Введение
Подсистема CSRSS – client/server run-time subsystem (клиент-серверная подсистема) – это часть исполнительной подсистемы Windows, которая отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS. Это мы знаем, но, к сожалению, на этом вся документированность CSRSS заканчивается.
Наверное, это один из самых загадочных кирпичиков Windows. И это не только загадочный, но и чувствительный кирпичик, так как процесс CSRSS.EXE – единственный, которому присваивается эпитет «критичный», и вмешательство в его нормальное исполнение грозит крахом всей системы. Упомяну такую деталь – на весь (!) зоопарк BSOD’ов, который только может сгенерировать ядро Windows, только два багчека: 0x0000004C (FATAL_UNHANDLED_HARD_ERROR) и 0xC000021A (STATUS_SYSTEM_PROCESS_TERMINATED) происходят при крахе его юзермодных процессов – это процессы winlogon.exe и csrss.exe. Без этих двух процессов Windows существовать не может. И самое печальное – во втором случае, если будет установлено, что причиной «синего экрана» стал отказ csrss.exe (как правило, в результате действия малвари), то это будет фатальный случай, приводящий к переустановке системы (или ее аварийному восстановлению).
CSRSS берет свои настройки не из реестра, как может показаться на первый взгляд, а из командной строки, которая выглядит примерно так:
В общем, на мой взгляд, основная задача CSRSS все-таки заключается в своеобразном контроле над созданием и уничтожением процессов и потоков. А раз так, то нельзя недооценивать те возможности, которые в нем скрыты.
Информация о файле csrss.exe
Описание: The Client Server Runtime Subsystem реализовывает пользовательский режим 32-битных версий операционных систем Windows 2000, XP, 2003, Vista и Server 2008. В современных версиях Windows наиболее важные функции были перенесены в режим ядра, но csrss.exe все еще является весьма важным процессом, отвечающим за обмен между приложениями и ядром, и управление потоками.
Подробный анализ: csrss.exe часто вызывает проблемы и необходим для Windows. Csrss.exe находится в папке C:WindowsSystem32. Известны следующие размеры файла для Windows 10/8/7/XP 6,144 байт (96% всех случаев), 7,680 байт и еще 5 варианта . Это системный файл Windows. Это файл, подписанный Microsoft. Приложение не видно пользователям. Поэтому технический рейтинг надежности 3% опасности
Вирусы с тем же именем файла
Является ли csrss.exe вирусом? Нет, это не вирус. Настоящий файл csrss.exe — это безопасный системный процесс Microsoft Windows, который называется «Client Server Runtime Process». Тем не менее, авторы зловредных программ, таких как вирусы, черви, и трояны намеренно называют процессы таким же именем, чтобы избежать обнаружения. Вирусы с тем же именем файлов: в частности, Trojan-Dropper.Win32.VB.ased или Backdoor.Win32.Gbot.bs (определяется антивирусом Kaspersky), и Win32:Rootkit-gen (определяется антивирусом Avast). Чтобы убедиться, что работающий csrss.exe на вашем компьютере — это не вредоносный процесс, нажмите здесь, чтобы запустить Проверку на вирусы.
Как распознать подозрительные процессы?
- Если csrss.exe находится в папке C:Windows, тогда рейтинг надежности 69% опасности . Размер файла 1,559,319 байт (34% всех случаев), 1,556,916 байт и еще 15 варианта . Это неизвестный файл в папке Windows. Приложение не видно пользователям. Это не системный процесс Windows. Процесс использует порт, чтобы присоединится к сети или интернету.
- Если csrss.exe находится в подпапках «C:UsersUSERNAME», тогда рейтинг надежности 70% опасности . Размер файла 92,161 байт (3% всех случаев), 79,872 байт и еще 56 варианта . Это не системный процесс Windows. Приложение не видно пользователям. Нет информации о создателе файла. Процесс начинает работу при запуске Windows (Смотрите ключ реестра: Run , win.ini , MACHINERun , Userinit , WinlogonShell ). Csrss.exe способен мониторить приложения.
- Если csrss.exe находится в подпапках «C:Program Files», тогда рейтинг надежности 67% опасности . Размер файла 13,179,660 байт (7% всех случаев), 1,380,864 байт и еще 22 варианта .
- Если csrss.exe находится в папке Windows для хранения временных файлов , тогда рейтинг надежности 69% опасности . Размер файла 187,904 байт (10% всех случаев), 175,104 байт и еще 15 варианта .
- Если csrss.exe находится в подпапках C:Windows, тогда рейтинг надежности 72% опасности . Размер файла 350,208 байт (20% всех случаев), 199,010 байт и еще 7 варианта .
- Если csrss.exe находится в подпапках C:WindowsSystem32, тогда рейтинг надежности 80% опасности . Размер файла 122,880 байт (80% всех случаев) или 353,280 байт.
- Если csrss.exe находится в подпапках Windows для хранения временных файлов, тогда рейтинг надежности 80% опасности . Размер файла 13,179,660 байт.
- Если csrss.exe находится в подпапках диска C:, тогда рейтинг надежности 56% опасности . Размер файла 1 байт (33% всех случаев), 184,320 байт или 70,144 байт.
- Если csrss.exe находится в папке C:WindowsSystem32drivers, тогда рейтинг надежности 62% опасности . Размер файла 152,125 байт.
Важно: Некоторые вредоносные программы маскируют себя как csrss.exe, особенно, если они расположены не в каталоге C:WindowsSystem32. Таким образом, вы должны проверить файл csrss.exe на вашем ПК, чтобы убедиться, что это угроза
Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Инфекция вредоносного ПО
Csrss.exe могут устанавливаться самостоятельно, копируя исполняемый файл в системные папки Windows, а затем изменяют реестр для его автозапуска при каждом включении системы. Если компьютер с вирусом csrss. exe, он связывается с удалённым хостом для следующих целей:
- сообщать о заражении ПК своему производителю;
- получать конфигурацию или другие данные;
- загружать и исполнять произвольные файлы (включая обновления или дополнительные вредоносные программы);
- получать инструкцию от злоумышленника;
- загрузка данных с заражённого компьютера.
Он исправляет следующий подраздел: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Чтобы удалить поддельный файл, используют программы:
- Rkill, чтобы остановить вредоносный процесс.
- Malwarebytes для удаления вирусной программы.
- HitmanPro для сканирования нежелательных процессов.
- Zemana AntiMalware Portable для двойной проверки на наличие вредоносных файлов.
- Emsisoft Emergency Kit для сканирования ПК.
RKill — программа, прекращающая все вредоносные процессы, связанные с заражением. Однако утилита только останавливает и не удаляет файлы, поэтому после запуска нужно перезагрузить компьютер. Malwarebytes — это мощный сканер по требованию, который удаляет рекламное ПО, ответственное за вирус
Важно отметить, что Malwarebytes работает вместе с антивирусным ПО без конфликтов
При работе появляется всплывающее окно управления учётными записями пользователей, дающих разрешение внести изменения в устройство. Антивирус автоматически запустится, обновит свою базу и будет помещать в карантин все вредоносные файлы и ключи реестра, которые нашёл.
Информация о файле csrss.exe
Процесс Client Server Runtime Process или Процесс исполнения клиент-сервер или Microsoft Malware Protection Command Line Utility или MyB Microsoft или hla или sdfzsdf.ele или Virage или FrostWire Launcher
принадлежит программе Microsoft Windows Operating System или Операционная система Microsoft Windows или Процесс исполнения клиент-сервер или hla или MyB или Verbal или Virage или NSSM 32-bit
от Microsoft (www.microsoft.com) или Microsoft Corporation. All rights reserved или Процесс исполнения клиент-сервер или FrostWire или xStarter Solutions или Valve (www.valvesoftware.com) или GhanianNecessaryMashing или Triplex REDai.
Описание: The Client Server Runtime Subsystem реализовывает пользовательский режим 32-битных версий операционных систем Windows 2000, XP, 2003, Vista и Server 2008. В современных версиях Windows наиболее важные функции были перенесены в режим ядра, но csrss.exe все еще является весьма важным процессом, отвечающим за обмен между приложениями и ядром, и управление потоками.
Подробный анализ: csrss.exe часто вызывает проблемы и необходим для Windows. Файл csrss.exe находится в папке C:\Windows\System32.
Известны следующие размеры файла для Windows 10/8/7/XP 6,144 байт (94% всех случаев), 15,544 байт и .
Это системный процесс Windows. Это файл, подписанный Microsoft. У процесса нет видимого окна.
Поэтому технический рейтинг надежности 3% опасности.
Рекомендуем: Выявление проблем, связанных с csrss.exe
Является ли csrss.exe вирусом? Нет, это не вирус. Настоящий файл csrss.exe — это безопасный системный процесс Microsoft Windows, который называется «Client Server Runtime Process».
Тем не менее, авторы зловредных программ, таких как вирусы, черви, и трояны намеренно называют процессы таким же именем, чтобы избежать обнаружения. Вирусы с тем же именем файлов: в частности, Mal/VB-EM (определяется антивирусом Sophos), и Gen:Heur.Bodegun.1 или Trojan.Generic.4347776 (определяется антивирусом F-Secure).
Чтобы убедиться, что работающий csrss.exe на вашем компьютере — это не вредоносный процесс, нажмите здесь, чтобы запустить Проверку на вирусы.
Как распознать подозрительные процессы?
- Если csrss.exe находится в подпапках C:\Windows, тогда рейтинг надежности 76% опасности. Размер файла 350,208 байт (2% всех случаев), 3,992,064 байт и .
Это не файл Windows. Нет более детального описания программы. У процесса нет видимого окна. Процесс слушает или шлет данные на открытые порты в сети или по интернету.
Csrss.exe способен мониторить приложения и манипулировать другими программами. - Если csrss.exe находится в папке C:\Windows, тогда рейтинг надежности 68% опасности. Размер файла 1,559,319 байт (32% всех случаев), 1,556,916 байт и .
Это неизвестный файл в папке Windows. Это не системный процесс Windows. У процесса нет видимого окна. Процесс слушает или шлет данные на открытые порты в сети или по интернету.
Csrss.exe способен мониторить приложения. - Если csrss.exe находится в подпапках «C:\Users\USERNAME», тогда рейтинг надежности 72% опасности. Размер файла 79,872 байт (4% всех случаев), 199,010 байт и .
- Если csrss.exe находится в подпапках «C:\Program Files», тогда рейтинг надежности 77% опасности. Размер файла 1,380,864 байт (10% всех случаев), 1,267,712 байт и .
- Если csrss.exe находится в подпапках диска C:\, тогда рейтинг надежности 54% опасности. Размер файла 319,496 байт (25% всех случаев), 70,144 байт, 1 байт или 184,320 байт.
- Если csrss.exe находится в папке Windows для хранения временных файлов , тогда рейтинг надежности 49% опасности. Размер файла 258,560 байт (25% всех случаев), 354,801 байт, 262,337 байт или 122,880 байт.
- Если csrss.exe находится в подпапках Windows для хранения временных файлов, тогда рейтинг надежности 80% опасности. Размер файла 13,179,660 байт.
- Если csrss.exe находится в подпапках C:\Windows\System32, тогда рейтинг надежности 92% опасности. Размер файла 353,280 байт (50% всех случаев) или 122,880 байт.
- Если csrss.exe находится в папке C:\Windows\System32\drivers, тогда рейтинг надежности 62% опасности. Размер файла 152,125 байт.
- Если csrss.exe находится в подпапках «C:\Program Files\Common Files», тогда рейтинг надежности 36% опасности. Размер файла 320,265 байт.
Процесс csrss.exe нагружает центральный процессор — что делать
Анализируя тему «Что такое csrss.exe», невозможно обойти вниманием ситуацию, когда рассматриваемый мной процесс оказывает значительную нагрузку на процессор и другие ресурсы ПК. Есть два случая. Борьба с вирусом
Под этим процессом маскируется вирус, что делать в этой ситуации — описано выше.
Борьба с вирусом
Профиль пользователя по какой-то причине был поврежден. В этом случае мы рекомендуем вам создать новый профиль пользователя и работать с ним. Однако перед удалением старого профиля пользователя убедитесь, что вы сохранили рабочий стол и папку документов (при необходимости).
Чтобы создать новую учетную запись, откройте «Учетные записи пользователей» в вашей панели управления, нажмите на «Добавить учетную запись» и выберите опцию добавления учетной записи. После создания новой учетной записи необходимо удалить старую.
Создание новой учетной записи
Как исправить ситуацию
Если есть подозрения на вирусы, маскирующиеся под Csrss.exe, первым делом нужно просканировать систему антивирусным сканером. Бывает, что антивирусное ПО не видит угроз, связанных с данным процессом, ничего не обнаруживая, поскольку поведение вирусов постоянно совершенствуется. В таком случае не обойтись без ручного вмешательства.
Наиболее простой вариант – воспользоваться диспетчером задач. Если в нем присутствует несколько процессов, максимально нагружающих систему, можно завершить поочередно каждый из них. Если под процессом замаскировался вирус, страшного не случится – произойдет всего лишь его прекращение.
Если завершение работы связано с оригинальной службой, то в Windows появится сообщение с подтверждением завершения конкретного запроса и предупреждением, что при завершении процесса возможна нестабильная работа системы. Подобное сообщение высветится только при обращении к файлу Csrss.exe, являющимся подлинным.
Csrss.exe: что это за процесс, и для чего он запущен в Windows-системах?
Для начала придется дать пояснения по поводу того, с какой целью разработчики включили в операционную систему данную службу. Насколько обязательно ее присутствие?
Что это за процесс — Csrss.exe -, нетрудно сообразить, если обратиться к принципам понимания запуска и работы так называемых консольных окон вроде командной строки или PowerShell. Их приоритет в Windows занимает более высокое положение, нежели основной интерфейс.
Иными словами, если бы данная служба не была запущена, в среде Windows можно было бы работать системой исключительно путем ввода соответствующих команд для доступа к каким-то элементам управления, основным или дополнительным функциям по типу того, как это когда-то производилось в DOS.
И хотя официальное описание гласит, что данный процесс относится к связям клиентских и серверных приложений, например, с обеспечением удаленного доступа через соответствующую подсистему, это не всегда так.
Перегрузка процессора
Одной из неприятных черт такого процесса является то, что в ряде определенных случаев он действительно способен оказывать значительную нагрузку на процессор, вызывая торможение компьютера и подвисание некоторых программ.
Дело в том, что иногда служба очень значительно перегружает оперативную память. Почему же это происходит?
На ранних этапах разработки, создатели предъявляли к такому процессу все те же требования, что и к любому другому системному – чтобы он не занимать более 3000 Кб оперативной памяти при нормальном режиме работы без сбоев.
Потому, если нагрузка от этого процесса очень велика, то это может значить, что процесс функционирует нестабильно, и такое его состояние необходимо немедленно устранять, найдя его причину.
В каких же случаях можно говорить, что нагрузка чрезмерна?
Заходя в Диспетчер задач и просматривая там обсуждаемый процесс, вы должны видеть показания, равные нулю в столбце Нагрузка на ЦП.
Иногда показатели могут быть немного выше, порядка десятых или сотых болей процента, если же эти показатели значительно выше, то можно говорить о сбое.
<Рис. 4 Нормальная нагрузка на процессор>
Удаление файлов
Теперь посмотрим, что можно сделать после того, как мы обнаружили в системе угрозу и завершили соответствующие процессы в диспетчере задач. Нам нужно найти все подозрительные файлы и удалить их вручную.
Для этого используем сочетание клавиш Win + F для вызова поисковой системы Windows. В поле поиска прописываем название файла (в данном случае Csrss.exe), а сам поиск производим на всех жестких дисках, логических разделах и съемных носителях. Съемные носители нужно задействовать обязательно (естественно, в случае появления угрозы, когда они были подключены к компьютерному терминалу или ноутбуку), поскольку одним из проявлений самопроизвольного копирования вирусов этого типа является именно перемещение своих копий на обычные флэшки или винчестеры USB-HDD. Наверное, уже понятно, что если избавиться от вируса в самой системе, при повторном подключении съемного USB-носителя заражения не миновать.
Поиск может занять достаточно много времени, но лучше потерпеть. После того как поиск будет окончен, а в результатах отобразятся все найденные файлы с таким именем, необходимо каждый из них проверить хотя бы на наличие цифровой подписи. Правым кликом на каждом файле вызываем меню «Свойства».
На вкладке «Подробно» у настоящего файла дожа быть цифровая подпись (авторские права Microsoft, название продукта, месторасположение, а главное – размер 6 Кб). Теперь все файлы, не соответствующие этим критериям, можно удалить без зазрения совести.
Правда, иногда удаление произвести окажется невозможным, или файлы будут замаскированы настолько, что система их не найдет. В этой ситуации придется использовать специальные сканеры, обычно называемые Rescue Disc. Их преимущество в том, что загрузка антивирусного ПО происходит еще до того, как начнет стартовать ОС Windows. Как показывает практика, такие утилиты способны определять и удалять вирусы в 99,9% случаев из ста.
Удаление файлов
Теперь
посмотрим, что можно сделать после того, как мы обнаружили в системе
угрозу и завершили соответствующие процессы в диспетчере задач. Нам
нужно найти все подозрительные файлы и удалить их вручную.
Для этого используем сочетание клавиш Win
+ F для вызова поисковой системы Windows. В поле поиска прописываем
название файла (в данном случае Csrss.exe), а сам поиск производим на
всех жестких дисках, логических
разделах и съемных носителях. Съемные носители нужно задействовать
обязательно (естественно, в случае появления угрозы, когда они были
подключены к компьютерному терминалу или ноутбуку), поскольку одним из
проявлений самопроизвольного копирования вирусов этого типа является
именно перемещение своих копий на обычные флэшки или винчестеры USB-HDD.
Наверное, уже понятно, что если избавиться от вируса в самой системе,
при повторном подключении съемного USB-носителя заражения не миновать.
Поиск
может занять достаточно много времени, но лучше потерпеть. После того
как поиск будет окончен, а в результатах отобразятся все найденные файлы
с таким именем, необходимо каждый из них проверить хотя бы на наличие
цифровой подписи. Правым кликом на каждом файле вызываем меню
«Свойства».
На
вкладке «Подробно» у настоящего файла дожа быть цифровая подпись
(авторские права Microsoft, название продукта, месторасположение, а
главное – размер 6 Кб). Теперь все файлы, не соответствующие этим
критериям, можно удалить без зазрения совести.
Правда,
иногда удаление произвести окажется невозможным, или файлы будут
замаскированы настолько, что система их не найдет. В этой ситуации
придется использовать специальные сканеры, обычно называемые Rescue
Disc. Их преимущество в том, что загрузка антивирусного ПО происходит
еще до того, как начнет стартовать ОС Windows. Как показывает практика,
такие утилиты способны определять и удалять вирусы в 99,9% случаев из
ста.
Файлы, связанные с GfxUI.exe
Файлы EXE, связанные с GfxUI.exe
Имя файла | Описание | Программное обеспечение (версия) | Размер файла (в байтах) |
---|---|---|---|
klist.exe | Windows Executable | Drivers and Utilities For Reinstalling Dell Vostro 430 Computer Software January 2010 | 33568 |
sysinfo.exe | Windows Executable | Drivers and Utilities For Reinstalling Dell Vostro 430 Computer Software January 2010 | 77824 |
servertool.exe | Windows Executable | Drivers and Utilities For Reinstalling Dell Vostro 430 Computer Software January 2010 | 33280 |
vncutil.exe | Windows Executable | Drivers and Utilities For Reinstalling Dell Vostro 430 Computer Software January 2010 | 354848 |
SetupICC.exe | Windows Executable | Drivers and Utilities For Reinstalling Dell Vostro 430 Computer Software January 2010 | 809496 |
Как служба работает на практике?
Теперь посмотрим, как функционирует эта служба. Пусть вас сразу не ставит в тупик то, что подсистема относится к типу обращений «клиент-сервер» и обеспечивает связь между клиентской и серверной частью самой системы. Да, действительно, служба активно используется при организации того же доступа к удаленному «Рабочему столу», но основное ее предназначение не в этом.
Что за процесс Csrss.exe в Windows 7 или в системах другого ранга, нетрудно себе представить, если внимательно посмотреть на интерфейс ОС. Все привыкли, что доступ к каким-то функциям, запуск программ и многое другое осуществляется исключительно через графический интерфейс с использованием окон и кнопок. Как раз за эту возможность и отвечает описываемая служба.
Грубо говоря, если бы ее не было, работать с Windows можно было только через консольные окна в виде командной строки, как это ранее было в DOS. Таким образом, становится понятно, что данную службу удалить или отключить не получится ни под каким предлогом (Windows это сделать не разрешит). Но ведь иногда можно заметить, что искомый процесс по неизвестным причинам начинает настолько активно использовать системные ресурсы, что вся система начинает тормозить и зависать, не говоря уже о более критичном поведении.
Процесс выполнения клиентского сервера
Программа csrss
exe не вредоносная и является важной частью операционной системы. До Windows NT 4.0, выпущенного в 1996 году, он отвечал за всю графику, плюс управление окнами и другие службы. В Windows NT 4.0 функции процесса Runtime Process Server были размещены в ядре Виндовс
Runtime вызывает окна консоли (Command Prompt) и несёт ответственность за запуск процесса conhost. exe, как и аналогичные системные функции, работающие в фоновом режиме: iastordatamgrsvc, mbbservice, nvstreamsvc, passthrusvr, famitrfc, dwengine
В Windows NT 4.0 функции процесса Runtime Process Server были размещены в ядре Виндовс. Runtime вызывает окна консоли (Command Prompt) и несёт ответственность за запуск процесса conhost. exe, как и аналогичные системные функции, работающие в фоновом режиме: iastordatamgrsvc, mbbservice, nvstreamsvc, passthrusvr, famitrfc, dwengine
Даже если пользователь в диспетчере задач и попытается завершить процесс выполнения клиентского сервера, Windows оповестит, что компьютер будет выключен. И если кликнуть это предупреждение, то появится сообщение «Отказано в доступе», поскольку он относится к защищённым процессам, которые нельзя остановить. Если при запуске системный csrss. exe не будет запущен, пользователь увидит синий экраном с кодом ошибки 0xC000021A.
Этот процесс или даже нескольких с таким именем не критичны для ОС. Если у пользователя возникает недоумение, почему csrss. exe грузит процессор, значит, пришло время проверить ПК на возможное заражение. Допустимые файлы должны находиться в каталоге C:\Windows\system32. Чтобы убедиться, что это процесс выполнения клиентского сервера, нажимают мышью в диспетчере задач и выбирают «Открыть расположение файла».
Но если файл находится в любом другом каталоге, тогда это повод обеспокоиться, из-за чего служба платформы защиты программного обеспечения грузит процессор. Вредоносные процессы маскируют себя под него, чтобы избежать подозрений у пользователей. Если он видит такой файл во внесистемной папке, то лучше запустить проверку системы с помощью антивируса и убрать его. Для этого выполняют следующие шаги:
- На клавиатуре одновременно нажать Windows и X и далее «Диспетчер задач».
- Перейти на вкладку «Сведения» и нажать клавишу «С», чтобы быстрее найти csrss. exe.
- Кликнуть на него мышью и выбрать «Открыть».
- Убедиться, что расположение файла указывает на локальный диск C:/Windows/ System32.
- В случае сомнений лучше перейти в Virus Total, загрузить файл и выполнить проверку.
- Нажать «Выбрать» и «Сканировать». Если результат показывает, что проблем нет, то оставить программу в работе.
В том случае, когда сканер обнаружил вирусы, то лучше удалить файл из системы. Рекомендуется также отправить его на https://www.virustotal.com/en/ для сканирования несколькими антивирусными ядрами. Аналогичные действия можно выполнить, чтобы лечить другие проблемные программы с именами: itype, heciserver, w3wp, cmdagent, ssckbdhk, cavwp, ccc, system, kss, crss, networklicenseserver, sppsvc, atiesrxx, ntvdm.
LPC, или Local Procedure Calls
Перед тем, как углубиться в дебри CsrApi, давай посмотрим в сторону механизма LPC, созданного в Windows для реализации межпроцессного взаимодействия. Почему именно на него? Все дело в том, что CSRSS реализует свой собственный протокол поверх LPC. LPC часто называют Local InterProcess Communication. Я, к сожалению, не знаю, как на самом деле расшифровывается LPC, но раз на MSDN-блогах LPC зовут Local Procedure Calls, значит, так тому и быть.
Как уже было сказано выше, LPC – это недокументированный механизм Windows, предназначенный для взаимодействия между процессами и потоками, основанный на приеме/передаче пакетов. Это взаимодействие может происходить как целиком в ядре, так и между юзермодными компонентами.
Суть LPC предельно проста – коммуникация между участниками взаимодействия (клиентом и сервером) осуществляется путем передачи блоков данных (так называемых сообщений LPC) . Клиентом может быть поток или процесс, и исполняться они могут на разных ring-уровнях, как в ядре (r0), так и простым пользовательским приложением (r3).
Основывается он на двух вещах – портах и внутренних LPC-структурах, таких как PORT_MESSAGE. Логически LPC состоит из двух действий – коннекта к определенному порту (NtCreatePort, NtConnectPort, NtListenPort и т.д.) и передаче данных (NtRequestWaitReplyPort и др.).
Информация о файле csrss.exe
Описание: The Client Server Runtime Subsystem реализовывает пользовательский режим 32-битных версий операционных систем Windows 2000, XP, 2003, Vista и Server 2008. В современных версиях Windows наиболее важные функции были перенесены в режим ядра, но csrss.exe все еще является весьма важным процессом, отвечающим за обмен между приложениями и ядром, и управление потоками.
Подробный анализ: csrss.exe часто вызывает проблемы и необходим для Windows. Csrss.exe находится в папке C:WindowsSystem32. Известны следующие размеры файла для Windows 10/8/7/XP 6,144 байт (96% всех случаев), 7,680 байт и еще 5 варианта . Это системный файл Windows. Это файл, подписанный Microsoft. Приложение не видно пользователям. Поэтому технический рейтинг надежности 3% опасности.
Вирусы с тем же именем файла
Является ли csrss.exe вирусом? Нет, это не вирус. Настоящий файл csrss.exe — это безопасный системный процесс Microsoft Windows, который называется «Client Server Runtime Process». Тем не менее, авторы зловредных программ, таких как вирусы, черви, и трояны намеренно называют процессы таким же именем, чтобы избежать обнаружения. Вирусы с тем же именем файлов: в частности, Trojan-Dropper.Win32.VB.ased или Backdoor.Win32.Gbot.bs (определяется антивирусом Kaspersky), и Win32:Rootkit-gen (определяется антивирусом Avast). Чтобы убедиться, что работающий csrss.exe на вашем компьютере — это не вредоносный процесс, нажмите здесь, чтобы запустить Проверку на вирусы.
Как распознать подозрительные процессы?
- Если csrss.exe находится в папке C:Windows, тогда рейтинг надежности 69% опасности. Размер файла 1,559,319 байт (34% всех случаев), 1,556,916 байт и еще 15 варианта . Это неизвестный файл в папке Windows. Приложение не видно пользователям. Это не системный процесс Windows. Процесс использует порт, чтобы присоединится к сети или интернету.
- Если csrss.exe находится в подпапках «C:UsersUSERNAME», тогда рейтинг надежности 70% опасности. Размер файла 92,161 байт (3% всех случаев), 79,872 байт и еще 56 варианта . Это не системный процесс Windows. Приложение не видно пользователям. Нет информации о создателе файла. Процесс начинает работу при запуске Windows (Смотрите ключ реестра: Run , win.ini , MACHINERun , Userinit , WinlogonShell ). Csrss.exe способен мониторить приложения.
- Если csrss.exe находится в подпапках «C:Program Files», тогда рейтинг надежности 67% опасности. Размер файла 13,179,660 байт (7% всех случаев), 1,380,864 байт и еще 22 варианта .
- Если csrss.exe находится в папке Windows для хранения временных файлов , тогда рейтинг надежности 69% опасности. Размер файла 187,904 байт (10% всех случаев), 175,104 байт и еще 15 варианта .
- Если csrss.exe находится в подпапках C:Windows, тогда рейтинг надежности 72% опасности. Размер файла 350,208 байт (20% всех случаев), 199,010 байт и еще 7 варианта .
- Если csrss.exe находится в подпапках C:WindowsSystem32, тогда рейтинг надежности 80% опасности. Размер файла 122,880 байт (80% всех случаев) или 353,280 байт.
- Если csrss.exe находится в подпапках Windows для хранения временных файлов, тогда рейтинг надежности 80% опасности. Размер файла 13,179,660 байт.
- Если csrss.exe находится в подпапках диска C:, тогда рейтинг надежности 56% опасности. Размер файла 1 байт (33% всех случаев), 184,320 байт или 70,144 байт.
- Если csrss.exe находится в папке C:WindowsSystem32drivers, тогда рейтинг надежности 62% опасности. Размер файла 152,125 байт.
Важно: Некоторые вредоносные программы маскируют себя как csrss.exe, особенно, если они расположены не в каталоге C:WindowsSystem32. Таким образом, вы должны проверить файл csrss.exe на вашем ПК, чтобы убедиться, что это угроза
Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Как исправить ошибки csrss.exe всего за несколько шагов?
Помните, прежде чем предпринимать какие-либо действия, связанные с системными файлами, сделайте резервную копию ваших данных!
Ошибки файла csrss.exe могут быть вызваны различными причинами, поэтому полезно попытаться исправить их различными способами.
Шаг 1.. Сканирование компьютера на наличие вредоносных программ.
Файлы Windows обычно подвергаются атаке со стороны вредоносного программного обеспечения, которое не позволяет им работать должным образом. Первым шагом в решении проблем с файлом csrss.exe или любыми другими системными файлами Windows должно быть сканирование системы на наличие вредоносных программ с использованием антивирусного инструмента.
Если по какой-либо причине в вашей системе еще не установлено антивирусное программное обеспечение, вы должны сделать это немедленно
Незащищенная система не только является источником ошибок в файлах, но, что более важно, делает вашу систему уязвимой для многих опасностей. Если вы не знаете, какой антивирусный инструмент выбрать, обратитесь к этой статье Википедии — сравнение антивирусного программного обеспечения
Шаг 2.. Обновите систему и драйверы.
Установка соответствующих исправлений и обновлений Microsoft Windows может решить ваши проблемы, связанные с файлом csrss.exe. Используйте специальный инструмент Windows для выполнения обновления.
- Откройте меню «Пуск» в Windows.
- Введите «Центр обновления Windows» в поле поиска.
- Выберите подходящую программу (название может отличаться в зависимости от версии вашей системы)
- Проверьте, обновлена ли ваша система. Если в списке есть непримененные обновления, немедленно установите их.
- После завершения обновления перезагрузите компьютер, чтобы завершить процесс.
Помимо обновления системы рекомендуется установить последние версии драйверов устройств, так как драйверы могут влиять на правильную работу csrss.exe или других системных файлов. Для этого перейдите на веб-сайт производителя вашего компьютера или устройства, где вы найдете информацию о последних обновлениях драйверов.
Шаг 3.. Используйте средство проверки системных файлов (SFC).
Проверка системных файлов — это инструмент Microsoft Windows. Как следует из названия, инструмент используется для идентификации и адресации ошибок, связанных с системным файлом, в том числе связанных с файлом csrss.exe. После обнаружения ошибки, связанной с файлом %fileextension%, программа пытается автоматически заменить файл csrss.exe на исправно работающую версию. Чтобы использовать инструмент:
- Откройте меню «Пуск» в Windows.
- Введите «cmd» в поле поиска
- Найдите результат «Командная строка» — пока не запускайте его:
- Нажмите правую кнопку мыши и выберите «Запуск от имени администратора»
- Введите «sfc / scannow» в командной строке, чтобы запустить программу, и следуйте инструкциям.
Шаг 4. Восстановление системы Windows.
Другой подход заключается в восстановлении системы до предыдущего состояния до того, как произошла ошибка файла csrss.exe. Чтобы восстановить вашу систему, следуйте инструкциям ниже
- Откройте меню «Пуск» в Windows.
- Введите «Восстановление системы» в поле поиска.
- Запустите средство восстановления системы — его имя может отличаться в зависимости от версии системы.
- Приложение проведет вас через весь процесс — внимательно прочитайте сообщения
- После завершения процесса перезагрузите компьютер.
Если все вышеупомянутые методы завершились неудачно и проблема с файлом csrss.exe не была решена, перейдите к следующему шагу. Помните, что следующие шаги предназначены только для опытных пользователей