فرمت های فایل

CSRSS.EXE روند

اگر شما اغلب با مدیر وظیفه ویندوز کار می کنید، نمی توانید کمک کنید، اما توجه داشته باشید که شی CSRSS.EXE همیشه در لیست روند است. بیایید پیدا کنیم که این عنصر چیست، چقدر مهم است برای سیستم و اینکه آیا برای کامپیوتر خطرناک است یا خیر.

CSRSS.EXE اطلاعات

CSRSS.EXE توسط فایل سیستم با همین نام اجرا می شود. این در تمام سیستم عامل ویندوز وجود دارد، با شروع از نسخه ویندوز 2000. شما می توانید آن را با اجرای Task Manager (ترکیب Ctrl + Shift + ESC ) در تب "Processes" ببینید . ساده ترین راه برای پیدا کردن آن است با ساختن داده ها در ستون "نام تصویر" به ترتیب حروف الفبا.

روند CSRSS.EXE در وظیفه مدیریت

برای هر جلسه، یک فرآیند CSRSS جداگانه وجود دارد. بنابراین، در رایانه های معمولی، دو پروسه به طور همزمان راه اندازی می شوند و در رایانه های سرور تعداد آنها می تواند به ده ها نفر برسد. با این وجود، علیرغم اینکه متوجه شدیم که دو پروسه وجود دارد و در بعضی موارد حتی بیشتر، تنها یک پرونده CSRSS.EXE با همه آنها مطابقت دارد.

برای دیدن همه اشیا CSRSS.EXE در سیستم از طریق Task Manager فعال شده، بر روی عنوان «نمایش فرآیندهای تمام کاربران» کلیک کنید .

انتقال به نمایش فرآیندهای تمام کاربران در مدیر وظیفه

پس از آن، اگر شما به طور منظم و نه به عنوان مثال سرور از ویندوز کار می کنید، در بخش Task Manager دو مورد CSR.EXE ظاهر می شود.

دو CSRSS.EXE در مدیریت وظیفه پردازش می شود

توابع

اول از همه، متوجه شوید که چرا این عنصر توسط سیستم مورد نیاز است.

نام "CSRSS.EXE" مخفف "Subsystem Runtime Client-Server" است که به معنای "زیرسیستم زمان اجرا Client-server" به زبان انگلیسی است. به این معناست که این فرایند به عنوان یک نوع ارتباط بین سرویس گیرنده و بخش های سرور سیستم ویندوز عمل می کند.

این فرایند برای نمایش جزء گرافیکی مورد نیاز است، یعنی آنچه که ما بر روی صفحه نمایش می بینیم. این عمدتا در خاموش کردن سیستم و همچنین هنگام حذف یا نصب یک تم درگیر است. بدون CSRSS.EXE، راه اندازی کنسول (CMD، و غیره) غیر ممکن خواهد بود. این فرآیند برای استفاده از خدمات ترمینال و اتصال از راه دور به دسکتاپ ضروری است. پرونده ما در حال مطالعه نیز انواع موضوعات OS در زیر سیستم Win32 را مدیریت می کند.

علاوه بر این، اگر CSRSS.EXE تکمیل شود (مهم نیست که چطور: اورژانسی یا مجبور شده توسط کاربر)، سپس سیستم سقوط خواهد کرد، که منجر به ظهور BSOD خواهد شد. بنابراین، می توان گفت که عملکرد ویندوز بدون فرآیند فعال CSRSS.EXE غیرممکن است. بنابراین، مجبور است آن را متوقف کند، فقط اگر مطمئن هستید که با یک شیء ویروس جایگزین شده است.

محل فایل

در حال حاضر ما پیدا کردن جایی که CSRSS.EXE به طور فیزیکی بر روی هارد دیسک قرار دارد. شما می توانید اطلاعات مربوط به این را با استفاده از همان Task Manager دریافت کنید.

  1. پس از اینکه حالت کار برای نمایش فرآیندهای تمام کاربران در Task Manager تنظیم شده است، بر روی هر یک از موارد زیر نام "CSRSS.EXE" کلیک راست کنید. در لیست چارچوب، "باز کردن محل ذخیره فایل" را انتخاب کنید.

    2. به محل ذخیره سازی فایل CSRSS.EXE از طریق منوی زمینه در Task Manager بروید

  2. اکسپلورر مکان دایرکتوری فایل دلخواه را باز می کند. شما می توانید آدرس خود را با برجسته کردن نوار آدرس پنجره ببینید. این مسیر را به محل پوشه شیء نمایش می دهد. آدرس به شرح زیر است:

    C:WindowsSystem32

آدرس پوشه ذخیره سازی فایل CSRSS.EXE در ویندوز اکسپلورر

اکنون، با دانستن آدرس، می توانید بدون استفاده از Task Manager به دایرکتوری از محل شیء بروید.

  1. اکسپلورر را باز کنید، در نوار آدرس آن یک آدرس قبلا کپی شده در بالا مشخص کنید یا آن را وارد کنید. روی Enter یا روی نماد فلش سمت راست نوار آدرس کلیک کنید.

    2. به فایل محلی CSRSS.EXE با استفاده از Windows Explorer بروید

  2. اکسپلورر مکان CSRSS.EXE را باز می کند.

فایل CSRSS.EXE در ویندوز اکسپلورر

شناسایی پرونده

در عین حال، موارد متعددی وجود دارد که برنامه های مختلف ویروس (rootkits) به عنوان CSRSS.EXE پوشیده شده اند. در این مورد، مهم است که مشخص شود کدام فایل CSRSS.EXE خاص را در مدیریت Task نمایش می دهد. بنابراین، در چه شرایطی مشخص می شود که فرآیند باید توجه شما را جلب کند.

  1. اول از همه، اگر در مديريت وظيفه در حالت نمايش فرآيندهاي تمامي کاربران در يک سيستم منظم، و نه يک سيستم سرور، سوالات بايد ظاهر شوند، شما بيش از دو object CSRSS را مشاهده مي کنيد. یکی از آنها احتمالا یک ویروس است. مقایسه اشیاء، توجه به مصرف RAM. در شرایط عادی، محدودیت 3000 کیلوبایت برای CSRSS تعیین می شود. در "Task Manager" به نشانگر مربوطه در ستون " Memory " توجه کنید. بیش از حد بالا به این معنی است که چیزی با فایل اشتباه است.

    نمایش حافظه CSRSS.EXE پردازش شده در Task Manager را نشان می دهد

    علاوه بر این، لازم به ذکر است که معمولا این روند عملا پردازنده مرکزی (CPU) را بارگیری نمی کند. گاهی اوقات مجاز است مصرف منابع CPU را تا چند درصد افزایش دهد. اما هنگامی که بار در دهها درصد محاسبه می شود، به این معنی است که یا فایل به صورت ویروسی است یا در کل سیستم چیزی اشتباه است.

    2. نمایش بار در پردازنده مرکزی فرآیند CSRSS.EXE در مدیر وظیفه

  2. در «مدیر وظیفه»، در ستون «کاربر» ( «نام کاربری» )، در مقابل شیء مورد مطالعه، باید مقدار «سیستم» ( «سیستم ») وارد شود. اگر یک کتیبه دیگر نمایش داده شود، از جمله نام نمایه کاربر فعلی، ما می توانیم با اطمینان کامل بگوییم که ما با یک ویروس برخورد می کنیم.

    3. نام کاربری فرآیند CSRSS.EXE در Task Manager

  3. علاوه بر این، می توانید تأیید صحت فایل را با تلاش برای خاتمه دادن به عملیات آن، تأیید کنید. برای انجام این کار، نام "CSRSS.EXE" را از شیء مشکوک انتخاب کنید و بر روی عنوان "End Process" در Task Manager کلیک کنید.

    تکمیل روند CSRSS.EXE در مدیر وظیفه

    بعد از این، یک جعبه محاوره ظاهر می شود، که متوقف کردن فرایند مشخص شده منجر به خاموش شدن سیستم خواهد شد. به طور طبیعی، لازم نیست آن را متوقف کنید، بنابراین بر روی دکمه "لغو" کلیک کنید. اما ظاهر چنین پیامی قبلا یک تأیید غیرمستقیم از این واقعیت است که فایل واقعی است. اگر پیام وجود ندارد، قطعا این بدان معنی است که فایل جعلی است.

    4. اخطار در مورد اتمام روند CSRSS.EXE

  4. همچنین، برخی از اطلاعات مربوط به صحت فایل را می توان از خواص آن محاسبه کرد. با کلیک بر روی نام شیء مشکوک در Task Manager با کلیک راست موس را کلیک کنید. در فهرست زمینه، "خواص" را انتخاب کنید.

    به پنجره Properties از CSRSS.EXE از طریق منوی زمینه در Task Manager بروید

    پنجره ویژگی ها باز می شود. به برگه عمومی بروید گزینه "Location" را یادداشت کنید مسیر به دایرکتوری محل فایل باید با آدرسی که قبلا در بالا ذکر شد، باشد:

    C:WindowsSystem32

    اگر آدرس دیگری در لیست وجود دارد، به این معنی است که این روند جعلی است.

    در همان برگه، در کنار پارامتر "اندازه فایل"، باید مقدار 6 کیلوبایت باشد. اگر اندازه های مختلفی وجود داشته باشد، جسم جعلی است.

    CSRSS.EXE پنجره Properties process

    به زبانه جزئیات بروید در کنار «کپی رایت» باید «مایکروسافت» ( Microsoft Corporation ) باشد.

کپی رایت در نمایه پنجره CSRSS.EXE

اما، متاسفانه، حتی اگر تمام الزامات بالا را برآورده کند، فایل CSRSS.EXE ممکن است ویروسی باشد. واقعیت این است که ویروس نه تنها می تواند خود را به عنوان یک شی، بلکه یک فایل واقعی را آلوده کند.

علاوه بر این، مشکل بیش از حد از منابع سیستم CSRSS.EXE می تواند نه تنها توسط یک ویروس، بلکه همچنین با آسیب به مشخصات کاربر ایجاد شود. در این حالت می توانید سعی کنید OS را به یک نقطه بازیابی قبلی بازگردانید یا یک پروفایل کاربر جدید ایجاد کرده و در حال کار در آن هستید.

حذف تهدید

چه باید بکنید اگر متوجه شدید که CSRSS.EXE نه توسط فایل اصلی OS، بلکه توسط یک ویروس ایجاد می شود؟ ما از این واقعیت پیروی می کنیم که آنتی ویروس کارکنان شما نمی تواند کد مخرب را شناسایی کند (در غیر این صورت شما حتی متوجه مشکل نخواهید شد). بنابراین، ما اقدامات دیگری را برای از بین بردن این روند انجام خواهیم داد.

روش 1: آنتی ویروس اسکن

اول از همه، به عنوان مثال، سیستم را با یک اسکنر قابل اعتماد ضد ویروس اسکن کنید Dr.Web CureIt .

سیستم Dr.Web CureIt را برای ویروس ها اسکن می کند!

شایان ذکر است که توصیه می شود که سیستم را از طریق حالت ایمن ویندوز، برای ویروس ها اسکن کنید، در حالی که کارهایی که فقط آن فرایندهایی که عملکرد اساسی کامپیوتر را انجام می دهند، کار خواهند کرد، یعنی ویروس "خواب" خواهد بود و این کار بسیار آسان تر خواهد بود.

جزئیات بیشتر: از طریق بایوس وارد "حالت ایمن" شوید

روش 2: حذف دستی

اگر اسکن نتایج نداشته باشد، اما شما به وضوح خواهید دید که فایل CSRSS.EXE در پوشه ای قرار ندارد که در آن قرار باشد، در این صورت شما باید یک روش حذف دستی را اعمال کنید.

  1. در وظیفه مدیر، نام مربوط به شی جعلی را انتخاب کنید و روی دکمه End Process کلیک کنید.

    2. پایان دادن به فرآیند جعلی CSRSS.EXE در Task Manager

  2. پس از آن، با استفاده از Explorer، به دایرکتوری مکان جسم بروید. این می تواند هر دایرکتوری غیر از پوشه "System32" باشد. با کلیک راست بر روی شیء و انتخاب "حذف" را انتخاب کنید .

حذف ویروس CSRSS.EXE از طریق منوی زمینه در ویندوز اکسپلورر

اگر نتوانید روند را در Task Manager متوقف کنید یا فایل را حذف کنید، کامپیوتر را خاموش کرده و وارد حالت Safe Mode (کلید F8 یا Shift + F8 هنگام شروع، بسته به نسخه سیستم عامل). سپس روش حذف یک شی را از دایرکتوری موقعیت مکانی آن انجام دهید.

روش 3: بازگرداندن سیستم

و در نهایت، اگر نه روش اول و نه روش نتیجه نهایی بدست آمد و شما نمی توانید خلاص شدن از فرآیند ویروس به عنوان CSRSS.EXE، ویژگی بازیابی سیستم ارائه شده توسط سیستم عامل ویندوز می تواند به شما کمک کند.

شروع به بازگرداندن سیستم

ماهیت این تابع این است که شما یکی از نقاط رولپینگ موجود را انتخاب کنید، که به سیستم اجازه می دهد تا به طور کامل به دوره زمانی انتخابی بازگردد: اگر در لحظه انتخاب شده هیچ ویروس بر روی کامپیوتر وجود نداشته باشد، این ابزار اجازه می دهد آن را از بین ببریم.

این تابع همچنین یک طرف معکوس از مدال دارد: اگر پس از ایجاد یک نقطه دیگر، برنامه ها نصب شد، تنظیمات به آنها وارد شد، و غیره - این به همان شیوه تاثیر می گذارد. بازگرداندن سیستم فقط فایل های کاربر را شامل نمی شود که شامل اسناد، عکس ها، فیلم ها و موسیقی است.

جزئیات بیشتر: چگونه برای بازیابی ویندوز

همانطور که می بینید، در بیشتر موارد، CSRSS.EXE یکی از مهم ترین کارکرد فرایند سیستم عامل است. اما گاهی اوقات می تواند توسط ویروس ایجاد شود. در این مورد لازم است که روش حذف آن مطابق توصیه های ارائه شده در این مقاله انجام شود.