CSRSS.EXE: що це за процес і для чого він запущений?

Як вважається, у стандартному «Диспетчері завдань» дана служба у вигляді постійно працюючого активного процесу з'явилася з часу виходу модифікації Windows NT. Що це за процес (Csrss.exe) і для чого він потрібен, мало хто собі уявляє. З приводу даної служби слід дати особливі роз'яснення, оскільки сам процес може ставитися і до системних інструментів, без яких робота Windows в звичайному режимі може стати неможливою, і до вірусних апплетам, які просто маскуються під нього. Але це є тільки частина основної проблеми, оскільки навіть оригінальна служба може давати збої, які не завжди залежать навіть від власних дій, звичайно, не кажучи про різного роду погрози у вигляді виконуваних шкідливих кодів. Але давайте розглядати дану службу з точки зору її наявності в Windows в якості системнго компонента, а до вірусів перейдемо трохи пізніше.

Csrss.exe: що це за процес, і для чого він запущений у Windows-системах?

Для початку доведеться дати пояснення з приводу того, з якою метою розробники включили в операційну систему дану службу. Наскільки обов'язково її присутність? Що це за процес - Csrss.exe -, неважко зрозуміти, якщо звернутися до принципів розуміння запуску і роботи так званих консольних вікон на кшталт командного рядка або PowerShell. Їх пріоритет у Windows займає більш високе положення, ніж основний інтерфейс. Іншими словами, якщо б ця служба не була запущена в середовищі Windows можна було б працювати системою виключно шляхом введення відповідних команд для доступу до якихось елементів управління, основним або додатковим функціями на кшталт того, як це здійснювалось в DOS. І хоча офіційне опис свідчить, що даний процес відноситься до зв'язків клієнтських і серверних додатків, наприклад, з забезпеченням віддаленого доступу через відповідну підсистему, це не завжди так.

Що буде, якщо завершити процес Csrss.exe?

Деякі користувачі, бачачи навантаження на системні ресурси (підвищене використання обчислювальних здібностей центрального завантаження процесора і оперативної пам'яті), активний процес Csrss.exe помилково приймають за вірус.

Зупинимося На вірусах трохи пізніше. А поки кілька слів про оригінальною службі. Так, дійсно, така ситуація може спостерігатися, але ось завершення процесу може привести до самих непередбачуваних наслідків. Цілком може бути, що графічний інтерфейс Windows просто відключиться, і навіть перезапуск однією з основних служб explorer.exe (не плутати зі стандартним «Провідником») ні до чого не призведе. Навіть сама система відмовить у виконанні такої дії.

Проблеми з навантаженням на системні ресурси

Але давайте подивимося, чому процес Csrss.exe вантажить процесор і «з'їдає» відчутний обсяг оперативної пам'яті. Проблема тут скоріше не в збої операційної системи, а в кількості запущених фонових служб і додатків. Питання тут в тому, що раніше для вивантаження компонентів стартують програм в оперативну пам'ять використовувалася служба Rundll32 яка як раз і відповідала за приміщення динамічних бібліотек в ОЗП. Тепер же стартують програми звертаються до описуваного компоненту, який поєднує в собі функції завантаження бібліотек і використання графічного інтерфейсу.

Як відрізнити оригінальний процес від вірусу?

Отже, що це за процес (Csrss.exe), трохи розібралися. Тепер перейдемо до розгляду самої неприємної ситуації, яка пов'язана з появою в системі однойменних вірусних загроз. На жаль, ось так, з ходу виявити саме вірусний процес щодо ідентифікаторів процесів (SYSTEM, LOCAL тощо) не завжди представляється можливим. 2 процесу Csrss.exe в «Диспетчері завдань» - явище нормальне. Два, але не більше! Якщо бачите три і більше процесів, терміново вживайте заходів по усуненню загроз. Для цього досить використовувати меню ПКМ на зазначеному процесі та вибрати відображення місця розташування виконуваний EXE-файл, який відповідає за активацію процесу. Оригінальний файл завжди знаходиться в папці System32 головною директорії операційної системи і має розмір за замовчуванням не більше 6 Кб. Якщо подивитися на його властивості, в розширеному описі можна побачити і наявність цифрового підпису Microsoft. Всі вірусні файли будуть мати кардинальні відмінності.

Завершення активних процесів в Менеджері завдань»

Що це за процес (Csrss.exe), з'ясували. Тепер найголовніше - позбутися від вірусів таким чином, щоб це жодним чином не позначилося на оригінальній службі.

Після визначення місця розташування проблемних файлів слід зупинити пов'язані з ними процеси і спробувати зробити видалення шуканих об'єктів через «Провідник». В ньому такі операції можна здійснити не завжди, тому для отримання адміністративних прав краще скористатися програмами на кшталт FAR Manger або Total Commander.

Перевірка комп'ютера на віруси

Якщо це не допоможе, використовувати портативні утиліти для пошуку вірусів, які представляють собою розробки начебто KVRT або Dr. Web CureIt. Якщо вони не виявлять взагалі нічого, запишіть на знімний носій утиліту Rescue Disk, завантажитеся з її допомогою, виберіть тип інтерфейсу з переважним мовою і проскануйте систему до попереднього завантаження Windows. Результат не змусить себе чекати, оскільки такі утиліти визначають навіть ті віруси, які можуть перебувати в оперативній пам'яті і прихованих завантажувальних секторах жорсткого диску.

Розширені засоби

У разі коли така методика не спрацює, перезавантажте систему в безпечному режимі (для Windows нижче десятої модифікації використовується клавіша F8 при старті), використовуйте відповідний режим і повторіть описані вище дії.
Якщо вийде, відновіть останню вдалу конфігурацію, яка передувала появі збоїв. При завантаженні системи також можна звернутися в «Центр відновлення». Але в даному випадку мова йде виключно про режимі Safe Mode.

Додаткові рішення після нейтралізації загроз

Дуже може бути, що при проникненні вірусу виявляться пошкодженими системні файли, які вилікувати стандартними засобами антивірусних сканерів може виявитися неможливим. Завантаження аналогічних об'єктів з інтернету з приміщенням їх у відповідні локації нічого не дасть (принаймні, їх доведеться реєструвати за допомогою команди regsvr32). Якщо порушення роботи все ж спостерігається, куди простіше скористатися командним рядком з введенням команди перевірки і відновлення системних об'єктів sfc /scannow. Як один з варіантів: якщо система стартує, можете зробити відновлення системних бібліотек шляхом використання програми DLL Suite, яка здатна довантажувати відсутні компоненти з інтернету. Зрештою, використовуйте онлайн-відновлення за допомогою інструментарію DISM. Хоча б один з варіантів допоможе (або сканування, або відновлення). Але це, в принципі, можна назвати самою останньою методикою усунення проблеми, якщо вже зовсім нічого не працює. Плюс такого підходу полягає в тому, що в більшості випадків систему перевстановлювати не доведеться, а то ж багато користувачів саме цим і починають займатися.

Замість підсумку

Ну ось і все про системну службі Csrss.exe. Що це за процес (системний компонент або вірус), розібралися. Наскільки доцільно відключати його системних служб, думається, обговорювати не варто, оскільки в цьому випадку «злетить» вест інтерфейс системи. Проте при появі вірусів видаляти їх потрібно моментально. Рішення щодо позбавлення від загроз такого типу, наведені вище, дозволяють вирішити проблему, що називається, на всі сто. Використовуйте завантаження за допомогою дискової утиліти. Дуже може бути, що у вашій системі будуть визначені навіть ті загрози, про яких ви взагалі не підозрювали, а їх усунення або нейтралізація займуть мінімум часу та використання комп'ютерних ресурсів, після чого вся система прийде в норму.