Modern operating systems are complex entities. In 1982, when Microsoft launched MS-DOS, the precursor to today’s Windows, it consisted of seven files with a total size of approximately 400 kilobytes. At startup, all you saw was a command line with a blinking cursor waiting for commands.
Today, when you boot up a Windows operating system, countless executables are loaded into the memory. Several dozen processes and services are already running before you can even log on to the system. One of these critical system programs is called csrss.exe. In this article, we’ll take a closer look at the functions of this program.
What is csrss.exe?
“csrss” is an abbreviation for the Client Server Runtime Subsystem program. In older versions of Windows, the application was available as a server for handling graphical user interfaces. In the meantime, this sensitive area has been moved to the core of the operating system (kernel). However, csrss.exe continues to function as a server and performs essential tasks in the system. For example, the process is responsible for launching and terminating many other system processes. In addition, it manages the command line, which is now only one of many programs in the operating system. Because of these important tasks, csrss.exe is classified as a critical process.
The Client Server Runtime Subsystem runs once per session, although there are always two sessions running after Windows boots up: one “0” session for all services and one session for user processes. This means that at least two instances of csrss.exe are always running.
You can view active sessions by entering “query SESSION” in the command line. The individual IDs of the sessions are also displayed there. This way you can check whether the number of csrss.exe processes matches the number of sessions in the Task Manager.
Was does csrss.exe do?
Each csrss.exe process loads multiple DLLs (dynamic libraries) such as basesrv.dll, winsrv.dll, or csrsv.dll. They provide the following functions, among others:
- Starting and stopping processes
- Starting and stopping threads
- Providing the console window (command line)
- Shutting down the system
These functions can be invoked and used by other programs and processes with the help of csrss.exe, further illustrating how essential the process is. If csrss.exe does not run properly or will not terminate, important functions of the operating system will suddenly become unavailable. Even processes that are already active will stop working once the system can no longer start threads.
How to check the current status of csrss.exe
There are several ways to examine the csrss.exe process more closely. The most convenient way is to use the built-in Task Manager. You can open it using the keyboard shortcut Ctrl + Shift + Esc or by typing “Task Manager” in the Windows search box. The Task Manager features multiple tabs with information about CPU utilization, active processes, and services.
In Windows 10, you can find csrss.exe in the “Processes” tab of the Task Manager under Client Server Runtime Process. In previous versions, it was listed under its application name (“csrss.exe”) in the Task Manager. You can right-click the process and choose from several options. The following are useful for inspecting the process:
- Open file location: Opens a File Explorer window with the location of csrss.exe. This file location must always be “Windows\System32\.” If not, this is not the correct process.
- Go to details: You can view the process ID, see whether the process is running and find out which user is running it. For csrss.exe, the user should always be SYSTEM because it’s a system process.
- Properties: You can display details about application on the “Details” tab. You can open the certificate on the “Digital Signatures” tab. The issuer of the csrss.exe certificate must always be Microsoft.
One well-established alternative for scanning system processes like csrss.exe is to use programs by Windows insider Mark Russinovich. His Sysinternals Suite contains a wealth of useful software, including the Process Explorer program, which allows you to display active processes hierarchically. In addition, the software includes a direct link to the platform Virustotal.com, where you can submit processes for a quick check.
Can csrss.exe be terminated or removed?
Many people on Internet forums ask whether processes like csrss.exe can be terminated or whether the software can be removed. Though possible, terminating csrss.exe would cause the system to shut down immediately. For that reason alone, you should avoid doing this. The process cannot be terminated in the Task Manager without administrator privileges.
If the process causes problems, such as a high CPU load, it’s better to find out which components may be responsible. You should also check whether you’re dealing with a “real” csrss process.
Completely deleting the csrss.exe application from the system folder would cause the system to stop running.
If you suspect that the csrss.exe file is a virus
Since the csrss.exe process is always active, it stands out when you monitor running processes. In addition, the process’s cryptic name entices malware developers to program similar sounding applications such as “crss.exe” or “cssrs.exe” and inject them into poorly protected systems. Unlike malware programs with foreign names, these applications can be easily overlooked or confused with the legitimate file if you don’t examine them carefully enough.
Always make sure the software has the correct spelling and file location. The csrss.exe application in the system folder .\Windows\System32\ is very likely not malware. That said, if you still suspect that the file is a virus, we recommend reinstalling your system since malware would render your entire system unsafe.
csrss.exe is one of the most important system processes in Windows. At least two instances of the program are always running on your computer. Since it performs essential tasks such as starting and ending processes, it’s considered a critical process that may not be terminated. If the process runs from the system directory .\Windows\System32\, you can usually rule it out as the source of malicious processes.
Was this article helpful?
Уровень сложностиПростой
Время на прочтение12 мин
Количество просмотров30K
В этой статье моей целью будет быстро и понятно внести памятку о легитимных процессах Windows. Немного расскажу, какой процесс за что отвечает, какие нормальные свойства имеют процессы, и приправлю это все небольшим количеством краткой, но полезной информации.
Я искренне приношу извинения за возможные неточности в изложении материала, информация в этой статье является «сборной солянкой» из моих слов и тысячи и тысячи источников!
По мере возможности я постараюсь обновлять материал, исправляя неточности, делая его более детализированным и актуальным.
System
Путь: Процесс не создается за счет исполняемого файла
Родительский процесс: Нет
Количество экземпляров: Один
Время запуска: Запуск системы
Здесь многословить не стоит: этот процесс отвечает за выполнение ядра операционной системы, других процессов и драйверов устройств, поэтому в основном под ним запускаются файлы .sys и некоторые важные для системы библиотеки. В обязанности System входит контроль за управлением оперативной и виртуальной памятью, объектами файловой системы.
smss.exe
Путь: %SystemRoot%\System32\smss.exe
Родительский процесс: System
Количество экземпляров: Один и дочерний, который запускается после создания сеанса
Время запуска: Через несколько секунд после запуска первого экземпляра
Session Manager Subsystem — диспетчер, отвечающий за создание новых сеансов, запуск процессов csrss.exe и winlogon.exe, отвечающих за графический интерфейс и вход в систему, а также за инициализацию переменных окружения. Первый экземпляр создает сеанс нуля и дочерний экземпляр, и как только дочерний экземпляр инициализирует новый сеанс, запуская csrss.exe и wininit.exe для сеанса 0 или winlogon.exe для сеанса 1, дочерний экземпляр завершается.
Если обнаружены проблемы с файловой системой, первостепенной функцией smss.exe является запуск системной утилиты для проверки диска — autochk.
После выполнения этих задач smss.exe переходит в пассивный режим.
Немного о сеансе 0 и сеансе 1
Сеанс 0 и сеанс 1 — это разные типы сеансов Windows, которые используются для запуска процессов.
Сеанс 0 создается при запуске системы, и в нем в фоновом режиме работают службы и процессы Windows.
Сеанс 1 создается для пользовательских процессов.Chkdsk и autochk — что это вообще, и зачем? А разница в чем?
На самом деле, autochk — это версия chkdsk, которая запускается автоматически smss.exe при обнаруженных проблемах с диском. А разница их в том, что chkdsk можно запустить в среде Windows напрямую из командной строки, а autochk — нет.
Да и autochk работает только с NTFS, что не скажешь про chkdsk — он, в дополнение к NTFS, поддерживает FAT и exFAT.Кстати!
По сути, chkdsk тоже может запускаться smss.exe, но это зависит от того, что указано в ключе реестраHKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\SessionManager(здесь хранится информация, предназначенная для Диспетчеpa сеансов ) в параметреBootExecute). При запуске chkdsk Диспетчер сеансов использует параметр/r, что позволяет утилите производить поиск повреждённых секторов (наряду с ошибками файловой системы).
csrss.exe
Путь: %SystemRoot%\System32\csrss.exe
Родительский процесс: smss.exe, который, запустив csrss.exe, завершает работу
Количество экземпляров: Два или больше
Время запуска: Через несколько секунд после запуска первых двух экземпляров — для сеанса 0 и сеанса 1
Client/Server Run-Time Subsystem — подсистема выполнения «клиент/сервер» обеспечивает пользовательский режим подсистемы Windows. Csrss.exe отвечает за импорт многих DLL-библиотек, которые предоставляют WinAPI (kernel32.dll, user32.dll, ws_2_32.dll и другие), а также за обработку графического интерфейса завершения работы системы.
Процесс запускается для каждого сеанса, а именно 0 и 1, дополнительные сеансы создаются при помощи удаленного рабочего стола или за счет быстрого переключения между пользователями.
Что интересно для Windows Server
Можно проверить количество активных сеансов, введя
query SESSIONв командной строке. Так можно проверить, соответствует ли количество сеансов количеству запущенных csrss.exe.И еще..
До Windows 7 csrss.exe обеспечивал старт окна консоли, но теперь этим занимается conhost.exe.
wininit.exe
Путь: %SystemRoot%\System32\wininit.exe
Родительский процесс: smss.exe, который завершает работу перед запуском wininit.exe
Количество экземпляров: Один
Время запуска: Через несколько секунд после запуска системы
После получения управления от процесса smss.exe, wininit.exe помечает себя как критический, что позволяет ему избегать нежелательного отключения при аварийном завершении сеанса или входа систему в гибернацию. Целью Windows Initialisation (wininit.exe) является запуск ключевых фоновых процессов в рамках сеанса нуля. Он запускает:
-
services.exe — Диспетчер управления службами
-
lsass.exe — Сервер проверки подлинности локальной системы безопасности
-
lsaiso.exe — для систем с включенной Credential Guard.
Дополнительно на протяжении всего сеанса работы системы wininit.exe отвечает за создание и наполнение папки TEMP. Перед выключением wininit.exe снова «активизируется» — теперь уже для корректного завершения запущенных процессов. .
Кстати!
До Windows 10 lsm.exe (Диспетчер локальных сеансов) также запускался с помощью wininit.exe. Начиная с Windows 10, эта функция перенесена в lsm.dll, которая размещена в svchost.exe.
services.exe
Путь: %SystemRoot%\System32\services.exe
Родительский процесс: wininit.exe
Количество экземпляров: Один
Время запуска: Через несколько секунд после запуска системы
В функции services.exe входит реализация Унифицированного диспетчера фоновых процессов (UBPM), который отвечает за фоновую работу таких компонентов, как Диспетчер управления службами (SCM) и Планировщик задач (Task Sheduler). Словом, services.exe отвечает за управление службами, а также за контроль за взаимодействием служб, обеспечивая их безопасную и эффективную работу.
UBPM: немного для тех, кто видит первый раз
Унифицированный диспетчер фоновых процессов (UBPM) — компонент системы, который автоматически управляет фоновыми процессами, такими как службы и запланированные задачи. Словом, он помогает оптимизировать запущенные в фоновом режиме службы, приостанавливать или завершать фоновые процессы, что позволяет экономить ресурсы системы.
Кстати!
До Windows 10, как только пользователь успешно вошел в систему в интерактивном режиме, services.exe считал загрузку успешной и устанавливал для последнего удачного набора элементов управления
HKLM\SYSTEM\Select\LastKnownGoodзначениеCurrentControlSet.А LastKnownGood — что это вообще?
LastKnownGood являлся опцией восстановления, благодаря которой можно запустить систему с последней рабочей конфигурацией, если система не может загрузиться из-за каких-либо причин. LastKnownGood сохранял резервную копию части реестра, в которой хранится информация о системе, драйверах и настройках.
Когда это могло пригодиться? Например, если загрузка нового ПО или изменение параметров системы не привело ни к чему хорошему. Тогда можно было бы использовать эту опцию, чтобы отменить изменения и откатиться к прошлому состоянию.
svchost.exe
Путь: %SystemRoot%\system32\svchost.exe
Родительский процесс: services.exe (чаще всего)
Количество экземпляров: Несколько (обычно не менее 10)
Время запуска: В течение нескольких секунд после загрузки, однако службы могут запускаться в течение работы системы, что приводит к появлению новых экземпляров svchost.exe.
svchost.exe (в Диспетчере задач прописывается как Служба узла) — универсальный хост-процесс для служб Windows, использующийся для запуска служебных DLL. В системе запускается несколько экземпляров svchost.exe, и каждая служба работает в своем собственном процессе svchost, что позволяет изолировать ошибки в работе одной службы от других, хотя в системах с ОЗУ менее 3,5 ГБ службы приходится группировать (см. ниже). Ну а в системах с оперативной памятью более 3,5 ГБ можно увидеть даже более 50 экземпляров svchost.exe.
Злоумышленники часто пользуются преимуществом наличия большого количества процессов svchost.exe, и могут воспользоваться этим, чтобы разместить какую-либо вредоносную DLL в качестве службы, либо запустить вредоносный процесс с именем svchost.exe или что-то типа scvhost.exe, svhost.exe и так далее.
Хотя, как известно, так можно сделать с любым процессом, но с svchost.exe это происходит почаще.
Кстати!
До Windows 10 версии 1703 экземпляры svchost.exe по умолчанию запускались в системе с уникальным параметром
-k, благодаря которому была возможна группировка похожих служб. Типичные параметры-kвключают:
DcomLaunch — служба, которая запускает компоненты COM и DCOM, благодаря которым программы взаимодействуют между собой на удаленных компьютерах
RPCSS — служба RPC (удаленный вызов процедур), благодаря которой программы взаимодействуют между собой через сеть.
LocalServiceNetworkRestricted — локальная служба, которая работает в пределах компьютера и имеет доступ к сети только для определенных операций.
LocalServiceNoNetwork — локальная служба, идентичная LocalServiceNetworkRestricted, но не имеющая доступа к сети.
netsvcs — группа служб Windows, благодаря которым выполняются задачи, связанные с сетью.
NetworkService — служба, которая позволяет выполнять задачи на удаленных хостах, и имеет доступ к сети для обмена данными.
Здесь можно почитать о разделении служб SvcHost.
RuntimeBroker.exe
Путь: %SystemRoot%\System32\RuntimeBroker.exe
Родительский процесс: svchost.exe
Количество экземпляров: Один или больше
Время запуска: Может быть разным
Работающий в системах Windows, начиная с Windows 8, RuntimeBroker.exe действует как прокси между ограниченными приложениями универсальной платформы Windows (UWP) и набором функций и процедур Windows API. В целях безопасности приложения UWP должны иметь ограниченные возможности взаимодействия с оборудованием, файловой системой и другими процессами, поэтому процессы-брокеры а-ля RuntimeBroker.exe используются для обеспечения требуемого уровня доступа для таких приложений.
Обычно для каждого приложения UWP существует один файл RuntimeBroker.exe. Например, запуск сalculator.exe приведет к запуску соответствующего процесса RuntimeBroker.exe.
И такое было: об утечках памяти, связанных с RuntimeBroker
Когда процесс RuntimeBroker еще был в новинку, пользователи во время работы с системой начали замечать, что RuntimeBroker.exe нещадно занимает аж более 500 МБ памяти, что несвойственно для него.
Оказывается, ошибка заключалась в следующем: каждый вызов методаTileUpdater.GetScheduledTileNotificationsприводила к тому, что RuntimeBroker выделял память без ее дальнейшего высвобождения. Чаще всего с этим сталкивались пользователи, у которых было установлено приложение «The Time» для измерения времени — оно постоянно обновляло информацию на плитке.Об этом казусе в Windows 8 можно почитать тут.
Про метод TileUpdater.GetScheduledTileNotifications
Если кратко, это метод, позволяющий получать запланированные уведомления от плиток в универсальных приложениях Windows (UWP). Он позволяет приложениям отображать информацию на стартовом экране пользователя в виде динамически обновляемых плиток.
taskhostw.exe
Путь: %SystemRoot%\System32\taskhostw.exe
Родительский процесс: svchost.exe
Количество экземпляров: Один или больше
Время запуска: Может быть разным
Процесс Task Host Window отвечает за выполнение различных задач Windows.
С началом работы, taskhostw.exe начинает выполнять задачи, которые были назначены ему системой, а в течение работы системы выполняет непрерывный цикл прослушивания триггерных событий. Примеры триггерных событий, которые могут инициировать задачу, могут включать в себя:
-
Определенное расписание задач
-
Вход пользователя в систему
-
Запуск системы
-
Событие журнала Windows
-
Блокировка/ разблокировка рабочей станции и т.д.
Двое из ларца: В чем разница между Task Host Window и Task Scheduler?
Task Host Window отвечает за выполнение различных системных задач, например, запуск служб и выполнение запросов на исполнение программ. Taskhostw.exe может использоваться для запуска службы обновления Windows, перехода компьютера в режим сна или ожидания после определенного времени и так далее.
Task Sheduler, он же Планировщик задач, — инструмент, благодаря которому пользователь имеет возможность создавать задачи и запускать их по расписанию или при определенных событиях. Планировщик задач может быть использован для запуска программ, скриптов и автоматизации задач.
lsass.exe
Путь: %SystemRoot%\System32\lsass.exe
Родительский процесс: wininit.exe
Количество экземпляров: Один
Время запуска: В течение нескольких секунд после загрузки
Local Security Authentication Subsystem Service (Служба проверки подлинности локальной системы безопасности) отвечает за аутентификацию пользователей путем вызова соответствующего пакета аутентификации, указанного в HKLM\SYSTEM\CurrentControlSet\Control\Lsa. Обычно это Kerberos для учетных записей домена или MSV1_0 для локальных учетных записей. Помимо аутентификации пользователей, lsass.exe также отвечает за реализацию локальной политики безопасности (например, политики паролей и политики аудита), а также за запись событий в журнал событий безопасности.
Что любят котята: Mimikatz и LSASS
Многим известно, что злоумышленники могут использовать Mimikatz, зачастую для перехвата учетных данных в операционной системе, и делают они это за счет перехвата данных процесса lsass.exe.
Все просто: работает Mimikatz на уровне ядра и внедряется в процесс LSASS или использует метод DLL-injection. Кража учетных данных происходит либо за счет получения доступа к памяти процесса, в котором лежат заветные креды, либо за счет перехвата вызова функций до шифрования учетных данных.
Также Mimikatz не пренебрегает использованием стандартных функций Win32 LsaProtectMemory и LsaUnprotectMemory, которые используются для шифрования и расшифровки некоторых участков памяти с чувствительной информацией.Чуть больше об lsass.exe можно прочитать тут.
И о любви котят к LSASS — тут.
winlogon.exe
Путь: %SystemRoot%\System32\winlogon.exe
Родительский процесс: smss.exe, который, запустив winlogon.exe, завершает работу
Количество экземпляров: Один или больше
Время запуска: В течение нескольких секунд после загрузки первого экземпляра, дополнительные экземпляры запускаются по мере создания новых сеансов (подключение с удаленного рабочего стола и быстрое переключение пользователей)
Winlogon обрабатывает интерактивный вход и выход пользователей из системы. Он запускает LogonUI.exe, который использует поставщика учетных данных для сбора учетных данных пользователя, а затем передает учетные данные lsass.exe для проверки.
После аутентификации пользователя Winlogon загружает NTUSER.DAT пользователя в HKCU, настраивает окружение пользователя, включая его рабочий стол, настройки реестра и т.д., и запускает оболочку пользователя explorer.exe через userinit.exe.
Совсем чуть-чуть об logonUI.exe
Да, название говорит само за себя: logonUI.exe отвечает за отображение экрана входа пользователя и за взаимодействие с пользователем при входе в систему. Если просто, то вывод того самого экрана входа и поля для ввода учетных данных — старания logonUI.exe.
..И об userinit.exe
Основная функция userinit.exe заключается в подготовке среды пользователя для работы в операционной системе.
Когда пользователь входит в систему, userinit.exe инициирует загрузку профиля пользователя, настройки оболочки (шаблоны рабочего стола, запуск программ и т.д.). После выполнения сих действий, userinit.exe запускает оболочку пользователя explorer.exe, которая отображает рабочий стол и другие элементы интерфейса, после чего завершает работу.Кстати!
Обработка команд из
CTRL+ALT+DEL, между прочим, тоже входит в обязанности winlogon.exe.
А тут можно почитать о Winlogon еще и узнать чуть больше — и про его состояния, и про GINA, и про все-все.
explorer.exe
Путь: %SystemRoot%\explorer.exe
Родительский процесс: userinit.exe, который завершает работу
Количество экземпляров: Один или больше, если включена опция Запускать окна с папками в отдельном процессе
Время запуска: Интерактивный вход пользователя
По своей сути, explorer.exe предоставляет пользователям доступ к файлам, хотя одновременно это файловый браузер через проводник Windows (тот самый Диспетчер файлов) и пользовательский интерфейс, предоставляющий такие функции, как:
-
Рабочий стол пользователя
-
Меню «Пуск»
-
Панель задач
-
Панель управления
-
Запуск приложений через ассоциации расширений файлов и файлы ярлыков
Словом, процесс отвечает за отображение действий пользователя: открытие и закрытие окон, перемещение и копирование файлов и тому подобное.
Запуск приложений через ассоциации расширений файлов
По сути, это процесс, при котором система использует информацию о расширении имени файла (например,
.txt) для определения программы, которая будет запущена, чтобы обработать этот файл. Например, файл расширения.txtассоциируется в системе с текстовым редактором, потому она запустит его при двойном щелчке мышью. Словом, ассоциации расширений файлов определяют, какие программы открываются по умолчанию для определенных типов файлов.Также и с ярлыками — при щелчке запускается связанные с ними ресурсы.
Explorer.exe — это пользовательский интерфейс по умолчанию, указанный в значении реестра HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell, хотя Windows может работать и с другим интерфейсом, например, с cmd.exe.
Следует заметить, что легитимный explorer.exe находится в каталоге %SystemRoot%, а не %SystemRoot%\System32.
Explorer — это же браузер, нет?
В старые добрые времена, когда на системах еще стоял Internet Explorer, запуск этого браузера инициировал процесс iexplore.exe, и с каждой новой вкладкой создавался новый экземпляр этого процесса. Сейчас остался только explorer.exe, который ни в коем случае не связан с браузером.
Вместо Internet Explorer на наших системах стоит MS Edge, который имеет процесс msedge.exe, исполняемый файл которого лежит в\Program Files (x86)\Microsoft\Edge\Application\.
ctfmon.exe
Путь: %SystemRoot%\System32\ctfmon.exe
Родительский процесс: Зависит от того, какой процесс запустил ctfmon.exe
Количество экземпляров: Один
Время запуска: При входе в систему
Процесс ctfmon.exe или, как привыкли его видеть, CTF-загрузчик, управляет функциями рукописного и сенсорного ввода, распознавания голоса и переключения языка на панели задач. Также процесс отслеживает активные программы и настраивает языковые параметры для обеспечения поддержки многоязычного ввода.
Ctfmon.exe может быть запущен разными процессами, и это напрямую зависит от того, какие функции ввода или языка используются в системе. Примеры родительских процессов и причины запуска:
-
svchost.exe — использование рукописного ввода или распознавания речи
-
winword.exe, excel.exe и т.д. — использование программ пакета Microsoft Office
-
searchUI.exe — использование поиска на панели задач или приложения из магазина Windows 10
Конечно, это не исчерпывающий список легитимных процессов, но, как минимум, основной. Хочется верить, что этот материал был полезен тем, кто пугается страшных букв в Диспетчере задач и тем, кто просто хочет узнать немного больше.
Спасибо за прочтение!
При изучении запущенных процессов в диспетчере задач Windows 10, 8 и Windows 7 у вас можете возникнуть вопрос, что за процесс csrss.exe (Процесс исполнения клиент-сервер), особенно в случае, если он грузит процессор, что иногда случается.
В этой статье подробно о том, что представляет собой процесс csrss.exe в Windows, для чего он нужен, можно ли удалить данный процесс и по каким причинам он может вызывать нагрузку на процессор компьютера или ноутбука.
Что такое Процесс исполнения клиент-сервер csrss.exe
Прежде всего, процесс csrss.exe является частью Windows и обычно в диспетчере задач запущен один, два, а иногда и более таких процессов.
Данный процесс в Windows 7, 8 и Windows 10 отвечает за консольные (выполняемые в режиме командной строки) программы, процесс выключения, запуск другого важного процесса — conhost.exe и другие критические функции системы.
Удалить или отключить csrss.exe нельзя, результатом будут ошибки ОС: процесс запускается автоматически при запуске системы и, в случае, если каким-то образом вам удалось отключить этот процесс, вы получите синий экран смерти с кодом ошибки 0xC000021A.
Что делать, если csrss.exe грузит процессор, не вирус ли это
Если процесс исполнения клиент-сервер грузит процессор, для начала загляните в диспетчере задач, нажмите правой кнопкой мыши по этому процессу и выберите пункт меню «Открыть расположение файла».
По умолчанию файл располагается в C:\Windows\System32 и если это так, то, вероятнее всего, это не вирус. Дополнительно убедиться в этом можно, открыв свойства файла и посмотрев вкладку «Подробнее» — в «Название продукта» вы должны увидеть «Операционная система Microsoft Windows», а на вкладке «Цифровые подписи» — информацию о том, что файл подписан Microsoft Windows Publisher.
При размещении csrss.exe в других расположениях это действительно может быть вирус и тут может помочь следующая инструкция: Как проверить процессы Windows на вирусы с помощью CrowdInspect.
Если это оригинальный файл csrss.exe, то высокую нагрузку на процессор он может вызывать из-за неправильной работы функций, за которые он отвечает. Чаще всего — что-то связанное с питанием или гибернацией.
В данном случае, если вы выполняли какие-то действия с файлом гибернации (например, устанавливали сжатый размер), попробуйте включить полный размер файла гибернации (подробнее: Гибернация Windows 10, подойдет и для предыдущих ОС). Если проблема появилась после переустановки или «большого обновления» Windows, то убедитесь, что у вас установлены все оригинальные драйверы для ноутбука (с сайта производителя для вашей модели, особенно драйверы ACPI и чипсета) или компьютера (с сайта производителя материнской платы).
Но необязательно дело именно в этих драйверах. Чтобы попробовать выяснить, в каком именно, попробуйте выполнить следующие действия: скачайте программу Process Explorer https://technet.microsoft.com/ru-ru/sysinternals/processexplorer.aspx запустите и в списке запущенных процессов дважды кликните по экземпляру csrss.exe, вызывающему нагрузку на процессор.
Откройте вкладку Threads и отсортируйте ее по столбцу CPU. Обратите внимание на верхнее по нагрузке на процессор значение. С большой вероятностью, в столбце Start Address это значение будет указывать на какую-то DLL (примерно, как на скриншоте, если не считать того, что у меня нагрузки на процессор нет).
Узнайте (используя поисковик), что это за DLL и частью чего она является, попробуйте переустановить данные компоненты, если это возможно.
Дополнительные методы, которые могут помочь при проблемах с csrss.exe:
- Попробуйте создать нового пользователя Windows, выйти из под текущего пользователя (обязательно выйти, а не просто сменить пользователя) и проверить, сохраняется ли проблема с новым пользователем (иногда нагрузка на процессор может быть вызвана поврежденным профилем пользователя, в этом случае, если есть, можно использовать точки восстановления системы).
- Выполните проверку компьютера на наличие вредоносных программ, например, с помощью AdwCleaner (даже если у вас уже есть хороший антивирус).
Все способы:
- Зачем нужен «Процесс исполнения клиент-сервер»
- Способ 1: Отключение аппаратного ускорения в Windows
- Способ 2: Работа с драйвером видеокарты
- Способ 3: Чистый запуск ОС
- Способ 4: Проверка системы на вирусы
- Способ 5: Проверка оперативной памяти
- Способ 6: Обновление BIOS
- Способ 7: Переустановка/сброс Windows
- Вопросы и ответы: 0
Зачем нужен «Процесс исполнения клиент-сервер»
«Процесс исполнения клиент-сервер», который также известен в системе как csrss.exe (Client-Server Runtime Subsystem), нужен для выполнения самых разных системных задач. Это критически важный процесс, без которого Windows просто не сможет функционировать, — если его завершить, сразу же появится синий экран смерти (BSOD). Предназначение этой задачи в корректном завершении работы ОС, работе с темами, запуске консолей типа «Командной строки», функционированию терминальных служб и корректного подключения к удаленному рабочему столу.
Соответственно, если в определенный момент выполняется одно из действий, за которое отвечает csrss.exe, нагрузка на компьютер может возрастать. Однако в целом она будет несущественная, тем более не на видеокарту, а на процессор и ОЗУ. Графический адаптер этот процесс чаще всего нагружает в двух случаях: есть проблемы с самой видеокартой (обычно с ее ПО) или под данный процесс маскируется вирус. Однако эти причины не единственные, поэтому рекомендуется ознакомиться со всеми инструкциями из статьи. В некоторых способах есть уточнения, в каких ситуациях их имеет смысл выполнять.
Способ 1: Отключение аппаратного ускорения в Windows
Иногда аппаратное ускорение, работающее в Windows, отрицательно сказывается на стабильности системы. Проверить, так ли это в вашем случае, довольно просто:
- Через «Пуск» откройте приложение «Параметры».
- Переключитесь в раздел «Система», а затем зайдите в «Дисплей».
- Тут вам нужен подраздел «Графика».
- На этой странице разверните «Дополнительные графические параметры». Если ваша видеокарта поддерживает «Планирование GPU с аппаратным ускорением» и параметр сейчас включен, деактивируйте его. Отсутствие данного пункта означает, что устройство попросту не поддерживает данную функцию, поэтому выключать ничего не надо и данный способ можно пропустить.
Тем, кто отключил упомянутую функцию, следует перезагрузить ПК и посмотреть, нормализовалась ли работа процесса.
Способ 2: Работа с драйвером видеокарты
Поскольку нагрузка происходит на видеокарту, логично разобраться с тем, не влияет ли на аномальную работу процесса драйвер видеокарты.
При условии, что нагрузка началась недавно, вероятно, причиной этому послужило обновление драйвера. Оно могло быть некорректным, а также сам драйвер мог оказаться недоработанным или плохо совместимым с текущей конфигурацией. Попробуйте его откатить, используя, например, «Диспетчер устройств». Эти и другие методы отката были рассмотрены в другой статье по ссылке ниже. Первые два подойдут и для обладателей AMD / Intel, поскольку выполняются через Windows. А вот средствами фирменного ПО для управления графикой этого сделать не получится, в отличие от пользователей NVIDIA.
Подробнее: Как откатить драйвер видеокарты
Если откат недоступен, попробуйте просто удалить драйвер и установить его с нуля, для удобства скачав последнюю версию в виде установочного файла заранее. Настоятельно советуем удалять его не обычным образом, а при помощи специального приложения, сводящего к минимуму возможные конфликты при переустановке.
Подробнее: Удаляем драйверы видеокарты
К слову, можете проверить саму видеокарту, нормально ли она работает в принципе.
Подробнее: Проверка работоспособности видеокарты
Способ 3: Чистый запуск ОС
Реже на работе csrss.exe сказывается какое-либо специфическое приложение, установленное пользователем самостоятельно. Вы можете попробовать отключить все приложения в автозагрузке и перезапустить компьютер, чтобы затем проверить, продолжается ли нагрузка на видеокарту. Сделать это можно прямо через «Диспетчер задач» (Ctrl + Shift + Esc) и соответствующую вкладку.
Однако это далеко не самый эффективный вариант. Лучше всего использовать чистую загрузку, которая позволяет запустить Windows в режиме, где работают только системные приложения и службы.
Вы также можете воспользоваться «Безопасным режимом», который работает строже, чем чистая загрузка. Поскольку в нем не работают даже пользовательские драйверы (видеокарты и т. д.), вам будет более ясна картина происходящего.
Подробнее: Как войти в «Безопасный режим» в Windows 11 / Windows 10
Альтернативой этому станет создание второго профиля в Виндовс и проверка, нагружает ли «Процесс исполнения клиент-сервер» видеокарту там. Такой подход также поможет понять, имеет ли место некорректная работа программ, драйверов или самой операционной системы.
Читайте также: Как создать учетную запись в Windows 11 / Windows 10
Способ 4: Проверка системы на вирусы
Вирусы, в последнее время это майнеры, могут маскироваться под разные системные процессы, включая «Процесс исполнения клиент-сервер». Такой процесс, кстати, в отличие от оригинального, можно попытаться завершить, и это не вызовет BSOD. Вот только проблему такое действие не решит — вирусный процесс попросту перезапустится, если вообще даст себя «убить».
Иногда удостовериться, что это вирус, можно, кликнув по процессу правой кнопкой мыши и перейдя в его «Свойства».
Здесь на вкладке «Подробно», в строчке «Название продукта» должно отображаться имя «Операционная система Microsoft Windows».
А на вкладке «Цифровые подписи» имя подписавшего будет «Microsoft Windows Publisher».
Соответственно, расположение у оригинала должно быть исключительно C:\Windows\System32.
Однако даже если эти названия совпадают с оригинальными, стоит помнить, что цифровые подписи мошенники могут и подделать. Поэтому единственным достоверным методом узнать, не маскируется ли под csrss.exe вирус, можно исключительно сканированием системы на вирусы. Не стоит пренебрегать этой рекомендацией, поскольку вирусы можно подцепить даже, например, скачивая с торрент-трекеров. И современные вирусы ведут себя не так, как условные вирусы-вымогатели 15-летней давности. Сейчас их основная задача — кража личных данных и незаметное использование ресурсов ПК для майнинга криптовалют. В статьях по ссылкам ниже вы найдете исчерпывающие руководства по сканированию ПК на обычные вирусы, а также поиску и удалению майнера (обратите внимание, это две разные статьи и ссылки, естественно, тоже две).
Подробнее:
Борьба с компьютерными вирусами
Как найти, а затем удалить вирус-майнер в Windows 11
Программы для удаления майнеров
Способ 5: Проверка оперативной памяти
Некоторые пользователи находят источник проблемы в оперативной памяти. Сперва нужно проверить каждую из них на работоспособность. Отключите компьютер, снимите крышку с корпуса и найдите планки оперативной памяти, подключенные к материнской плате.
Если у вас их несколько (от двух), сперва отключите одну, а затем запустите компьютер, начните выполнять привычные задачи и посмотрите, продолжает ли «Процесс исполнения клиент-сервер» нагружать GPU. Если да, таким же образом проверьте остальные планки. При условии, что таким образом удалось обнаружить неисправный модуль, единственное, что остается, это заменить его на новый такой же. Либо можете заменить всю ОЗУ, при выборе не забывая проверять ее совместимость с материнской платой. Более подробная информация на эту тему есть в материалах по ссылкам далее.
Подробнее:
Как проверить оперативную память на работоспособность
Устанавливаем модули оперативной памяти
Проверяем совместимость оперативной памяти и материнской платы
Тем пользователям, кто поднимал частоту оперативной памяти через специальные программы, рекомендуется сбросить ее до стандартного значения. Также в некоторых ПК повышенная частота может быть автоматически установлена в BIOS (как правило, в разделе «Tweaker» или «M.I.T.»). Понизьте ее до минимально допустимого для вашей модели оперативной памяти, при необходимости предварительно отключив XMP-профиль (если редактирование значений недоступно).
Способ 6: Обновление BIOS
В отдельных случаях решением становится обновление BIOS до последней версии. Возможно, его текущая версия некорректно связывает между собой работу аппаратной и программной частей, из-за чего и возникает рассматриваемая неполадка. Тем, у кого нет должных знаний и опыта, лучше обратиться за помощью к знающему человеку, поскольку необдуманные действия, связанные с прошивкой BIOS, могут привести к тому, что компьютер не включится вообще.
Подробнее:
Обновление BIOS на компьютере
Обновление BIOS на ноутбуках Samsung / Lenovo / Acer / HP / ASUS
Способ 7: Переустановка/сброс Windows
Переустановка или сброс Windows до первоначального состояния в большинстве случаев имеет смысл, когда пользователь менял конфигурацию ПК, к примеру пересобирал компьютер или заменял одно комплектующее, допустим видеокарту. Даже несмотря на в целом стабильную работу системы после этого, в некоторых ситуациях могут наблюдаться сбои, ошибки или слабая производительность. Верным
и даже необходимым выходом станет сброс или классическая переустановка.
Подробнее:
Сброс Windows 11 / Windows 10 к заводским настройкам
Способы переустановки Windows 11 / Windows 10 без потери данных
Наша группа в TelegramПолезные советы и помощь
Что такое CSRSS.exe и можно ли выключить в Windows 10 и 11
В Диспетчере задач Windows 11, Windows 10 и даже Windows 7 можно наткнуться на процесс CSRSS.exe. Как правило, никаких системных ресурсов тот не потребляет, но некоторые пользователи все же отмечают, что он может нагружать ПК, пускай несильно и кратковременно. Сегодня о том, что такое процесс CSRSS, представляет ли он угрозу компьютеру и можно ли от него избавиться, т.е. удалить или хотя бы отключить.
CSRSS.exe – подсистема клиент/сервер времени выполнения; системный процесс Windows, отвечающий за вызовы функций подсистемы Win32. Критически важный процесс, без которого нормальное функционирование Windows не представляется возможным.
Можно ли отключить/удалить CSRSS?
Можно, но делать этого нельзя ни при каких обстоятельствах. Принудительно деактивировав CSRSS, на экране компьютера появится синий экран смерти (BSoD) с кодом CRITICAL_PROCESS_DIED.
CSRSS грузит процессор
В некоторых случаях процесс CSRSS.exe может активно потреблять системные ресурсы, в частности ЦП. Первым делом нужно убедиться, что вы имеете дело с «настоящим» CSRSS, а не вредоносной программой или вирусом извне.
- Запустите Проводник ОС.
- Перейдите в папку C:\Windows\System32.
- Кликните ПК на исполняемый файл CSRSS и выберите «Свойства».
- Перейдите во вкладку «Подробно».
- Ознакомьтесь с информацией во вкладке (должна быть упомянута Майкрософт).
- Далее перейдите во вкладку «Цифровые подписи» и просмотрите сведения о файле (также должна быть упомянута Майкрософт).
Если файл оказался фальшивым, то он подлежит незамедлительному удалению. После удаления рекомендуется запустить глубокое сканирование системы надежным антивирусом. Если же файл настоящий (и все еще грузит компьютер), можно проделать ряд действий на своем ПК, которые, возможно, помогут вернуть CSRSS.exe в нормальное состояние.
- Изменение размера файла гибернации. Откройте командную строку от админа (WIN+R→CMD→CTRL+SHIFT+ENTER) и выполните команду powercfg /h /type full. Перезагрузите ПК после выполнения команды.
- Установка драйверов материнской платы. Скачайте и установите оригинальные драйвера для своей материнской платы, в частности драйвера ACPI/чипсета. Это же относится к владельцам ноутбуков.
- Поиск проблемного элемента. Скачайте утилиту Process Explorer с официального сайта Майкрософт. Найдите в списке процесс CSRSS.exe, который вызывает повышенную нагрузку на ПК, и дважды кликните по нему ЛКМ. Перейдите во вкладку «Treads» и отсортируйте доступные элементы по столбику «CPU». В строке «Start Address», скорее всего, будет находиться проблемный элемент, например, динамически подключаемая библиотека (DLL) или же какой-то драйвер (SYS). Теперь копируем имя элемента и гуглим. Дальнейшее решение будет зависеть от поисковой выдачи.
Если ничего не помогает
Как правило, что-то из вышеуказанного помогает решить проблему с CSRSS.exe. Однако в некоторых случаях может потребоваться ряд дополнительных решений. К последним можно отнести:
- создание локальной учетной записи;
- восстановление системы;
- установка отложенных обновлений Windows;
- дополнительная проверка системы антивирусом.
Делитесь своими успехами и вопросами в комментариях ниже!