csrss.exe: Что это за процесс и является ли он вирусом в Windows?

Что это такое

Csrss.exe – это процесс исполнения клиент-сервера, который в диспетчере задач активирован не в едином экземпляре. Обычно, неотъемлемых частей Виндовс два и более. Он в ответе за:

• Программы, реализуемые через CMD (еще их называют консольные).
• Процедуру выключения.
• Включение другого нужного процесса «conhost.exe».
• Прочие опции, необходимые для адекватной штатной работы системы.

Отключить и, тем более, удалить процесс «csrss.exe» нельзя из-за дестабилизации ОС. Он активируется самостоятельно во время запуска Windows 7, 8, 10. При отключении процесс исполнения клиент-сервер (ели вам это все же удалось), вы получите BSOD-ошибку (на синем экране) с кодовым номером:

0xC000021A

Как определить, что это вирус

В первую очередь необходимо убедиться, что файл находится в правильной директории. Для этого запустите Диспетчер задач, нажмите правой кнопкой мыши на процессе и выберите «Перейти к расположению файла». Если проводник откроет вам папку C:WindowsSystem32, тогда вы имеете дело с обычным компонентом системы. В противном случае, скорее всего, это вирус. Дополнительным средством проверки станут антивирусные ПО. Запустите полную или глубокую проверку, после чего приложение покажет вам возможные угрозы.

Процесс грузит ЦП

Для слабых компьютеров нормальная практика, что системные процессы грузят память. Но если же у вас подозрение, что вместо системного файла в диспетчере засел «вирус» и потребляет драгоценные ресурсы центрального процессора, сделайте следующее:

Нажмите ПКМ по «cexe» и тапните раздел «Открыть расположение файла».

Расположение файла должно быть в системной папке System32, что размещена на диске «С:» в папке Windows.

Если все верно, это в 99.9% не вирус.

При нажатии ПКМ на файл и выборе «Свойства», можно окончательно удостоверится в безобидности файла, изучив закладку «Подробно».

В имени осматриваемого файла (выделено на рисунке) должна быть указана ОС Виндовс.

А «Цифровые подписи» должны содержать инфо об этом файле, в частности, что тот подписан «Майкрософт Windows Publisher».

Если директория отличимая от указанной выше, то в csrss.exe мог закрасться вредоносный код. Проверить на вирусы запущенные функции диспетчера задач поможет утилита CrowdInspect.

При большой нагрузке на процессор через оригинальный процесс csrss.exe, рекомендуется проверить опции питания, в частности гибернацию:

Если опция активирована и недавно в ней был уменьшен файл «hiberfil.sys». Попробуйте вернуть его в штатное состояние. Для этого в командной строке выполните команду:

powercfg /h /type full

При проявлении проблемы после «большого апдейта» Виндовс – убедитесь, что ноутбук получил все оригинальные драйвера на чипсет, материнку, ACPI (то есть вы их установили с диска, с сайта разработчика из раздела поддержки вашей модели ноутбука, или с площадок производителей компонентов ПК).

Когда причину определить невозможно, реализуйте утилиту Process Explorer от Майкрософт, чтобы ознакомится с проблемным процессом поближе.

Работая с утилитой:

Найдите процесс в списке и двойным кликом откройте его свойства.

На закладке «Threads» через сортировку по ЦПУ определите значение нагрузки на ЦП.

В столбце «Старт Адресс» будет указана DLL-библиотека, которая задействована в нем.

Скопируйте название DLL в поисковую строку браузера и узнайте, к какому компоненту принадлежит эта библиотека.

Если есть возможность, деинсталлируйте и заново установите этот компонент в ОС Виндовс.

Как узнать сsrss.exe – это вирус

В процессе ответа на вопрос, что такое csrss.exe, важно место занимает вопрос «фейковых» процессов csrss, которые в большинстве случаев являются банальными вирусами. Ныне известно несколько таких вирусов (Backdoor.Win32., Nimda.E, Trojan.Generic.KDV, Trojan.Downloader.Agent.BL и ряд других), которые активничают на ПК под именем csrss.exe. Для их идентификации и удаления можно воспользоваться как известными антивирусными инструментами (Dr.Web CureIt!, Trojan Remover, Malware Anti-Malware и др.), так и поискать файлы с названием csrss.exe с помощью функции поиска на ПК.

Для осуществления такого поиска нажмите на клавиши Win+F, в строке поиска справа вбейте csrss.exe и нажав на ввод дожидайтесь результатов.

Потом кликните на каждом найденном файле csrss.exe один раз, нажмите на нём правой клавишей мыши, выберите «Свойства».

Перейдите на вкладку «Подробно» и там убедитесь, что авторские права принадлежат Майкрософт (аутентичный файл). В ином случае это может быть очередной зловред.

Проверяем авторские права

Дополнительные меры

Решить проблему с нагрузкой csrss.exe на ЦП могут следующие методы:

Создайте новую учетную запись. Выйдите из текущей (не сменить, а выйти) и авторизуйтесь через новую. Проверьте, наблюдается ли проблема с данным процессом через нового юзера. Если в новом пользователе все в порядке, попробуйте откатиться к стабильному состоянию ОС через точки восстановления. Радикальное решение – перебраться на нового пользователя.

Проверьте ПК на присутствие в системе зловредов, мальваров и прочих вирусов. Рекомендуется это проделать с помощью нескольких портативных антивирусов от разных производителей. Проделать это стоит даже тогда, когда на ПК уже установлено антивирусное ПО.

Смотрим мою инструкцию по ускорению компьютера: Windows 10.

Windows 7.

Почему служба csrss.exe грузит процессор

Csrss – это пользовательская среда подсистемы Win32. Он обрабатывает пользовательский режим Windows API и графические API-вызовы, передавая их ядру. Следовательно, это довольно уязвимый компонент (поэтому в нём проявляются различные проблемы с производительностью). Причин, почему csrss.exe сильно грузит процессор, может быть достаточно много. Например, чрезмерно большой объём и заполнение Корзины. На современных дисках размер Корзины по умолчанию слишком большой, и 1-2 ГБ в большинстве случаев будет вполне достаточно.

Загрузка процессора также может быть связана с плохой обработкой метрик в программах, что используют множество шрифтов (обычно это текстовые приложения или приложения для редактирования документов, веб-браузеры и другие программы для отображения текста, такие как программы просмотра PDF). Если устройство используется и другими пользователями, проверьте запуск других приложений. Некоторые программы, которые вводят потоки в другие процессы (например, ProcessExplorer) или функции системы захвата (например, брандмауэры), могут плохо взаимодействовать с другими программами и csrss.

Информация о файле csrss.exe

Описание: The Client Server Runtime Subsystem реализовывает пользовательский режим 32-битных версий операционных систем Windows 2000, XP, 2003, Vista и Server 2008. В современных версиях Windows наиболее важные функции были перенесены в режим ядра, но csrss.exe все еще является весьма важным процессом, отвечающим за обмен между приложениями и ядром, и управление потоками.

Подробный анализ: csrss.exe часто вызывает проблемы и необходим для Windows. Csrss.exe находится в папке C:WindowsSystem32. Известны следующие размеры файла для Windows 10/8/7/XP 6,144 байт (96% всех случаев), 7,680 байт и еще 5 варианта . Это системный файл Windows. Это файл, подписанный Microsoft. Приложение не видно пользователям. Поэтому технический рейтинг надежности 3% опасности

.

Вирусы с тем же именем файла

Является ли csrss.exe вирусом? Нет, это не вирус. Настоящий файл csrss.exe — это безопасный системный процесс Microsoft Windows, который называется «Client Server Runtime Process». Тем не менее, авторы зловредных программ, таких как вирусы, черви, и трояны намеренно называют процессы таким же именем, чтобы избежать обнаружения. Вирусы с тем же именем файлов: в частности, Trojan-Dropper.Win32.VB.ased или Backdoor.Win32.Gbot.bs (определяется антивирусом Kaspersky), и Win32:Rootkit-gen (определяется антивирусом Avast). Чтобы убедиться, что работающий csrss.exe на вашем компьютере — это не вредоносный процесс, нажмите здесь, чтобы запустить Проверку на вирусы.

Как распознать подозрительные процессы?

• Если csrss.exe находится в папке C:Windows, тогда рейтинг надежности 69% опасности
  . Размер файла 1,559,319 байт (34% всех случаев), 1,556,916 байт и еще 15 варианта . Это неизвестный файл в папке Windows. Приложение не видно пользователям. Это не системный процесс Windows. Процесс использует порт, чтобы присоединится к сети или интернету.
• Если csrss.exe находится в подпапках «C:UsersUSERNAME», тогда рейтинг надежности 70% опасности
  . Размер файла 92,161 байт (3% всех случаев), 79,872 байт и еще 56 варианта . Это не системный процесс Windows. Приложение не видно пользователям. Нет информации о создателе файла. Процесс начинает работу при запуске Windows (Смотрите ключ реестра: Run , win.ini , MACHINERun , Userinit , WinlogonShell ). Csrss.exe способен мониторить приложения.
• Если csrss.exe находится в подпапках «C:Program Files», тогда рейтинг надежности 67% опасности
  . Размер файла 13,179,660 байт (7% всех случаев), 1,380,864 байт и еще 22 варианта .
• Если csrss.exe находится в папке Windows для хранения временных файлов , тогда рейтинг надежности 69% опасности
  . Размер файла 187,904 байт (10% всех случаев), 175,104 байт и еще 15 варианта .
• Если csrss.exe находится в подпапках C:Windows, тогда рейтинг надежности 72% опасности
  . Размер файла 350,208 байт (20% всех случаев), 199,010 байт и еще 7 варианта .
• Если csrss.exe находится в подпапках C:WindowsSystem32, тогда рейтинг надежности 80% опасности
  . Размер файла 122,880 байт (80% всех случаев) или 353,280 байт.
• Если csrss.exe находится в подпапках Windows для хранения временных файлов, тогда рейтинг надежности 80% опасности
  . Размер файла 13,179,660 байт.
• Если csrss.exe находится в подпапках диска C:, тогда рейтинг надежности 56% опасности
  . Размер файла 1 байт (33% всех случаев), 184,320 байт или 70,144 байт.
• Если csrss.exe находится в папке C:WindowsSystem32drivers, тогда рейтинг надежности 62% опасности
  . Размер файла 152,125 байт.

Важно: Некоторые вредоносные программы маскируют себя как csrss.exe, особенно, если они расположены не в каталоге C:WindowsSystem32. Таким образом, вы должны проверить файл csrss.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.

Что делать, если процесс нагружает системные ресурсы?

Если такая ситуация наблюдается в действительности, завершать процесс в «Диспетчере задач» не рекомендуется (о вирусах пока речь не идет).

Оптимальным вариантом станет закрытие всех активных в данный момент программ и полная перезагрузка компьютера (а не смена одного пользователя на другого). По идее, после рестарта все придет в норму. В обычном активном состоянии служба потребляет максимум около 2000 Кб оперативной памяти, а нагрузка на процессор не превышает нескольких десятых долей процента.

Удаление угроз

Что за процесс Csrss.exe (вирусный или системный), разобрались. Теперь несколько слов о самых распространенных методиках удаления угроз.

Обычно вирусы этого типа в качестве отдельно установленных приложений в разделе программ и компонентов никогда не отображаются, поэтому после нахождения файлов угроз их следует попытаться сразу же удалить. Надежды на возможность удаления мало, поскольку сами вирусы могут содержать встроенные средства защиты от удаления, а при попытке произведения таких действий, что еще хуже, могут создавать собственные копии, от которых потом избавиться будет еще сложнее.

Но тогда как удалить процесс Csrss.exe, если это действительно вирус? Для начала воспользуйтесь каким-нибудь портативным антивирусным сканером. Отлично подойдет Dr. Web CureIt!, только для сканирования отметьте все диски и логические разделы.

Более полно проверить систему можно с использованием специальных программ с общим названием Rescue Disk, которые записываются на съемные носители, а уже с них производится загрузка компьютера до старта Windows (устройство обязательно устанавливается первым для загрузки в соответствующих настройках BIOS/UEFI).

Далее необходимо выбрать язык, графический интерфейс и отметить для проверки не только все диски, но и загрузочные области, и скрытые разделы. В большинстве случаев именно такие утилиты находят даже те грозы, которые могут интегрировать свои компоненты в оперативную память, с их полной нейтрализацией.