Csrss exe грузит процессор — Синий экран BSOD

Что за Процесс исполнения клиент-сервер и почему он грузит процессор, диск и систему. csrss.exe — это вирус или нет? Как отключить csrss.exe в Windows 10.

Что такое Процесс исполнения клиент-сервер csrss.exe

Прежде всего, процесс csrss.exe является частью Windows и обычно в диспетчере задач запущен один, два, а иногда и более таких процессов.

Данный процесс в Windows 7, 8 и Windows 10 отвечает за консольные (выполняемые в режиме командной строки) программы, процесс выключения, запуск другого важного процесса — conhost.exe и другие критические функции системы.

Удалить или отключить csrss.exe нельзя, результатом будут ошибки ОС: процесс запускается автоматически при запуске системы и, в случае, если каким-то образом вам удалось отключить этот процесс, вы получите синий экран смерти с кодом ошибки 0xC000021A.

Источник: http://remontka.pro/csrss-exe/

Что же такое «Подсистема клиент/сервер времени выполнения» (Client/Server Runtime Subsystem, CSRSS)?

Процесс «csrss.exe» является важной частью операционной системы Windows. До Windows NT 4.0, выпущенной в 1996 году, «csrss.exe» отвечал за всю графическую подсистему, включая управление окнами, рисование элементов на экране и другие связанные с ними функции операционной системы.

В Windows NT 4.0 многие из этих функций были перенесены из процесса «Client/Server Runtime Subsystem», который выполняется как обычный процесс, в основное ядро ОС ​​Windows. Тем не менее, процесс «csrss.exe» по-прежнему отвечает за обработку консоли в Win32 и графический интерфейс завершения работы ОС, которые являются критическими функциями в Windows. Он включен в состав Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows Server 2008 и Windows 7. До Windows 7 процесс «csrss.exe» обеспечивал старт окна консоли (Command Prompt). В Windows 7 и всех более новых версиях, эту функцию на себя взял процесс «Console Host» (conhost.exe). В тоже время, за запуск процесса «conhost.exe», всё равно несёт ответственность «csrss.exe».

Источник: http://zen.yandex.ru/media/hetmansoftware/process-client-server-runtime-process-csrssexe-chto-eto-i-mojno-li-udalit-5c1531f16ffe2200a92debcd

Обзор

Процесс участвует в работе:

• Терминальных служб.
• Служб удалённого доступа к рабочему столу.
• Приложений с интерфейсом командной строки.
• Потоков в операционной системе (Создание потоков в подсистеме Win32).

Источник: http://dic.academic.ru/dic.nsf/ruwiki/1855317

Описание угрозы

Метод заражения Csrss.exe

Csrss.exe копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла (random file).exe. Потом он создаёт ключ автозагрузки в реестре с именем Csrss.exe и значением (random file).exe. Вы также можете найти его в списке процессов с именем (random file).exe или Csrss.exe.

Если у вас есть дополнительные вопросы касательно Csrss.exe, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.

Источник: http://securitystronghold.com/ru/gates/csrss-exe.html

Работа подсистемы

CSRSS выполняется как системный сервис пользовательского режима. Когда процесс пользовательского режима вызывает функцию с участием консольных окон, создания процесса/потока, или поддержки Side-by-Side, библиотеки Win32 (kernel32.dll, user32.dll, gdi32.dll) вместо запроса системного вызова обращаются к процессу CSRSS путем меж-процессного вызова (IPC вида Local Procedure Call), и CSRSS делает большую часть реальной работы, без того, чтобы подвергать опасности (компрометировать) ядро[1]. Однако вызовы к оконному менеджеру и сервисам GDI обрабатываются драйверами режима ядра (win32k.sys)[2].

Источник: http://dic.academic.ru/dic.nsf/ruwiki/1855317

История

Cерия выпусков Windows NT 3.x вмещала компонент GDI (интерфейс графических устройств) внутри CSRSS, но GDI был перенесен в режим ядра в версии Windows NT 4.0 для улучшения производительности графического отображения[3]. Процесс запуска Windows был значительно изменен начиная с версии Vista. В версиях Windows Vista и 7 работает 2 экземпляра csrss.exe [4].

Источник: http://dic.academic.ru/dic.nsf/ruwiki/1855317

Что делать, если csrss.exe грузит процессор, не вирус ли это

Если процесс исполнения клиент-сервер грузит процессор, для начала загляните в диспетчере задач, нажмите правой кнопкой мыши по этому процессу и выберите пункт меню «Открыть расположение файла».

По умолчанию файл располагается в C:WindowsSystem32 и если это так, то, вероятнее всего, это не вирус. Дополнительно убедиться в этом можно, открыв свойства файла и посмотрев вкладку «Подробнее» — в «Название продукта» вы должны увидеть «Операционная система Microsoft Windows», а на вкладке «Цифровые подписи» — информацию о том, что файл подписан Microsoft Windows Publisher.

При размещении csrss.exe в других расположениях это действительно может быть вирус и тут может помочь следующая инструкция: Как проверить процессы Windows на вирусы с помощью CrowdInspect.

Если это оригинальный файл csrss.exe, то высокую нагрузку на процессор он может вызывать из-за неправильной работы функций, за которые он отвечает. Чаще всего — что-то связанное с питанием или гибернацией.

В данном случае, если вы выполняли какие-то действия с файлом гибернации (например, устанавливали сжатый размер), попробуйте включить полный размер файла гибернации (подробнее: Гибернация Windows 10, подойдет и для предыдущих ОС). Если проблема появилась после переустановки или «большого обновления» Windows, то убедитесь, что у вас установлены все оригинальные драйверы для ноутбука (с сайта производителя для вашей модели, особенно драйверы ACPI и чипсета) или компьютера (с сайта производителя материнской платы).

Но необязательно дело именно в этих драйверах. Чтобы попробовать выяснить, в каком именно, попробуйте выполнить следующие действия: скачайте программу Process Explorer https://technet.microsoft.com/ru-ru/sysinternals/processexplorer.aspx запустите и в списке запущенных процессов дважды кликните по экземпляру csrss.exe, вызывающему нагрузку на процессор.

Откройте вкладку Threads и отсортируйте ее по столбцу CPU. Обратите внимание на верхнее по нагрузке на процессор значение. С большой вероятностью, в столбце Start Address это значение будет указывать на какую-то DLL (примерно, как на скриншоте, если не считать того, что у меня нагрузки на процессор нет).

Узнайте (используя поисковик), что это за DLL и частью чего она является, попробуйте переустановить данные компоненты, если это возможно.

Дополнительные методы, которые могут помочь при проблемах с csrss.exe:

• Попробуйте создать нового пользователя Windows, выйти из под текущего пользователя (обязательно выйти, а не просто сменить пользователя) и проверить, сохраняется ли проблема с новым пользователем (иногда нагрузка на процессор может быть вызвана поврежденным профилем пользователя, в этом случае, если есть, можно использовать точки восстановления системы).
• Выполните проверку компьютера на наличие вредоносных программ, например, с помощью AdwCleaner (даже если у вас уже есть хороший антивирус).

Источник: http://remontka.pro/csrss-exe/

Вирус csrss.exe

Как и другие системные процессы, csrss.exe не является вирусом на здоровой операционной системе. Убедиться в том, что csrss.exe функционирует нормально, можно путем проверки расположения файла. И да, учтите, что несколько копий csrss.exe – норма. Windows может запускать несколько Процессов исполнения клиент-сервер и это обычная практика.

1. Откройте Диспетчер задач и перейдите на вкладку Подробности.
2. Найдите процесс csrss.exe и затем кликните по нему правой кнопкой мыши.
3. Из контекстного меню выберите пункт Открыть расположение файла.
4. После этого должен открыться проводник по адресу C:WindowsSystem32, а файл csrss.exe автоматически выделится.
5. Кликните по файлу правой кнопкой мыши и выберите Свойства.
6. Перейдите на вкладку Подробно и проверьте, чтобы файл принадлежал Microsoft Corporation и был частью операционной системы Windows.
   

Если это так, тогда ваш компьютер не заражен, а Процесс исполнения клиент-сервер не является вирусом. Не трогайте его и просто дайте системе делать свою работу.

C:WindowsSystem32 – единственное место, где должен быть расположен этот процесс. Вредоносное программное обеспечение или вирусы могут выдавать себя за csrss.exe, чтобы избежать обнаружения. Если вы видите, что расположение файла процесса csrss.exe находится по другому адресу, тогда ваш компьютер нуждается в срочной проверке на вирусы.

Источник: http://wp-seven.ru/instruktsii/tips/windows-10-tips/chto-takoe-protsess-ispolneniya-klient-server-csrss-exe.html

Угрозы

Известно, что вирусы, шпионские программы и трояны, заражают или маскируются под этот процесс. Это делают следующие зловредные программы (включая, но не ограничиваясь):

• Nimda.E [5]
• W32/Netsky.ab@MM [6]
• W32/VBMania@MM [7]

Множество вирусов использует для маскировки имя приложения, чтобы не вызвать подозрения у пользователя, особенно учитывая, что для каждого терминального доступа создаётся отдельный экземпляр процесса, поэтому на серверных машинах их количество может доходить до нескольких десятков. Оригинальный файл хранится только в папке %SYSTEMROOT%system32, а его подмена практически невозможна на компьютере с одной операционной системой.

Источник: http://dic.academic.ru/dic.nsf/ruwiki/1855317

Видео

В крайнем случае, запустите восстановление системы, чтобы вернуться к предыдущей успешной конфигурации. Тему «csrss exe что это за процесс Windows 7 8 10» можно считать закрытой. Но если есть вопросы — задавайте в комментах под этой публикацией.

Источник: http://it-tehnik.ru/software/windows-10/csrss-exe.html

Как исправить ситуацию

Начнём с рассмотрения наиболее популярной причины ошибки csrss.exe. Системные процессы довольно редко настолько сильно загружают CPU. Есть действительно различные возможные варианты проблем, когда одна из основных служб Windows начинает зависеть от ваших ресурсов, особенно CPU, но чаще всего причина кроется во внешнем факторе. Или, если быть точнее, какой-либо вредоносной программе. С учётом этого мы советуем вам использовать либо Защитник Windows, либо любой сторонний антивирусный инструмент. Рассмотрим функцию сканирования на вирусы, сбои и неисправности на примере Защитника Windows:

1. Откройте Защитник Windows из области уведомлений.
2. Нажмите Защита от вирусов и угроз.
3. Нажмите кнопку «Запустить новое расширенное сканирование».
4. Выберите «Проверка автономного Защитника Windows».
5. Нажмите «Выполнить сканирование сейчас».

Многие решили проблему, просто удалив свою учётную запись пользователя и создав новую. Поскольку процесс выполнения клиентского сервера частично связан с профилем пользователя, загрузка CPU не является чем-то необычным. Причины этого нежелательного явления кроются в заражении вредоносными программами, которые, как правило, повреждают системные файлы или даже клонируют их. Таким образом, даже несмотря на то, что на данный момент ваш ПК не заражён, ущерб уже может быть нанесён.

Это существенный повод удалить профиль пользователя и попробовать создать новый. Да, вам нужно будет делать резервную копию данных и перенастраивать некоторые незначительные вещи, но проблема должна быть решена. Вот как это сделать за несколько простых шагов:

1. В панели поиска Windows введите «Панель управления» и откройте её.
2. Откройте «Учётные записи пользователей».
3. Выберите «Учётные записи пользователей».
4. Нажмите «Управление другой учётной записью». 
5. Нажмите «Добавить нового пользователя» в окне «Параметры компьютера».
6. Выберите «Добавить пользователя для этого компьютера».
7. Введите учётные данные для альтернативного профиля пользователя и вернитесь в «Изменение типа учётной записи».
8. Откройте вновь созданную учётную запись и нажмите «Изменить тип учётной записи».
9. Предоставьте ей права администратора.
10. Теперь вернитесь и выберите свой текущий профиль. Создайте резервные копии файлов и папок «Документы» и «Рабочий стол».
11. Нажмите «Удалить учётную запись», а затем «Удалить файлы».
12. Выйдите из системы и войдите в новую учётную запись пользователя.
13. На панели поиска Windows введите «Расширенные параметры» и выберите «Просмотр расширенных параметров системы».
14. Перейдите на вкладку «Дополнительно».
15. В разделе «Профили пользователей» нажмите «Параметры».
16. Удалите учётную запись по умолчанию и сохраните изменения.
17. Перезагрузите компьютер, войдите в новый профиль пользователя и перейдите в диспетчер задач, чтобы проверить использование CPU csrss.exe.

В качестве окончательного варианта следует обратиться к восстановлению. Или, если быть более точнее, «Сбросить этот ПК». Эта опция похожа на заводскую перезагрузку, которую мы обычно используем для смартфонов. Она полностью восстанавливает Windows 10 до её начальных значений, сохраняя при этом данные.

1. Нажмите Win+I, чтобы вызвать Настройки.
2. Откройте окно «Обновление и безопасность». 
3. Выберите «Восстановление».
4. В разделе «Сброс этого ПК» нажмите «Начать». 
5. Выберите удалить все файлы, и процедура восстановления начнётся.

Вышеописанные способы наверняка помогут избавиться от проблемы, которая приводит к чрезмерной загрузке процессора процессом csrss.exe. При необходимости может потребоваться полная переустановка Windows. Надеемся, что наша статья помогла разобраться в рассматриваемом процессе и теперь вы без проблем сможете понять, почему он грузит процессор.

Источник: http://nastroyvse.ru/programs/review/chto-za-process-csrss-exe.html

Подозрение на вирусы

Начнем с того, что сегодня можно встретить достаточно много вирусов, маскирующихся под системный процесс Csrss.exe. Что это именно в понимании заражения компьютера? А вот что. Вирус, во-первых, самокопируется, размещая копии с одноименным названием (Csrss.exe) в папках, используемых для хранения временных файлов Интернета, перемещает собственные копии на USB-накопители и т.д. Как уже понятно, все запущенные копии можно увидеть в диспетчере задач.

При этом если даже просматривать данные о размещении файла или командную строку, рядовой пользователь ничего подозрительного может и не увидеть. Все данные будут просто идентичны между собой. Далее мы рассмотрим несколько способов, использование которых позволит бороться с такими негативными проявлениями.

Источник: http://brit03.ru/programmy/csrss-exe-chto-eto-za-process.html

Ссылки

1. ↑ Detailed implementation of a system service in Windows NT. Undocumented Windows NT. Архивировано из первоисточника 15 марта 2012.
2. ↑ Russinovich Mark Windows Internals, 5th Edition. — Microsoft Press, 2009. — P. 54.
3. ↑ The Windows NT 4.0 Kernel mode change. MS Windows NT Kernel-mode User and GDI White Paper. Microsoft. Архивировано из первоисточника 15 марта 2012. Проверено 19 января 2009.
4. ↑ Inside the Windows Vista Kernel — Startup Processes. Inside the Windows Vista Kernel — Startup Processes. Microsoft. Архивировано из первоисточника 15 марта 2012. Проверено 1 октября 2010.

Источник: http://dic.academic.ru/dic.nsf/ruwiki/1855317