Se traballas a miúdo co Xestor de tarefas de Windows, non podías evitar notar que o obxecto CSRSS.EXE está sempre presente na lista de procesos. Descubrimos cal é este elemento, como é importante para o sistema e se está cheo de perigo para o ordenador.
Detalles de CSRSS.EXE
CSRSS.EXE é executado polo ficheiro do sistema co mesmo nome. Está presente en todos os sistemas operativos de Windows, comezando pola versión de Windows 2000. Podes velo executando o Task Manager (combinación Ctrl + Maiúsculas + Esc) na lapela "Procesos". O xeito máis doado de atopalo é construíndo os datos nunha columna. "Nome da imaxe" por orde alfabética.
Hai un proceso CSRSS separado para cada sesión. Polo tanto, nos ordenadores ordinarios, dous procesos deste tipo son lanzados simultaneamente e nas computadoras do servidor o seu número pode chegar a ducias. Non obstante, a pesar de que se descubriu que pode haber dous ou, nalgúns casos, aínda máis procesos, todos eles corresponden só a un ficheiro CSRSS.EXE.
Para ver todos os obxectos CSRSS.EXE activados no sistema a través do Administrador de tarefas, faga clic na inscrición "Procesos de visualización de todos os usuarios".
Despois diso, se estás a traballar de xeito habitual, máis que unha instancia de Windows do lado do servidor, aparecerán na lista de Administradores de tarefas dous elementos de CSRSS.EXE.
Funcións
En primeiro lugar, descubriremos por que este elemento é requirido polo sistema.
O nome "CSRSS.EXE" é unha abreviatura para "Subsistema de execución de cliente-servidor", que se traduce do inglés como "Subsistema de execución de cliente-servidor". É dicir, o proceso serve como unha especie de enlace entre as áreas cliente e servidor do sistema Windows.
Este proceso é necesario para mostrar o compoñente gráfico, é dicir, o que vemos na pantalla. Primeiro de todo, está implicado cando o sistema está apagado e ao desinstalar ou instalar un tema. Sen CSRSS.EXE, tamén será imposible iniciar consolas (CMD, etc.). O proceso é necesario para o funcionamento dos servizos de terminal e para a conexión remota ao escritorio. O ficheiro que estamos estudando tamén procesa varios fíos de SO no subsistema Win32.
Ademais, se CSRSS.EXE se completa (non importa como: caer ou forzar ao usuario), o sistema caerá, o que levará á aparición de BSOD. Así, podemos dicir que o funcionamento de Windows sen o proceso activo CSRSS.EXE é imposible. Polo tanto, detelo debe obrigarse só se está seguro de que foi substituído por un obxecto de virus.
Localización do ficheiro
Descubrimos onde está CSRSS.EXE que está fisicamente situado no disco duro. Pode obter información sobre isto usando o mesmo xestor de tarefas.
- Despois de que o modo de visualización de tarefas dos procesos de todos os usuarios estea configurado no Administrador de tarefas, faga clic co botón dereito sobre calquera dos obxectos baixo o nome "CSRSS.EXE". Na lista de contexto, seleccione "Abrir a ubicación de almacenamento de ficheiros".
- En Explorador Abrirase o directorio de localización do ficheiro desexado. Podes descubrir o seu enderezo resaltando a barra de enderezos da xanela. Mostra o camiño ao cartafol de ubicación do obxecto. A dirección é a seguinte:
C: Windows System32
Agora, coñecendo a dirección, pode ir ao directorio de localización do obxecto sen usar o Task Manager.
- Aberto Explorador, introduce ou pega na súa barra de enderezos o enderezo anteriormente copiado. Faga clic Introduza ou faga clic na icona de frecha á dereita da barra de enderezos.
- Explorador abrirá o directorio de localización CSRSS.EXE.
Identificación do ficheiro
Ao mesmo tempo, non son raras as situacións nas que varias aplicacións de virus (rootkits) están disfrazadas de CSRSS.EXE. Neste caso, é importante identificar que ficheiro mostra un CSRSS.EXE específico no Xestor de tarefas. Entón, descubrimos en que condicións debe atraer a atención o proceso indicado.
- Primeiro de todo, deberían aparecer preguntas se no Administrador de tarefas no modo de visualización dos procesos de todos os usuarios dun sistema regular, máis que nun sistema servidor, verás máis de dous obxectos CSRSS. Un deles é moi probable un virus. Ao comparar obxectos, preste atención ao consumo de memoria. En condicións normais, establécese un límite de 3000 Kb para CSRSS. Observe no Administrador de tarefas o indicador correspondente na columna "Memoria". Exceder o límite anterior significa que algo está mal no ficheiro.
Ademais, débese notar que normalmente este proceso prácticamente non carga en absoluto o procesador central (CPU). Ás veces está permitido aumentar o consumo dos recursos da CPU ata varios por cento. Pero, cando a carga está no dez por cento, significa que ou o ficheiro en si é viral, ou algo está mal no conxunto do sistema.
- No Administrador de tarefas na columna "Usuario" ("Nome de usuario") fronte ao obxecto obxecto de estudo debe necesariamente ser o valor "Sistema" ("SISTEMA"). Se hai outra inscrición que aparece alí, incluído o nome do perfil de usuario actual, entón cun alto grao de certeza podemos dicir que estamos ante un virus.
- Ademais, pode comprobar a autenticidade dun ficheiro intentando forzar o seu funcionamento. Para iso, selecciona o nome do obxecto sospeitoso "CSRSS.EXE" e fai clic na inscrición "Completar o proceso" no xestor de tarefas.
Despois, debería abrirse un cadro de diálogo, que di que deter o proceso especificado levará a cabo o sistema. Por suposto, non é preciso detelo, polo que fai clic no botón Cancelar. Pero a aparición de tal mensaxe xa é unha confirmación indirecta de que o ficheiro é xenuíno. Se falta a mensaxe, isto significa que o ficheiro é falso.
- Tamén se pode obter información sobre a autenticidade do ficheiro a partir das súas propiedades. Fai clic no nome do obxecto sospeitoso no Administrador de tarefas co botón dereito do rato. Na lista de contexto, seleccione "Propiedades".
Ábrese a xanela de propiedades. Vai á lapela "Xeral". Preste atención ao parámetro "Localización". A ruta ao directorio de localización do ficheiro debería corresponder ao enderezo que mencionamos anteriormente:
C: Windows System32Se hai algún outro enderezo alí indicado, isto significa que o proceso é falso.
Na mesma pestana preto do parámetro Tamaño do ficheiro debería ter 6 KB. Se hai un tamaño diferente especificado alí, o obxecto é falso.
Vai á lapela "Detalles". Parámetro próximo Dereitos de autor debe valer Microsoft Corporation ("Corporación Microsoft").
Por desgraza, aínda que se cumpren todos os requisitos anteriores, o ficheiro CSRSS.EXE pode ser viral. O feito é que un virus non só pode disfrazarse de obxecto, senón tamén infectar un arquivo real.
Ademais, o problema do consumo excesivo de recursos do sistema CSRSS.EXE pode ser causado non só por un virus, senón tamén por danos no perfil de usuario. Neste caso, pode tentar "retroceder" o SO a un punto de restauración anterior ou crear un novo perfil de usuario e traballar xa nel.
Eliminación de ameazas
Que facer se ves que CSRSS.EXE non é causado polo ficheiro orixinal do sistema operativo, senón por un virus? Imos supoñer que o seu antivirus regular non podería identificar o código malicioso (se non, nin sequera notaría o problema). Por iso, imos dar outros pasos para eliminar o proceso.
Método 1: Scan Antivirus
Primeiro de todo, busque o sistema cun escáner antivirus fiable, por exemplo Dr.Web CureIt.
É de destacar que se recomenda dixitalizar o sistema por virus a través do modo seguro de Windows, durante o cal só funcionarán aqueles procesos que aseguren o funcionamento básico do ordenador, é dicir, o virus "dormirá" e será moito máis doado atopalo deste xeito.
Ler máis: Acceda ao modo seguro a través de BIOS
Método 2: eliminación manual
Se a pescuda fallou, pero ve claramente que o ficheiro CSRSS.EXE non está no directorio no que debería estar, entón terá que usar o procedemento de eliminación manual.
- No Administrador de tarefas, resalte o nome correspondente ao obxecto falso e faga clic no botón "Completar o proceso".
- Despois de usar Condutor vai ao directorio de localización do obxecto. Pode ser calquera directorio agás un cartafol "Sistema32". Fai clic co botón dereito sobre un obxecto e selecciona Eliminar.
Se non pode deter o proceso no Administrador de tarefas ou eliminar un ficheiro, apaga o ordenador e inicie sesión en Modo seguro. F8 ou combinación Maiúsculas + F8 ao arrancar, dependendo da versión do SO). A continuación, realice o procedemento para eliminar o obxecto do seu directorio de localización.
Método 3: Restauración do sistema
E finalmente, se nin o primeiro nin o segundo método trouxeron o resultado axeitado e non se podería desfacerse do proceso de virus disfrazado de CSRSS.EXE, a función de recuperación do sistema fornecida en Windows pode axudarche.
A esencia desta función é que seleccione un dos puntos de retroceso existentes, o que lle permitirá devolver o sistema completamente ao período de tempo seleccionado: se non houbo virus no ordenador no momento seleccionado, esta ferramenta eliminaraa.
Esta función tamén ten un lateral para a moeda: se os programas se instalaron despois de crear un punto ou outro, ingresáronse axustes neles, etc. - isto afectará da mesma forma. A restauración do sistema non afecta só aos ficheiros de usuario, que inclúen documentos, fotos, vídeos e música.
Ler máis: como restaurar o sistema operativo Windows
Como vedes, na maioría dos casos CSRSS.EXE é un dos procesos máis importantes para o funcionamento do sistema operativo. Pero ás veces pode ser iniciado por un virus. Neste caso, é necesario levar a cabo o procedemento de eliminación de acordo coas recomendacións deste artigo.
