Csrss.exe - що за процес? Як видалити процес Csrss.exe?

Користувачі Windows з часу виходу версії NT стали помічати в «Диспетчері завдань» постійно працюючу службу Csrss.exe. Що за процес Csrss.exe з рядових юзерів мало хто розбирається. Саме тому далі буде запропоновано розглянути його трохи докладніше, а заодно з'ясувати причини підвищення з його боку навантаження на ресурси комп'ютера і розглянути питання проникнення в систему вірусів, які можуть маскуватися під цей компонент.

Csrss.exe: що за процес видно в «Диспетчері завдань»?

Почнемо з того, що спочатку вірусним аплетом, як думають деякі користувачі, ця служба не є. Це критично важливий системний аплет, який запускається разом з операційною системою. Скорочення в назві утворено від англійського Client Server Runtime Subsystem (підсистема, за функціонування якої відповідає виконуваний файл Csrss.exe) – процес виконання «клієнт-сервер» при доступі до функціоналу системи і запускаються додатками. Програми і системні і користувальницькі) уже не використовують для завантаження власних бібліотек в оперативну пам'ять процеси начебто Rundll32 а безпосередньо звертаються до вищевказаної службі.

Csrss.exe MUI: що це за процес?

Іноді можна спостерігати і поява однойменного процесу (і файлів) з додаванням скорочення MUI. Знову ж, у багатьох юзерів відразу ж виникають підозри на віруси. Це не так, оскільки оригінальна служба являє собою всього лише мультимовну підсистему, яка відповідає, грубо кажучи, за переклад інтерфейсу Windows на встановлений мову за замовчуванням.

Як служба працює на практиці?

Тепер подивимося, як функціонує ця служба. Хай вас не збентежує, що підсистема відноситься до типу звернень «клієнт-сервер» і забезпечує зв'язок між клієнтською і серверною частиною самої системи. Так, дійсно, служба активно використовується при організації того ж доступу до віддаленого Робочого стола», але основне її призначення не в цьому.

Що за процес Csrss.exe у Windows 7 або в системах іншого рангу, неважко собі уявити, якщо уважно подивитися на інтерфейс ОС. Всі звикли, що доступ до якихось функцій, запуск програм і багато іншого здійснюється виключно через графічний інтерфейс з використанням вікон і кнопок. Якраз за цю можливість і відповідає описувана служба. Грубо кажучи, якщо б її не було, працювати з Windows можна було тільки через консольні вікна у вигляді командного рядка, як це раніше було в DOS. Таким чином, стає зрозуміло, що дану службу видалити або відключити не вийде ні під яким приводом (Windows це зробити не дозволить). Але ж іноді можна помітити, що шуканий процес з невідомих причин починає настільки активно використовувати системні ресурси, що вся система починає гальмувати і зависати, не кажучи вже про більш критичне поведінці.

Що робити, якщо процес навантажує системні ресурси?

Якщо така ситуація спостерігається в дійсності, завершувати процес в «Диспетчері завдань» не рекомендується (про віруси поки мова не йде). Оптимальним варіантом стане закриття всіх активних на даний момент програм та повне перезавантаження комп'ютера (а не зміна одного користувача на іншого). По ідеї, після рестарту все прийде в норму. У звичайному активному стані служба споживає максимум близько 2000 Кб оперативної пам'яті, а навантаження на процесор не перевищує кількох десятих часток відсотка.

Як визначити, що це вірус?

Але досить часто можна зустріти і ситуації, пов'язані з проникненням маскуються під системний процес вірусів. З'ясувати, чи дійсно це сталося, можна зовсім просто. Справа в тому, що в «Диспетчері завдань» зазвичай відображається тільки один процес. Два процесу Csrss.exe – теж нормально (особливо, якщо мова йде про Windows 7 і вище). Більша кількість – явна ознака вірусного впливу. При спробі завершення оригінального процесу система видасть попередження щодо того, чи дійсно користувач хоче зупинити обрану службу, а потім відмовить у виконанні дії. При виконанні аналогічних дій з вірусними апплетами, попередження не буде. Для того, щоб переконатися, що один або декілька процесів являють собою вірусні погрози, використовуйте меню ПКМ на вибраній службі в «Диспетчері завдань» з відображенням місця розташування файлу, що відповідає за процеси. Оригінальний об'єкт завжди розташовується в теці System32 основної папки Windows і має розмір близько 6 Кб.

Крім того, якщо звернутися до властивостей оригінального файлу через меню ПКМ в «Провіднику», на вкладці дані можна побачити наявність цифрового підпису Microsoft. Як вже зрозуміло, вірусні об'єкти її не містять, або вона відрізняється.

Видалення загроз

Що за процес Csrss.exe (вірусний або системний), розібралися. Тепер кілька слів про найпоширеніші методики видалення загроз. Зазвичай віруси цього типу як окремо встановлених додатків в розділі програм і компонентів ніколи не відображаються, тому після знаходження файлів загроз їх слід спробувати відразу ж видалити. Надії на можливість видалення мало, оскільки самі віруси можуть містити вбудовані засоби захисту від видалення, а при спробі твори таких дій, що ще гірше, можуть створювати власні копії, від яких потім позбутися буде ще складніше. Але тоді як видалити процес Csrss.exe якщо це дійсно вірус? Для початку скористайтеся будь-яким портативним антивірусним сканером. Відмінно підійде Dr. Web CureIt!, тільки для сканування відзначте всі диски і логічні розділи.
Більш повно перевірити систему можна з використанням спеціальних програм з загальним назвою Rescue Disk, які записуються на знімні носії, а вже з них проводиться завантаження комп'ютера до старту Windows (пристрій обов'язково встановлюється першим для завантаження у відповідних налаштуваннях BIOS/UEFI). Далі необхідно вибрати мову, графічний інтерфейс і відзначити для перевірки не тільки всі диски, але і завантажувальні області, і приховані розділи. У більшості випадків саме такі утиліти знаходять навіть ті грози, які можуть інтегрувати свої компоненти в оперативну пам'ять, з їх повною нейтралізацією.

Замість підсумку

Ось, власне, і все з приводу того, що за процес Csrss.exe. Якщо підвести короткий підсумок, варто зазначити, що користувач може зіткнутися і з оригінальною службою, і з вірусами. Чіпати оригінальний процес вкрай небажано, а от з погрозами, які підміняють собою системні процеси, можна і треба боротися. Якщо навантаження на ресурси спостерігається саме з боку оригінального процесу, можливо, справа навіть не в ньому, а в самій системі і її компонентах, які з активним процесом пов'язані лише непрямим чином. У цьому випадку можна порадити встановити оптимізатор і виконати повну перевірку. Якщо і це не допоможе, використовуйте командну консоль, наприклад, для сканування і відновлення системних компонентів (sfc /scannow) або для перевірки жорсткого диска (варіації команди chkdsk).