Csrss.exe é um processo importante do Windows, o que às vezes pode consumir muitos recursos do sistema e confundir os usuários com tal comportamento. Algumas pessoas podem confundi-lo com um vírus trojan e tentar encerrá-lo à força. Então, csrss.exe é perigoso? E como corrigir os problemas que isso cria? Vamos descobrir.
O que é Csrss.exe?
Csrss.exe é um processo legítimo do Windows com o nome completo de Client Server Runtime Process e é crítico para o sistema. Este processo está presente em todas as versões modernas do Windows, e não é incomum notar vários casos consecutivos. Tal fenômeno é normal e não é considerado sinal de vírus. O sistema executa um na inicialização, e encerrando-o leads to BSoD.
Este processo no Windows 7, 8, e 10 é responsável pelos programas de console, processos de desligamento, iniciando outro processo vital – conhost.exe – e outras funções críticas do sistema. Ele usa alguns recursos no modo normal, então não há razão para encerrá-lo. É necessário para desligar o sistema, Máquina Virtual DOS (DMV) suporte e outras funções do sistema, como processamento de sinal Ctrl+C e Ctrl+Break, troca de usuário, e montagem e desmontagem de discos. Como uma função legada, csrss.exe é responsável por abrir a janela do console, mas apenas na medida em que inicia o processo conhost.exe.
Csrss.exe BSOD – Como consertar?
Às vezes, após manipulações malsucedidas com o arquivo Csrss.exe ou outros arquivos do sistema, o Windows pode ficar instável ou não iniciar. A corrupção de arquivos importantes do sistema do Windows pode causar isso. A solução é a seguinte:
Vou ao Menu de solução de problemas – Opções avançadas – Prompt de comando no ambiente de recuperação. No prompt de comando que inicia, execute o seguinte comando:
sfc /scannow /offbootdir=C:\ /offwindir=C:\Windows
Depois de inserir o comando, pressione Enter e aguarde a conclusão do processo. Isto pode tomar algum tempo, mas não se esqueça de esperar até o fim, pois é necessário para finalizar os arquivos do sistema’ reparar. Depois disso, feche o prompt de comando e reinicie o computador.
Analise um verdadeiro vírus Trojan
Encontramos várias amostras de Csrss.exe como vírus Trojan.
Eles podem ser baixados da Internet pelos próprios usuários. Muitas vezes, quando os usuários abrem arquivos desconhecidos da mensagem de spam, eles infectam o computador com diferentes tipos de malware semelhante a vírus. Mas o desenvolvedor de malware geralmente tem um plano B. Eles anexam vírus semelhantes à instalação de vários programas gratuitos. Por isso, se você pular o processo de instalação e não olhar para a configuração de vantagem, então prepare-se que seu computador será infectado por um vírus como este.
Descobrimos uma amostra do Trojan.CoinMiner escrito em Delphi, que é distribuído via spam:
GridinSoft Anti-Malware detecta-o como “Trojan.Win32.CoinMiner.dd”
MD5: 922e0891ae30ac3adb3a09cb963570cc
SHA1: 77feeefff422519cdb63faa438fea87e5e70882a
Outros programas antivírus detectam Trojan.CoinMiner (csrss.exe) como:
| DrWeb | Trojan.Hosts.6838 |
| Emsisoft | Trojan.Agent.CEQQ (B) |
| CASO-NOD32 | uma variante do Win64/BitCoinMiner.AP potencialmente insegura |
| Kaspersky | não-um-vírus:RiskTool.Win64.BitCoinMiner.cev |
Arquivos descartados do Trojan Miner:
C:\Windows\MicrosoftU
Auto.bat
Start.vbs
Start2.vbs
Hide.bat
Start.bat
Start2.bat
1.bat
2.bat
Srvany.exe
Csrss.exe
Srvanyx.exe
Após o Trojan.CoinMiner ter sido descompactado. Ele esconde sua presença usando as strings em Hide.bat, definindo os atributos ocultos e do sistema para a pasta e arquivos.
Attrib C:\Windows\MicrosoftU + S + H / S / D
Attrib C:\Windows\MicrosoftU\*. * + S + H / S / D
Trojan Miner usa o nome de um dos arquivos do sistema “csrss.exe” para ocultar sua presença no sistema.
O vírus Csrss.exe começa com os seguintes parâmetros:
- Estrato + tcp: //xmr.pool.minergate.com: 45560 – Recurso para o qual “mineração” será inserido
- [email protected] – login do usuário de quem a extração será introduzida
- Criptonoite – Algoritmo de mineração
Outro parâmetro é em quantos threads o programa funcionará. Esse “mineiro” tem uma fórmula para calcular o número de núcleos de processador envolvidos. Está no arquivo .bat que inicia o “mineiro” pela primeira vez:
Set / a CPU =% NUMBER_OF_PROCESSORS% / 2 + 1
Srvanyx -a cryptonight -o stratum + tcp: //xmr.pool.minergate.com: 45560 -u [email protected] -p x -t% cpu%
CPU alta & Solução de problemas de GPU
Se você encontrar consumo anormal de GPU e CPU pelo processo csrss.exe, você deve primeiro verificar a localização do arquivo. Para verificar isso, clique com o botão direito nele e selecione “Abrir local do Ficheiro“. Deve estar localizado em “%SYSTEMROOT%system32“.
Próximo, clique com o botão direito no arquivo e selecione “Propriedades“, então o “Detalhes” aba. O nome do produto deste arquivo deve ser “Sistema operacional Microsoft® Windows®“. Também, a seção de direitos autorais deve ser “©Microsoft Corporation. Todos os direitos reservados.”
Se for o arquivo csrss.exe original, isso pode causar uma alta carga de CPU/GPU devido a operação incorreta das funções é responsável por.
O consumo excessivo de GPU do processo de tempo de execução do cliente-servidor era anteriormente um problema reconhecido em uma das atualizações cumulativas do Windows. No entanto, A Microsoft resolveu o problema por meio de várias atualizações e hotfixes. Você ainda pode estar usando uma versão mais antiga do Windows com este problema. Se for assim, vá para a seção de atualizações do Windows e clique em “Verifique se há atualizações“.
A próxima etapa é atualizar seus drivers de GPU. Se você tem uma Nvidia, abra a experiência Geforce, e sob o “Motoristas” aba, clique “Verifique se há atualizações” e siga as instruções. Se você tiver uma GPU AMD, verifique o software Radeon para atualizações. É vital baixar drivers de sites oficiais. Por favor evite usar sites de baixa confiança ou instaladores de terceiros como pacotes de driver.
Se o problema persistir, execute uma varredura SFC. Para fazer isso, execute o prompt de comando como administrador e cole o “sfc /scannow” comando para ele.
Se o processo csrss.exe ainda carregar o dispositivo após todas as manipulações, você pode criar um novo perfil de usuário. Para adicionar um novo perfil de usuário ao seu PC, vá para as configurações (ícone de engrenagem) e selecione Contas. Sob Família & Outros usuários, clique em Adicionar outra pessoa a este PC. Escolher “Não tenho as informações de login desta pessoa” e selecione “Adicione um usuário sem uma conta da Microsoft”. Preencha os dados e clique em Avançar. Lembre-se de conceder privilégios de administrador apenas àqueles em quem você confia.
Observação: Este guia é relevante para usuários do Windows 10. Windows 11 não tem a opção de adicionar uma conta local e pede para você usar uma conta da Microsoft.
É um vírus trojan CSRSS.exe?
Primeiro, qualquer alegação de que “csrss.exe” arquivo localizado em “C:\WindowsSystem32” é um vírus trojan é falso. O baixo conhecimento do usuário junto com nomes de processos ininteligíveis tornam os nomes de processos do sistema uma excelente opção para esconder malware. Geralmente, o malware tenta infectar ou disfarçar-se como processos críticos do sistema operacional. Também, muitos vírus usam o nome desse processo ou arquivo executável para se disfarçar e não levantar suspeitas. Cada sessão cria um processo separado, permitindo a execução simultânea de várias dezenas de processos.
No entanto, é um bom motivo para se preocupar se o csrss.exe tem alta CPU e GPU carga é constante. Mas mesmo neste caso, existem duas opções para comportamento anormal do processo: malware e corrupção de perfil de usuário. O executável original “csrss.exe” o arquivo é armazenado apenas em um lugar – no “C:\WindowsSystem32” diretório. Se apenas um sistema operacional estiver instalado no dispositivo, substituir ou sobrescrever este arquivo no diretório padrão é quase impossível.
Dito isto, encontrando os arquivos nomeados “csrss.exe” em outros diretórios do seu PC é um sinal de atividade de malware. Para remover a ameaça, lançar Antimalware GridinSoft e selecione uma verificação completa. Aguarde até que seja concluído e execute todas as ações sugeridas.
