عملية CSRSS.EXE
إذا كنت تعمل في كثير من الأحيان مع إدارة مهام Windows ، لا يمكن إلا أن تلاحظ وجود كائن CSRSS.EXE دومًا في قائمة العمليات. دعونا نعرف ما هو العنصر المحدد ، ما مدى أهمية النظام وما إذا كان هناك خطر على الكمبيوتر.
حول CSRSS.EXE
يتم تنفيذ CSRSS.EXE بواسطة ملف نظام بالاسم نفسه. وهو موجود في كافة أنظمة تشغيل Windows من Windows 2000. يمكنك رؤيتها عن طريق تشغيل Task Manager (مجموعة Ctrl + Shift + Esc ) في علامة التبويب "العمليات" . أسهل طريقة للعثور عليه هي عن طريق إنشاء البيانات في العمود "اسم الصورة" بترتيب أبجدي.
لكل جلسة ، هناك عملية CSRSS منفصلة. لذلك ، على جهاز كمبيوتر نموذجي ، يتم تشغيل عمليتين من هذا القبيل في وقت واحد ، وعلى أجهزة الكمبيوتر الخادم يمكن أن يصل عددهم إلى عشرات. ومع ذلك ، على الرغم من حقيقة أنه تم العثور على أنه يمكن أن يكون هناك عمليات اثنين ، وفي بعض الحالات أكثر من ذلك ، هناك يتوافق فقط مع ملف واحد CSRSS.EXE.
لمشاهدة كافة الكائنات CSRSS.EXE تنشيط في النظام من خلال "إدارة المهام" ، انقر فوق "إظهار العمليات من كافة المستخدمين" .
بعد ذلك ، إذا كنت تعمل في نسخة عادية ، وليس نسخة من خادم ويندوز ، ثم في قائمة إدارة المهام سيكون هناك عنصرين CSRSS.EXE.
وظائف
بادئ ذي بدء ، دعونا معرفة السبب في هذا العنصر مطلوب من قبل النظام.
الاسم "CSRSS.EXE" هو اختصار لـ "عميل - خادم Runtime Subsystem" ، والتي تعني باللغة الإنجليزية "النظام الفرعي وقت تشغيل العميل الملقم". بمعنى ، العملية بمثابة ارتباط فريد في مناطق العميل والملقم لنظام Windows.
هذه العملية ضرورية لعرض مكون الرسومات ، وهو ما نراه على الشاشة. يتم استخدامه أولاً وقبل كل شيء في نهاية النظام ، وكذلك عند حذف موضوع أو تثبيته. بدون CSRSS.EXE سيكون من المستحيل أيضًا بدء تشغيل وحدات التحكم (CMD ، إلخ). هذه العملية ضرورية لتشغيل خدمات المحطة الطرفية وللاتصال عن بعد بسطح المكتب. الملف الذي ندرسه أيضًا بمعالجة مجموعة متنوعة من مؤشرات الترابط OS في النظام الفرعي Win32.
علاوة على ذلك ، في حالة اكتمال CSRSS.EXE (بغض النظر عن: تحطم أو إجبار المستخدم) ، ينتظر النظام حدوث عطل ، مما سيؤدي إلى ظهور الموت الزرقاء. وبالتالي ، يمكن أن نقول أن أداء ويندوز دون عملية نشطة CSRSS.EXE أمر مستحيل. لذلك ، يجب إيقافه بالقوة فقط إذا كنت متأكداً من أنه تم استبداله بكائن فيروس.
موقع الملف
الآن دعونا معرفة مكان CSRSS.EXE موجود فعليًا على محرك الأقراص الثابتة. يمكنك الحصول على معلومات حول هذا الأمر باستخدام نفس مدير المهام.
- بعد في "إدارة المهام" يتم تعيين وضع عرض عمليات كافة المستخدمين ، انقر بزر الماوس الأيمن فوق أي من الكائنات تحت اسم "CSRSS.EXE" . في قائمة السياق ، حدد "فتح تخزين الملفات" .
- في Explorer ، سيتم فتح دليل موقع الملف المطلوب. يمكنك معرفة عنوانه من خلال تحديد شريط العنوان الخاص بالنافذة. فإنه يعرض المسار إلى مجلد الموقع للكائن. العنوان هو كما يلي:
C:WindowsSystem32
الآن ، مع معرفة العنوان ، يمكنك الانتقال إلى دليل الموقع للكائن دون استخدام إدارة المهام.
- افتح Explorer ، اكتب أو ألصق في شريط العنوان الخاص به نسخة سبق نسخها ، العنوان أعلاه. انقر على Enter أو انقر على الرمز في شكل سهم على يسار شريط العناوين.
- سيقوم المستكشف بفتح الدليل لموقع CSRSS.EXE.
تحديد الملف
في نفس الوقت ، ليس من غير المعتاد لمجموعة متنوعة من تطبيقات الفيروسات (rootkits) إلى حفلة تنكرية مثل CSRSS.EXE. في هذه الحالة ، من المهم تحديد بالضبط أي ملف يعرض CSRSS.EXE معينة في إدارة المهام. لذا ، دعونا نعرف تحت أي ظروف يجب أن تجذب العملية المعينة انتباهك.
- أولاً ، يجب أن تظهر الأسئلة إذا رأيت أكثر من كائنين CSRSS في إدارة المهام في وضع عرض عمليات جميع المستخدمين في النظام المعتاد ، بدلاً من الخادم. واحد منهم هو على الأرجح فيروس. عند مقارنة الأشياء ، والانتباه إلى استهلاك ذاكرة الوصول العشوائي. في ظل الظروف العادية ، يتم تعيين حد 3000 كيلوبايت لـ CSRSS. انتبه إلى المؤشر المقابل في عمود " الذاكرة " في مدير المهام. تجاوز الحد المذكور أعلاه يعني أن هناك خطأ ما في الملف.
![يعرض الذاكرة التي تحتلها عملية CSRSS.EXE في إدارة المهام]()
بالإضافة إلى ذلك ، تجدر الإشارة إلى أن هذه العملية عادة لا يتم تحميل المعالج المركزي (CPU) على الإطلاق. في بعض الأحيان يسمح لزيادة استهلاك موارد وحدة المعالجة المركزية لعدة في المئة. ولكن عندما يتم حساب الحمل بعشرات بالمائة ، فهذا يعني أن الملف نفسه هو فيروس ، أو أن هناك خطأ ما في النظام ككل.
- في إدارة المهام ، في العمود "اسم المستخدم" ، يجب أن تكون قيمة "SYSTEM" ( "SYSTEM ") دائمًا أمام الكائن قيد الدراسة. إذا كان هناك نقش آخر معروض ، بما في ذلك اسم ملف تعريف المستخدم الحالي ، يمكننا أن نقول بأننا نتعامل مع فيروس بقدر كبير من الثقة.
- بالإضافة إلى ذلك ، يمكنك التحقق من أصالة الملف بمحاولة إيقافه بقوة. للقيام بذلك ، حدد الاسم "CSRSS.EXE" من الكائن المشبوه وانقر فوق "إنهاء العملية" في " إدارة المهام".
![تصحيح عملية CSRSS.EXE في إدارة المهام]()
بعد ذلك ، يجب فتح مربع حوار يشير إلى أن إيقاف العملية المحددة سيؤدي إلى إيقاف تشغيل النظام. بطبيعة الحال ، لا تحتاج إلى إيقافها ، لذلك انقر فوق الزر "إلغاء" . لكن ظهور مثل هذه الرسالة هو بالفعل تأكيد غير مباشر بأن الملف أصلي. إذا كانت الرسالة غير موجودة ، فهذا يعني بالضبط أن الملف مزيف.
- أيضا ، يمكن استخلاص بعض البيانات حول أصالة الملف من خصائصه. انقر فوق اسم الكائن المشبوه في Task Manager (إدارة المهام) باستخدام زر الماوس الأيمن. في قائمة الاختصارات ، حدد خصائص .
![انتقل إلى إطار خصائص عملية CSRSS.EXE عبر قائمة السياق في "إدارة المهام"]()
نافذة الخصائص تفتح. انتقل إلى علامة التبويب عام. انتبه إلى خيار "الموقع" . يجب أن يتوافق المسار إلى دليل موقع الملف مع العنوان المذكور أعلاه:
C:WindowsSystem32إذا كان هناك أي عنوان آخر مدرج ، فهذا يعني أن العملية مزورة.
في نفس علامة التبويب بالقرب من المعلمة "حجم الملف" يجب أن تكون قيمة 6 كيلو بايت. إذا كان هناك حجم مختلف ، فإن الكائن مزيف.
![إطار خصائص العملية CSRSS.EXE]()
انتقل إلى علامة التبويب التفاصيل . يجب تعيين المعلمة "حقوق النشر" إلى "Microsoft Corporation" ( "Microsoft Corporation" ).
ولكن ، لسوء الحظ ، حتى إذا تم استيفاء كافة المتطلبات المذكورة أعلاه ، يمكن أن يكون الملف CSRSS.EXE الفيروس. والحقيقة هي أن الفيروس لا يمكن أن يتنكر فقط ككائن ، بل يصيب أيضًا ملفًا حقيقيًا.
بالإضافة إلى ذلك ، يمكن أن تنتج مشكلة استهلاك الموارد الزائد من نظام CSRSS.EXE ليس فقط من قبل الفيروس ، ولكن أيضا بسبب تلف ملف تعريف المستخدم. في هذه الحالة ، يمكنك محاولة "استعادة" نظام التشغيل إلى نقطة استرداد سابقة أو إنشاء ملف تعريف مستخدم جديد والعمل فيه بالفعل.
القضاء على التهديد
ما الذي يمكنك القيام به إذا اكتشفت أن CSRSS.EXE لا يحدث بسبب ملف نظام التشغيل الأصلي ، ولكن بسبب فيروس؟ سننطلق من حقيقة أن برنامج مكافحة الفيروسات العادي لم يتمكن من التعرف على الشفرة الضارة (وإلا لن تلاحظ المشكلة). لذلك ، سنتخذ خطوات أخرى للقضاء على هذه العملية.
الطريقة 1: فحص مكافحة الفيروسات
أولاً ، قم بفحص النظام باستخدام ماسح ضوئي موثوق به لمكافحة الفيروسات ، على سبيل المثال برنامج Dr.Web CureIt .
تجدر الإشارة إلى أنه من المستحسن مسح النظام بحثًا عن الفيروسات من خلال الوضع الآمن لـ Windows ، حيث تعمل فقط العمليات التي تضمن عمل الكمبيوتر الأساسي ، أي أن الفيروس سوف "ينام" وسيكون من الأسهل العثور عليه.
اقرأ المزيد: نحن ندخل "الوضع الآمن" عبر BIOS
الطريقة الثانية: الإزالة اليدوية
إذا لم يعمل الفحص ، ولكنك ترى بوضوح أن الملف CSRSS.EXE ليس في الدليل الذي يجب أن يكون عليه ، ففي هذه الحالة ، سيتعين عليك تطبيق إجراء الإزالة اليدوية.
- في "إدارة المهام" ، حدد الاسم المطابق للكائن المزيف ، وانقر فوق الزر "إنهاء العملية" .
- ثم استخدم Explorer للانتقال إلى دليل موقع الكائن. يمكن أن يكون هذا أي دليل آخر غير المجلد "System32" . انقر على الكائن بزر الفأرة الأيمن واختر "حذف" .
إذا لم تتمكن من إيقاف العملية في "إدارة المهام" أو حذف الملف ، فقم بإيقاف تشغيل الكمبيوتر والانتقال إلى "الوضع الآمن" ( المفتاح F8 أو Shift + F8 عند بدء التشغيل ، وفقًا لإصدار نظام التشغيل). ثم نفذ الإجراء الخاص بحذف الكائن من دليل الموقع الخاص به.
الطريقة الثالثة: استعادة النظام
وأخيرًا ، إذا لم تسفر الطريقتان الأولى والثانية عن النتيجة المناسبة ، ولم تتمكن من التخلص من عملية الفيروس المتخفية في صورة CSRSS.EXE ، فيمكنك مساعدة النظام على استعادة الوظيفة المتوفرة في Windows.
يتمثل جوهر هذه الوظيفة في اختيار إحدى نقاط التراجع الموجودة ، والتي ستسمح للنظام بالعودة تمامًا إلى الفترة الزمنية المحددة: إذا لم يكن الفيروس موجودًا على الكمبيوتر في اللحظة المحددة ، فستسمح هذه الأداة بإزالته.
تحتوي هذه الوظيفة أيضًا على الجانب العكسي للعملة: إذا تم إنشاء البرامج بعد إنشاء نقطة معينة ، تم إدخال الإعدادات فيها ، وهكذا - وهذا تمامًا كما تلمسه. لا يؤثر استعادة النظام على ملفات المستخدم فقط ، والتي تشمل المستندات والصور ومقاطع الفيديو والموسيقى.
اقرأ المزيد: كيفية استعادة نظام التشغيل ويندوز
كما ترون ، في معظم الحالات CSRSS.EXE هي واحدة من أهم العمليات لتشغيل نظام التشغيل. لكن في بعض الأحيان يمكن تشغيله بفيروس. في هذه الحالة ، من الضروري تنفيذ الإجراء الخاص بإزالتها وفقًا للتوصيات الواردة في هذه المقالة.