلم ها و موسیقی است.
همانطور که مشاهده می کنید ، در بیشتر موارد CSRSS.EXE یکی از مهمترین فرایندها برای عملکرد سیستم عامل است. اما گاهی اوقات می تواند توسط ویروس آغاز شود. در این حالت ، لازم است روش برداشتن مطابق توصیه های ارائه شده در این مقاله انجام شود.
هنگام مشاهده گردش کار در Task Manager ، کاربران ممکن است با فرآیند csrss.exe روبرو شوند ، که اغلب در یک برنامه ویروس اشتباه است. برخی از کاربران حتی سعی می کنند روند اجرای مشتری-سرور را به زور خاتمه دهند ، که این کار نباید انجام شود. در این مقاله ، من به شما می گویم روند csrss.exe چیست ، ویژگی های عملکرد آن را توصیف کنید ، و همچنین توضیح می دهم که در شرایطی که csrss.exe بار پردازنده را بارگیری می کند ، چه کاری انجام دهید.
اصطلاح csrss مخفف کلمات انگلیسی است "زیر سیستم زمان اجرای مشتری / سرور" (ترجمه شده به عنوان "یک سیستم فرعی سرویس دهنده-سرویس دهنده"). کارایی این زیر سیستم برای کار با برنامه های کنسول (به عنوان مثال ، خط فرمان) ، با موضوعات مختلف سیستم عامل ، و همچنین برای خدمت به مؤلفه گرافیکی سیستم عامل ویندوز هنگام خاموش بودن سیستم عامل طراحی شده است. در حقیقت ، فرآیند با همین نام Csrss.exe رابطه بین مشتری و سرور بخشی از سیستم عامل را فراهم می کند ، و هنگامی که شما سعی می کنید مجبور شوید آن را ببندید ، کاربر یک خرابی سیستم و به اصطلاح "صفحه آبی مرگ" را دریافت می کند.
تاریخچه این فرآیند به سیستم عامل ویندوز 2000 برمی گردد ، از آن زمان هر نسخه جدید از سیستم عامل های Windows ویندوز لزوماً شامل یک فرآیند csrss.exe در حال کار است. و همچنین فرآیندی که اغلب می توانید در Task Manager مشاهده کنید ، و.
پرونده این فرآیند معمولاً در Windows \\ System32 قرار دارد. اگر در فهرستهای دیگر یافت شود ، این نشانه ای از وجود برنامه های مختلف ویروس در سیستم عامل شما خواهد بود.
چگونه دریابیم ssrss.exe یک ویروس است
در فرآیند پاسخ به این سؤال ، csrss.exe چیست ، سؤال "" از فرآیندهای csrss ، که در بیشتر موارد ویروسهای متداول هستند ، جایگاه مهمی را اشغال می کند. امروزه ، چندین ویروس از این دست شناخته شده است (Backdoor.Win32. ، Nimda.E ، Trojan.Generic.KDV ، Trojan.Downloader.Agent.BL و تعدادی دیگر) که بر روی رایانه تحت نام csrss.exe فعال می شوند. برای شناسایی و حذف آنها ، می توانید از ابزارهای ضد ویروس شناخته شده (Dr.Web CureIt! ، Trojan Remover ، Malware Anti-Malware و غیره) استفاده کرده یا با استفاده از عملکرد جستجو در رایانه خود ، فایل هایی با نام csrss.exe را جستجو کنید.
- برای انجام چنین جستجو ، کلیدهای Win + F را فشار دهید ، در نوار جستجو در سمت راست ، csrss.exe را تایپ کرده و روی ورودی کلیک کنید تا منتظر نتایج باشید.
- سپس بر روی هر پرونده csrss.exe که یک بار پیدا شده است کلیک کنید ، با کلیک راست بر روی آن ، "Properties" را انتخاب کنید.
- به برگه "جزئیات" بروید و در آنجا ، مطمئن شوید که حق چاپ متعلق به مایکروسافت است (پرونده معتبر). در غیر این صورت ، ممکن است این یک بدافزار دیگر باشد.
چگونه ویروس csrss.exe حذف شود
همانطور که قبلاً ذکر شد ، یک فرآیند واقعی سیستم فقط باید در فهرست System32 باشد. اگر csrss.exe علاوه بر این در سایر مکان ها توسط شما تشخیص داده می شود ، باید فرآیند جعلی را در مدیر وظیفه ببندید و چنین پرونده ای باید حذف شود.
- برای اجرای شرح داده شده ، Ctrl + Al + Del را فشار دهید ، راه اندازی Task Manager را انتخاب کنید ، به برگه پردازشها بروید ".
- کادر زیر "نمایش فرآیندهای همه کاربران" را علامت بزنید ، و فرآیند (های) csrss.exe را در آنجا جستجو کنید.
- با کلیک بر روی دکمه سمت راست ماوس روی چنین فرایندی کلیک کرده و گزینه "باز کردن محل ذخیره فایل" را انتخاب کنید.
- اگر این پرونده در پوشه System 32 ذخیره نشده باشد ، این ویروس است ، این فرآیند باید با کلیک بر روی دکمه مربوطه در Task Manager تکمیل شود و خود پرونده نیز حذف شود.
فرآیند csrss.exe در حال بارگذاری پردازنده مرکزی است - چه کاری باید انجام شود
در فرآیند تجزیه و تحلیل مبحث "csrss.exe چیست" ، شما نمی توانید وضعیتی را که پردازش مورد نظر به طور قابل توجهی بار پردازنده و سایر منابع رایانه شخصی شما را نادیده می گیرد ، نادیده بگیرید. این می تواند در دو مورد اتفاق بیفتد:
برای ایجاد یک حساب کاربری جدید ، به Control Panel بروید ، به "User Accounts" بروید ، روی "Add Accounts" کلیک کنید و گزینه اضافه کردن حساب را انتخاب کنید. پس از ایجاد یک حساب کاربری ، حساب قدیمی را حذف کنید.
ایجاد یک حساب کاربری جدید
نتیجه
روند Csrss.exe چیست؟ در روند توصیف من ، من ویژگی های این فرآیند ، کارکردها و هدف آن را در نظر گرفتم. شناختن ماهیت سیستم فرآیند Csrss و ماهیت کار آن بسیار مهم است ، در حالی که آن را از جعل ویروس هایی که بطور منظم در رایانه های کاربران مشاهده می شود ، دانست. در مبارزه با دومی ، ارزش استفاده از برنامه های ضد ویروس اثبات شده و همچنین حذف دستی ویروس های ویروس توسط کاربر را دارد.
در تماس با
خواندن فرآیند csrss.exe مسئول چیست و اگر غیرفعال شود چه اتفاقی خواهد افتاد. در رایانه ای که ویندوز را اجرا می کند ، "Task Manager" را در برگه "جزئیات" باز کنید و مطمئناً یک یا چند فرآیند زیر سیستم سیستم عامل مشتری / سرور "Client / Server Runtime Subsystem" (csrss.exe) در رایانه شخصی خود پیدا خواهید کرد. این فرآیند بخشی جدایی ناپذیر از ویندوز است که با نسخه Windows NT آغاز می شود و بخشی از حالت کاربر زیر سیستم "Win32" است.
این فرآیند یکی از مهمترین کارآیی ها ، برای کار با ویندوز ، فرآیندهای تشکیل دهنده سیستم ، مانند "Svchost.exe", "Dwm.exe", "Ctfmon.exe", "MDNSResponder.exe", "Rundll32.exe" و خیلی های دیگر. در ادامه بخوانید تا بفهمید چه و چگونه است.
محتوا:
زیر سیستم Client / Server Runtime (CSRSS) چیست؟
روند "Csrss.exe" بخش مهمی از سیستم عامل ویندوز است. قبل از ویندوز NT 4.0 ، منتشر شده در سال 1996 ، "Csrss.exe" وی مسئول کل زیر سیستم گرافیکی از جمله مدیریت پنجره ، ترسیم عناصر روی صفحه و سایر عملکردهای مرتبط با سیستم عامل بود.
در ویندوز NT 4.0 بسیاری از این ویژگی ها از این فرآیند منتقل شده اند. "زیر سیستم زمان اجرا مشتری / سرور"، که به عنوان یک فرآیند عادی اجرا می شود ، به هسته اصلی سیستم عامل ویندوز تبدیل می شود. پردازش با این حال "Csrss.exe" هنوز هم مسئول پردازش کنسول در Win32 و رابط گرافیکی برای خاموش کردن سیستم عامل ، که عملکردهای مهم در ویندوز هستند. با ویندوز 2000 ، ویندوز XP ، ویندوز 2003 ، ویندوز ویستا ، ویندوز سرور 2008 و ویندوز 7 همراه است. پیش از ویندوز 7 ، مراحل "Csrss.exe" راه اندازی پنجره کنسول (فرمان سریع) را فراهم کرد. در ویندوز 7 و تمام نسخه های جدیدتر ، این روند این عملکرد را به عهده گرفت. میزبان کنسول (conhost.exe). در همان زمان ، برای شروع روند "Conhost.exe"هنوز هم مسئولیت پذیر است "Csrss.exe".
آیا می توانم آن را خاموش کنم؟
این زیر سیستم یکی از اصلی ترین هاست و برای عملکرد طبیعی ویندوز بسیار مهم است ، بنابراین تکمیل آن بلافاصله منجر به نقص سیستم عامل خواهد شد. و در نتیجه ، با خطا سیستم عامل تکمیل می شود ، خواهید دید "صفحه آبی مرگ" (BSOD) و PC راه اندازی مجدد می شود.
در هر صورت ، دلیلی برای خاموش کردن آن وجود ندارد - این فرایند از منابع ناچیز استفاده می کند و فقط برخی عملکردهای مهم سیستم را انجام می دهد. اگر بروید "مدیر وظیفه" و سعی کنید مراحل را کامل کنید "Csrss.exe"، سپس ویندوز پیامی را نشان می دهد که می گوید: "تکمیل فرایند سیستم می تواند به عملکرد ناپایدار سیستم منجر شود". این هشدار را نادیده بگیرید و پیامی را خواهید دید "دسترسی رد شد"این یک فرآیند محافظت شده است که شما نمی توانید آن را تکمیل کنید.
ویندوز این فرآیند را هر بار که بوت می شود شروع می کند. اگر "Csrss.exe" شروع به کار نکرد ، سپس سیستم عامل خراب و خاموش می شود "صفحه آبی مرگ" (BSoD) با کد خطا "0xC000021A".
آیا "csrss.exe" می تواند یک ویروس باشد؟
برای این فرآیند کاملاً طبیعی است اگر یک یا چند فرآیند با این نام همیشه در پس زمینه روی رایانه شخصی که ویندوز دارد ، کار کند. فایل اجرایی "Csrss.exe" واقع در فروشگاه "C: \\ Windows \\ system32" روی یک دیسک با یک سیستم عامل نصب شده. باز کن "مدیر وظیفه" برو به برگه "جزئیات"پیدا کردن "Csrss.exe" و بر روی آن راست کلیک کنید ، در منوی باز شده ، را انتخاب کنید "باز کردن محل فایل". بنابراین می توانید مطمئن شوید که پرونده اجرایی واقعی مسئول این فرآیند است و در فهرست استاندارد قرار دارد ( ٪ SYSTEMROOT٪ \\ system32).
در پنجره ای که باز می شود "اکسپلورر" ویندوز ، باید بررسی کنید که پوشه صحیح باز است یا خیر "C: \\ Windows \\ System32"و باید حاوی پرونده باشد "Csrss.exe".
اگر کسی به شما بگوید که پرونده "Csrss.exe"واقع در "C: \\ Windows \\ System32"این ویروس است ، این درست نیست. این یک فایل سیستم بحرانی واقعی است و حذف آن باعث خرابی سیستم عامل و در نتیجه ، نصب مجدد بعدی آن می شود. این فرایندها روی هر رایانه ویندوز کار می کنند و این کاملاً طبیعی است.
Csrss.exe یک فرایند کلاینت سرور سرور Microsoft Windows Runtime کاملاً ایمن است. این اجرایی وظیفه مدیریت مجموعه های گرافیکی فرمان را بر عهده دارد و معمولاً در فهرست C: \\ Windows \\ System32 قرار دارد. لطفاً توجه داشته باشید که این پرونده قانونی باید از 4000 تا 7000 بایت فضای دیسک روی رایانه شما اشغال کند. اگرچه کارشناسان اخیراً trojan Csrss.exe را کشف کردند که از همان اسم این فرآیند ویندوز برای مخفی کردن حضور خود در سیستم استفاده می کند.
فرآیند csrss.exe در ابتدا برای کل سیستم گرافیکی از جمله طراحی روی صفحه ، مدیریت پنجره و عملکردهای مشابه مورد استفاده قرار گرفت. با انتشار ویندوز NT 4.0 (تاریخ انتشار - 1996) ، بسیاری از این ویژگی ها به هسته ویندوز منتقل شده است ، اگرچه این فرایند هنوز مسئولیت Windows و کنسول ویندوز کنسول را بر عهده داشت.
بنابراین ، فرایند CSRSS بخشی جدایی ناپذیر از ویندوز است و نمی توان آن را قطع کرد. حتی اگر کاربر سعی در انجام وظیفه خود داشته باشد ، سیستم عامل هشدار می دهد که دستگاه قادر نخواهد بود بدون آن به درستی کار کند و خاموش می شود. اگر کلیک کنید ، ویندوز خاموش کردن دستگاه را منع می کند - این کار به عنوان احتیاط برای جلوگیری از آسیب دیدن سیستم انجام می شود.
در عین حال ، با توجه به اینکه این یک فرآیند استاندارد سیستم است ، نویسندگان بدافزار می توانند از این نام به عنوان مبدل استفاده کنند. هر پرونده اجرایی باید حتی اگر از یک نام مشروع استفاده کند ، یک تهدید بالقوه در نظر گرفته شود. یک نسخه مخرب از پرونده ممکن است برای فعالیت مشکوک استفاده شود ، به عنوان مثال:
- جمع آوری اطلاعات شخصی
- فایلهای خطرناک را بارگیری کنید
- معدن cryptocurrency
- تهدیدهای اضافی
Csrss.exe یک پرونده قانونی و مهم برای ویندوز است. بنابراین ، فایلهای اجرایی می توانند توسط پرونده های مخرب جایگزین ، کپی یا حذف شوند. اگر متوجه شدید بیش از دو فرآیند csrss.exe روی سیستم ویندوز شما اجرا شده است ، باید رایانه خود را با نرم افزار ضد بدافزار اسکن کنید ، زیرا این یکی از علائم آلودگی به بدافزار است.
در پایان ، فرایند مشتری Runtime Server یک جزء مهم ویندوز است که باید بطور مداوم اجرا شود. با این حال ، اگر می بینید چندین فرآیند در مدیر وظیفه در حال اجرا است ، باید بلافاصله از دیگر نرم افزارهای امنیتی قابل اعتماد برای حذف ویروس csrss.exe از دستگاه خود استفاده کنید.
برنامه های مخرب اجازه ورود مستقیم به سیستم را درخواست نمی کنند
تهدیدات سایبری خطرناک به روشی پیچیده ایجاد می شود تا اطمینان حاصل شود که می توانند حضور خود را پنهان کرده و از هرگونه فعالیت مشکوک در رایانه جلوگیری کنند. علاوه بر این ، مجرمان همچنین آنها را فرایندهای قانونی قانونی برای فریب کاربران می نامند. همچنین روش های توزیع پیچیده دیگری نیز وجود دارد که به مجرمان کمک می کند تا عفونت خود را دائمی کنند.
بنابراین ، مهم است بدانید که بدافزار می تواند به روش های زیر وارد شود:
- ایمیل های اسپم
- بسته بندی شده یا خراب نرم افزار
- صفحه کلید یا اجرایی مشابه
- وب سایت های مخرب
- از طریق رمزهای عبور ضعیف
- آسیب پذیری های نرم افزار و غیره
بنابراین ، همیشه در هنگام مرور اینترنت احتیاط کنید ، به خصوص در مورد ایمیل های اسپم ، زیرا این روش محبوب ترین روش پخش بدافزار است که توسط مجرمان سایبری مورد استفاده قرار می گیرد. ضمیمه ها را باز نکنید و در صورت لزوم اطمینان حاصل کنید که نامه قبل از باز کردن آن قانونی است.
در صورت لزوم از تهدید Csrss.exe خلاص شوید
لطفاً توجه داشته باشید که روند Windows Csrss.exe توسط مجرمان برای مخفی کردن تهدید در سیستم قابل استفاده است. اگرچه متخصصان NoVirus.uk می گویند تعیین اینکه آیا این دستگاه از نظر بالقوه خطرناک است یا نه ، دشوار است.
به عنوان یک قانون ، یک بدافزار خطرناک می تواند به خوبی پنهان شود و حتی از استفاده از مکانیسم AV جلوگیری کند ، بنابراین حذف نرم افزارهای مخرب Csrss.exe دشوار است. بهترین راه برای دستیابی به این قابلیت ها ورود به حالت ایمن با استفاده از درایور شبکه و انجام اسکن کامل سیستم با استفاده از است
