Службы - [решено] Два процесса csrss.exe: нормально ли это?

Valeant · Отправлено: **15:58, 22-01-2010** | #11

The_Crystal,
Процесса два. и должно быть два.
1. C:\Windows\system32\csrss.exe -
Потоки
winsrv.dll
csrsrv.dll
2. C:\Windows\system32\csrss.exe -
Потоки
cdd.dll
winsrv.dl
csrsrv.dll
Запущена служба
C:\Windows\system32\conhost.exe - Окно консоли узла

Цитата:

Множество вирусов использует данное имя приложения, чтобы не вызвать подозрения у пользователя, тем более что для каждого терминального доступа создаётся отдельный экземпляр файла, поэтому на серверных машинах их количество может доходить до нескольких десятков. Оригинальный файл хранится только в папке system32. Наличие такого имени файла в других каталогах признак заражения.

zomboy · Отправлено: **20:38, 20-07-2011** | #12

Подскажите, в системе два csrss.exe процесса (в ДЗ), только кушают памяти по разному: 1616 кб и 2764 кб. Судя по свойствам, оба находятся в C:\Windows\System32. У обоих версия: 6.1.7600.16385. Вопрос - зачем два... вирус ли один из них?

Petya V4sechkin · Конфигурация компьютера

zomboy, воспользуйтесь фильтрами по названию темы по csrss.

Результат

Два процесса csrss.exe: нормально ли это?

Цитата Eric Perlin - MSFT:

2 is actually the minimal number that's expected at anytime.
2 SYSTEM processes live per session for pretty much as long as each (TS) session exists (csrss.exe & winlogon.exe).

There are at least 2 sessions at any time, session 0 for services, other sessions for interactive logons.
There are more than 2 sessions when you use fast user switching or remote desktop.

zomboy · Отправлено: **21:07, 20-07-2011** | #14

Если честно, то всё это я уже прочёл. Вот только однозначно ответить никто не может по какой причине их два, если родитель и профиль один....

Просто до того, как написать здесь, перелопатил много рус и не рус инфы в сети.... Неделю по форумам гуляю...

Petya V4sechkin · Конфигурация компьютера

Цитата zomboy:

Вот только однозначно ответить никто не может по какой причине их два, если родитель и профиль один....

Однозначный ответ в предыдущем посте.
Если с английским туго, вбейте в любом поисковике Изоляция сессии 0 (пример).

Цитата:

В Windows XP, Windows Server 2003 и более ранних версиях операционной системы Microsoft Windows все системные сервисы выполнялись в той же сессии, что и сессия, в которую загрузился первый пользователь системы. Такая сессия называется Сессия 0 (Session 0). Выполнение сервисов и пользовательских приложений в Сессии 0 могло приводить к определенным рискам, связанным с безопасностью, т. к. сервисы могут выполняться с повышенными привилегиями (например, под учетной записью Local System), вредоносные приложения могли пытаться использовать эти сервисы для повышения собственного уровня привилегий.

В операционной системе Windows Vista описанные выше риски устраняются за счет того, что сервисы, выполняемые в Сессии 0, изолированы и сама сессия не является интерактивной. В Windows Vista в Сессии 0 выполняются только системные процессы и сервисы. Первый пользователь, подключающийся к системе, загружается в Сессию 1, все последующие пользователи — в сессии с увеличивающими номерами. Это означает, что сервисы никогда не выполняются в той же сессии, что и пользовательские приложения и, таким образом, сервисы защищены от атак, которые могут происходить от вредоносных приложений.

Используя утилиту Task Manager, убедимся в том, что все сервисы Windows отделены от приложений и выполняются в Сессии 0.

Запустим утилиту Task Manager, выберем вкладку Process и включим отображение колонки Session ID (команда View | Select Columns). Активизируем опцию Show processes from all users для получения списка всех сервисов и убедимся в том, что они выполняются в отличной от приложений сессии — Сессии 0.

zomboy · Отправлено: **09:33, 29-07-2011** | #16

Спасибо за подробный ответ.

Москвич · Конфигурация компьютера

У меня лицензионная операционная система Windows 7 Начальная.
Сейчас в диспетчере задач работают два процесса.
Один занимает Память-9.984kb,а другой-1.540kb.
Стал проверять эти два процесса-csrss.exe
Нашёл это приложение в---
c:\Windows\System32\csrss.exe-приложение 6kb.
c:\Windows\winsxs\x86_microsoft-windows-csrss_316f3856ad364e35_6.1.7600.16
385-none-58ba39fb456943bd\csrss.exe-приложение 6kb.
c:\Windows\winsxs\Backup\x86_microsoft-windows-csrss_31bf3856ad364e35_
6.1.7600.16385_none_58ba39fb456943bd_csrss.exe_06529458-файл"EXE_
06529458"-6kb.
c:\Windows\System32\ru-RU\csrss.exe.mui-файл"mui"-2kb.
c:\Windows\winsxs\x86_microsoft-windows-csrss.resources_31bf3856ad364e35_
6.1.7600.16385_ru-ru_238878ee93c9301d\csrss.exe.mui-файл"mui"-2kb.
Везде пишут,что приложение должно быть только в одной папке System32,а тут такое скопление!
Что можете мне сказать?Всё правильно или есть вирус?
Всего всем хорошего!

Игорь Лейко · Отправлено: **20:38, 11-01-2014** | #18

Цитата The_Crystal:

Ну хоть убей, но я помню, что должен быть один! »

Должно быть как раз не меньше двух, один для сеанса 0, второй для сеанса 1.

Москвич · Конфигурация компьютера

Цитата Игорь Лейко:

Должно быть как раз не меньше двух, один для сеанса 0, второй для сеанса 1. »

Хорошо!Я согласен,что должно не меньше 2-х!
А как понять слова:Для сеанса 1 ?
Для сеанса 0 понятно из текста выше.А что такое Для сеанса 1 ?
И ещё одно непонятно:

Цитата Москвич:

c:\Windows\winsxs\x86_microsoft-windows-csrss_316f3856ad364e35_6.1.7600.16
385-none-58ba39fb456943bd\csrss.exe-приложение 6kb. »

Это приложение должно ещё и в этой папке быть ? Или нет ?
Жду от всех ответа.
Всего хорошего!

Игорь Лейко · Отправлено: **13:21, 12-01-2014** | #20

Цитата Москвич:

А как понять слова:Для сеанса 1 ? »

Для сеанса, в котором работает пользователь. Начиная с висты нормальный режим - когда пользователь и система работают в разных сеансах Поэтому сеанс 0 - это система, сеанс 1, 2, 3 и так далее - сеансы пользователей, вошедших в систему.