Начиная с версий ОС Windows 2000 пользователь, открывая Диспетчер задач, видит в дереве активных процессов службу Csrss.exe. Что это такое, знают далеко не все юзеры. Сейчас мы рассмотрим эту тему, а заодно посмотрим, почему возникают ошибки и как с ними бороться.
Csrss.exe: что это?
Прежде всего стоит сказать, что служба Csrss.exe является важным системным процессом. Сокращение в названии файла происходит от Server Client Runtime Subsystem, что в переводе можно трактовать как "подсистема взаимодействия сервера и клиента".
Если быть более точным, то процесс Csrss.exe является прослойкой, обеспечивающей взаимодействие между серверной и клиентской частями «операционки».
Описание процесса
Давайте подробнее рассмотрим процесс Csrss.exe. Что за процесс мы имеем и как он работает, будет понятно на простом примере. Можно привести в качестве наглядного примера, допустим, установленные пользователем приложения, которые запускаются именно благодаря этой службе.
Однако наилучшим вариантом является обеспечение доступа юзера ко всем возможностям системы посредством графического интерфейса. Служба Csrss.exe отвечает и за это.
В некотором смысле ее можно сравнить с процессом Rundll.32, только этот процесс взаимодействует исключительно с динамическими библиотеками, а служба Csrss.exe работает в более широком аспекте, отвечая за запуск и системных, и пользовательских процессов.
Расположение файла программы
Если говорить о файле программы, стандартным месторасположением является путь C:\Windows\System32. Файл Csrss.exe расположен именно в папке System32 и не может находиться нигде больше.
Отсюда следует простейший вывод: в диспетчере задач пользователь не должен наблюдать более одного процесса Csrss.exe. Это, как говорится, де-факто. Правда, иногда возникает ситуация, когда, например, в диспетчере задач «висит» несколько служб Csrss.exe. Два процесса и более – явный признак присутствия вируса, хотя бывают и исключения из правил.
Так, например, в зависимости от версии ОС Windows таких процессов может быть более одного. Действительно, такие ситуации встречаются. К примеру, в Windows 7 или 8 два процесса Csrss.exe могут присутствовать в диспетчере задач одновременно, но не более. А вот если их уже больше двух, тогда дело плохо. Придется с этим бороться, тем более что многие вирусы могут запросто маскироваться под системные службы. Но об этом будет сказано несколько позже.
Почему служба Csrss.exe грузит процессор?
Вот теперь мы подходим к разрешению нелицеприятной ситуации, когда этот процесс слишком активно использует системные ресурсы, нагружая оперативную память и центральный процессор до предела.
Изначально, как это и было задумано разработчиками, процесс Csrss.exe не должен занимать в «оперативке» более 3000 Кб (при нормальной работе). Если посмотреть на использование ресурсов процессора, то здесь обычно высвечивается значение, равное нулю, или немного больше. Это «немного больше» выражается не более чем в долях процента. Так что если пользователь наблюдает нагрузку, соизмеримую с десятками процентов, нужно принимать экстренные меры.
Подозрение на вирусы
Начнем с того, что сегодня можно встретить достаточно много вирусов, маскирующихся под системный процесс Csrss.exe. Что это именно в понимании заражения компьютера? А вот что. Вирус, во-первых, самокопируется, размещая копии с одноименным названием (Csrss.exe) в папках, используемых для хранения временных файлов Интернета, перемещает собственные копии на USB-накопители и т.д. Как уже понятно, все запущенные копии можно увидеть в диспетчере задач.
При этом если даже просматривать данные о размещении файла или командную строку, рядовой пользователь ничего подозрительного может и не увидеть. Все данные будут просто идентичны между собой. Далее мы рассмотрим несколько способов, использование которых позволит бороться с такими негативными проявлениями.
Простейшие способы исправления ситуации
Начнем с простейшего. Итак, имеем подозрение на вирус, замаскированный под процесс Csrss.exe. Как лечить систему в данном случае? Проще простого. Для начала нужно «пройтись» по системе мощным антивирусным сканером, установленным в системе, либо использовать онлайн сканеры.
Какому антивирусу отдать предпочтение, пользователь решает сам. Но в данном конкретном случае луше использовать утилиты помощнее, скажем, того же «Касперского» или Eset NOD32. Очень интересной штукой является «облачный» сканер Panda, который совмещает в себе возможности штатных стандартных антивирусов и онлайн сканеров. Суть не в этом.
Иногда могут встречаться ситуации, что антивирусное ПО угроз, связанных с этим процессом, не обнаруживает. Вирусы ведь становятся в своем поведении намного изощреннее. Иногда на пользовательском компьютерном терминале просто может быть установлен слабенький антивирус и т. д. Что делать в этом случае?
Тут можно посоветовать ручное вмешательство. Конечно, можно покопаться в реестре, поудалять ненужные ключи или восстановить поврежденные, но можно поступить намного проще. Самым простым средством является тот же диспетчер задач. Если пользователь видит в нем несколько процессов, нагружающих систему до невозможности, можно попробовать завершать каждый из них поочередно. В случае если процесс окажется вирусом, ничего страшного не произойдет. Он завершится, только и всего.
Если же завершение работы будет применено к оригинальной службе, сама ОС Windows тут же выдаст сообщение с запросом, действительно ли пользователь хочет завершить данный процесс (Do you want to end this process?), а также с предупреждением, что завершение процесса может повлиять на стабильность рабты системы. Заметьте, такое сообщение высвечивается исключительно при обращении к настоящему файлу Csrss.exe.
Удаление файлов
Теперь посмотрим, что можно сделать после того, как мы обнаружили в системе угрозу и завершили соответствующие процессы в диспетчере задач. Нам нужно найти все подозрительные файлы и удалить их вручную.
Для этого используем сочетание клавиш Win + F для вызова поисковой системы Windows. В поле поиска прописываем название файла (в данном случае Csrss.exe), а сам поиск производим на всех жестких дисках, логических разделах и съемных носителях. Съемные носители нужно задействовать обязательно (естественно, в случае появления угрозы, когда они были подключены к компьютерному терминалу или ноутбуку), поскольку одним из проявлений самопроизвольного копирования вирусов этого типа является именно перемещение своих копий на обычные флэшки или винчестеры USB-HDD. Наверное, уже понятно, что если избавиться от вируса в самой системе, при повторном подключении съемного USB-носителя заражения не миновать.
Поиск может занять достаточно много времени, но лучше потерпеть. После того как поиск будет окончен, а в результатах отобразятся все найденные файлы с таким именем, необходимо каждый из них проверить хотя бы на наличие цифровой подписи. Правым кликом на каждом файле вызываем меню «Свойства».
На вкладке «Подробно» у настоящего файла дожа быть цифровая подпись (авторские права Microsoft, название продукта, месторасположение, а главное – размер 6 Кб). Теперь все файлы, не соответствующие этим критериям, можно удалить без зазрения совести.
Правда, иногда удаление произвести окажется невозможным, или файлы будут замаскированы настолько, что система их не найдет. В этой ситуации придется использовать специальные сканеры, обычно называемые Rescue Disc. Их преимущество в том, что загрузка антивирусного ПО происходит еще до того, как начнет стартовать ОС Windows. Как показывает практика, такие утилиты способны определять и удалять вирусы в 99,9% случаев из ста.
Заключение
Итак, мы рассмотрели процесс Csrss.exe. Что это такое, думается, хоть немного стало понятно. В принципе, сам процесс, если он грузит систему и является единственным в списке, принудительно лучше не завершать, а проверить систему антивирусом. Вполне может быть, что файл просто поврежден или заражен. Вышеописанные действия применяются только в случае обнаружения в системе нескольких процессов Csrss.exe.
