csrss_tc.exe, что за процесс? csrss_tc.exe как лечить?

Информационная безопасность в электронной коммерции. Защита информационных ресурсов.

csrss_tc.exe, что за процесс? csrss_tc.exe как лечить?

Новое сообщение Николай » 01 июл 2012, 19:11

csrss_tc.exe, что за процесс? csrss_tc.exe как лечить?

Предыстория заражения вирусом csrss_tc.exe. Компьютер (не мой) с установленной лицензионной ОС "Windows XP Pro" и антивирусной программой "Kaspersky Anti-Virus 6.0 for Windows Workstations Version 6.0.4.1424 d.f" был заражен вирусом csrss_tc.exe. Симптомы заражения вирусом csrss_tc.exe: сильное снижение производительности компьютера, снижение скорости работы Интернет соединения.

Диспетчер задач (Ctrl + Alt + Delete) показал наличие двух подозрительных процессов csrss_tc.exe, каждый из которых занимал до 45% процессорного времени, что в сумме давало пиковую загрузку процессора до 90%. Нормальная работа двухъядерного процессора Intel Celeron была практически парализована. Принудительное завершение процессов csrss_tc.exe не давало положительного результата, т.к. процессы мгновенно запускались по новой.

Поиск в Интернете выдал два варианта решения проблемы лечения компьютера от csrss_tc.exe:

1. Нажимаем кнопку "Пуск", далее "Выполнить". Вводим в командную строку "taskkill /IM CSRSS_TC.EXE /f", нажимаем "Enter" и "убиваем" процесс csrss_tc.exe в принудительном порядке. Далее... перезагружаем компьютер. На начальном этапе загрузки, с помощью клавиши "F8", выходим на меню выбора режимов загрузки Windows. Выбираем вариант загрузки - "Безопасный режим" (Safe Mode). После загрузки Windows в "безопасном режиме" просматриваем содержимое папки "system32" на предмет наличия файла csrss_tc.exe (полный путь к файлу: C:\Windows\system32\csrss_tc.exe). Вероятнее всего, что файл csrss_tc.exe будет иметь атрибут "скрытый файл", поэтому включите режим отображения скрытых системных файлов или просмотрите папку файловым менеджером, например Total Commander. После обнаружения файла csrss_tc.exe - удаляем его. Перезагружаем компьютер и проверяем его работу. Отсутствие процесса csrss_tc.exe в диспетчере задач и нормальная скорость работы компьютера говорят об успешности проведенных реанимационных мероприятий.

2. Для удаления csrss_tc.exe можно воспользоваться бесплатной антивирусной программой RemoveAny 2.10. Ссылка для скачивания RemoveAny: free-anti-spy.com/ru/index.php. Программа мало весит ~933 Кб, и имеет очень простой интерфейс. Информацию про опасность заражения вредоносной программой csrss_tc.exe можно прочитать на странице "virusbase": virusbase.free-anti-spy.com/ru/search.php?s=1892.csrss_tc.exe. Разработчики сообщают, что антивирус RemoveAny способен находить множество вредоносных программ, в т.ч. и csrss_tc.exe.

P.S. Зараженный компьютер реанимировал по первому варианту. Эффект положительный. Работоспособность компьютера полностью восстановилась. Антивирусную программу RemoveAny скачал, но проверить ее на конкретном вирусе не получилось, т.к. файл csrss_tc.exe к тому времени уже успел удалить.
Републикация и цитирование материалов на сторонних веб-ресурсах разрешается, при условии сохранения авторства и прямой, активной, индексируемой ссылки на форум http://forum.e-proficom.ru
Аватар пользователя
Николай
Руководитель
 
Сообщений: 1348
Зарегистрирован: 08 дек 2009, 15:17
Откуда: Россия

Re: csrss_tc.exe, что за процесс? csrss_tc.exe как лечить?

Новое сообщение Vlad » 02 июл 2012, 14:30

Спасибо, весьма полезная информация, будем знать. 8-)
Продающие тексты. Рекламные слоганы. Эффективно, эффектно, дорого.
Аватар пользователя
Vlad
VIP Club
 
Сообщений: 1863
Зарегистрирован: 05 апр 2010, 19:06
Откуда: Котляндия

Re: csrss_tc.exe, что за процесс? csrss_tc.exe как лечить?

Новое сообщение pessimist » 02 июл 2012, 22:59

А процесс csrss.exe действительно является системным ? Или это родственник csrss_tc.exe ?
Аватар пользователя
pessimist
Авторитетный оратор
 
Сообщений: 400
Зарегистрирован: 18 фев 2012, 11:34
Откуда: Санкт-Петербург

Re: csrss_tc.exe, что за процесс? csrss_tc.exe как лечить?

Новое сообщение Николай » 03 июл 2012, 04:24

pessimist писал(а):А процесс csrss.exe действительно является системным ? Или это родственник csrss_tc.exe ?


Судя по всему csrss.exe является системным файлом, но под него могут маскироваться различные вирусы, для сокрытия своего пребывания в операционной системе.

Подсистема клиент/сервер времени выполнения (англ. Client/Server Runtime Subsystem, CSRSS) или csrss.exe, входит в состав операционной системы Microsoft Windows NT, и предоставляет собой часть пользовательского режима подсистемы Win32. Включена в состав Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows Server 2008 и Windows 7. Поскольку большинство операций подсистемы Win32 были перенесены в режим ядра, а конкретнее в драйверы режима ядра, в Windows NT 4 и выше CSRSS в основном отвечает за обработку консоли в Win32 и графический интерфейс выключения ОС. Подсистема имеет решающее значение для функционирования ОС; поэтому завершение этого процесса приведет к отказу системы. При нормальных условиях, CSRSS не может быть завершена применением команды Taskkill или с помощью диспетчера задач Windows, хотя это возможно в Vista, если диспетчер задач запускается в режиме администратора. В Windows 7 и Windows 8 Developer Preview, диспетчер задач сообщит пользователю, что завершение процесса приведет к отказу системы, и покажет запрос хочет ли пользователь продолжить.

Завершение csrss.exe ведёт к BSOD и (аварийной) перезагрузке Windows. Исполняемый файл csrss.exe хранится в папке %SYSTEMROOT%\system32

Источник информации: ru.wikipedia.org


Дополнительную информацию по системному файлу csrss.exe можно прочитать на этой странице: securitylab.ru/processinfo/266154.php
Републикация и цитирование материалов на сторонних веб-ресурсах разрешается, при условии сохранения авторства и прямой, активной, индексируемой ссылки на форум http://forum.e-proficom.ru
Аватар пользователя
Николай
Руководитель
 
Сообщений: 1348
Зарегистрирован: 08 дек 2009, 15:17
Откуда: Россия

Re: csrss_tc.exe, что за процесс? csrss_tc.exe как лечить?

Новое сообщение pessimist » 03 июл 2012, 08:52

Большое спасибо за столь подробный и развернутый ответ. Слышал о том, что многие вирусные программы маскируют имена своих процессов под системные добавляя к названию системного процесса один или несколько символов.
Аватар пользователя
pessimist
Авторитетный оратор
 
Сообщений: 400
Зарегистрирован: 18 фев 2012, 11:34
Откуда: Санкт-Петербург


Вернуться в Информационная безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9

cron