Не открывается место хранения файла процесса
Привет друзья! Сегодня утром мне попался интересный случай. Ноутбук моего клиента долго загружался и конечно первым делом я исследовал автозагрузку Windows 10 , в которой обнаружил вредоносную программу, но что интересно, ни отключить вирус из автозапуска, ни открыть расположение файла зловреда я не смог, так как подобное действие в диспетчере было недопустимо. Читаем подробности.
Как в Диспетчере задач отобразить путь к файлу или вредоносной программе, находящейся в автозагрузке Windows 10
Итак, началось всё с того, что один молодой человек пожаловался мне на долгую загрузку и сильные зависания операционной системы, кроме того, установленный на ноутбуке антивирус Avast всё время удалял какой-то файл и просил произвести перезагрузку компьютера, но после перезагрузки всё повторялось.
- Большая часть наших читателей знает, что чем больше программ вы устанавливаете на свой ПК, тем дольше он будет загружаться. Происходит это потому, что многие приложения прописывают себя в автозагрузку и стартуют вместе с Windows. Не исключение и вредоносные программы. Иногда в автозапуске так много приложений, что пользователь даже не помнит, когда устанавливал некоторые из них и сомневается в их необходимости. Лечение здесь одно, исключить ненужные программы из автозагрузки (а некоторые даже удалить), после этого OS будет загружаться быстрее. К вирусам применяем немного другой подход - исключаем из автозапуска, перезагружаемся и удаляем, если удалить не получается (выходит ошибка, что файл используется системой), то также с помощью Диспетчера задач останавливаем процессы вредоносной программы и удаляем её.
затем проследовал в автозагрузку. Сразу отметил для себя файл с именем "Amigo", который задерживал загрузку системы на целых 10 секунд, увидеть это было можно, включив в диспетчере столбец «Влияние на ЦП при запуске». Я щёлкнул на файле правой кнопкой мыши, вызвав меню, но к сожалению отключить или узнать месторасположение вируса система не давала.
Да, существует браузер с таким именем и надо сказать не самого лучшего качества, но в нашем случае файл был заражён вредоносной программой, так как три процесса вируса создавали нагрузку на процессор 99% и именно его пытался удалить антивирус Avast.
Я перешёл на вкладку "Процессы" и снял задачу с вредоносных процессов.
Ноутбук сразу пришёл в норму.
Затем я стал вручную искать вредоносный файл, но поиск длился ужасно долго, поэтому я прибегнул к такому хитрому способу.
Я вернулся в Диспетчер задач и опять перешёл на вкладку "Автозагрузка", щёлкнул правой кнопкой мыши на столбце «Состояние» (можно «Издатель») и в выпадающем меню отметил пункт «Командная строка»,
в результате в столбце "Командная строка" диспетчер задач стал показывать точное местоположение (путь) ко всем программам, находящимся в автозагрузке. Вирус находился в папке:
Частенько по вечерам стал грузиться процессор, но причину я так и не нашла. Я где-то видела, что эти три процесса могут маскироваться, но являться вирусами. Как понять где они находятся? procexp64 показывает, что эти процессы не принадлежат к ветке system, однако здесь уже есть описание. Расположение не открывается. Поиском не нашла эти файлы в других папках, только в windows. Может оно так и должно быть? Но эти процессы не закрывается в диспетчере задач, убивать в procexp64 пока побаиваюсь, вдруг не вирусы. НО вчера один из этих процессов начал сильно грузить проц., примерно до 30%. Помогите разобраться.
//без описания//--- что конкретно вас интересует? Ок,
csrss.exe → важный системный процесс, отвечает за консольные приложения и итд
winlogon.exe → ваш вход/выход в систему, пример окно, что вы видите и уведомляет вас о Закрытие сеанса и это есть vbs_процесса winlogon.exe
RAVBg64.exe→ это драйвера вашей звуковой карты
и итд, и удалите этот_хлам advanced_system_care, что б не загружал ваш компьютер, у вас и так avg_антвирус ""грузит хост_csrss
и опишите, что за комп у вас или ж сами идем на сайт мат_платы (ежели у вас ПК) или на сайт производителя ноутбука (если у вас ноут) и скачайте_установите audio_driver перед этим удалив старый
Реально счастливая Профи (671)
Мне этот "хлам" порой очень помогает. Бывает нажимаю завершение работы, и он просто зависает на этой картинке "завершение работы", приходится путем длительного нажатия на кнопку. На следующий день делаю полный авторемонт в этой проге и после этого нормально выключается. Может мне его просто отключать пока не понадобится? Ну без антивируса вообще никак.
savoljavob Искусственный Интеллект (170259) //Мне этот "хлам" порой очень помогает//--это ""хлам сам по себе ничего не делает, тока запускает утилити, что встроенный в систему //Ну без антивируса вообще никак//--речь не антивирусе_avg //просто отключать пока не понадобится//-- безусловно, удалите все лишнее с Автозагрузки с помощью AutoRuns [ссылка] (msconfig не годится) //он просто зависает на этой картинке "завершение работы//--- все фоновые процессы и не дает Завершить работу вашей системы и потому все лишнее удалим с Автозагрузки
Скриншоты не очень резкие, не видно. но, насколько я понимаю -- ты хочешь закрыть систему прерываний винды, то есть -- бездействие системы )). Это непростая задача )). Трудно остановить то, что и так стоит )).
Вадим Иванов Мыслитель (6409) Ну нельзя их убивать. C:\Windows\System32\csrss.exe -- процесс исполнения клиент-сервер, а C:\Windows\System32\winlogon.exe вообще программа входа в систему Windows. убьёшь систему, в ребут отправишь.
Вадим Иванов Мыслитель (6409) то, что ты обвела рамочкой -- нет, конечно. Да и не грузят они у тебя систему.
Подсистема клиент/сервер времени выполнения (англ. Client/Server Runtime Subsystem, CSRSS) или csrss.exe, входит в состав операционной системы Microsoft Windows NT, и представляет собой часть пользовательского режима подсистемы Win32. остольное тоже самое не трогай это системные файлы. Данная программа является критическим системным компонентом, отвечающим за вызовы функций подсистемы Win32. При её завершении система завершит работу с отображением синего экрана смерти.
У меня примерно пять раз на неделю вырубается комп, после перезагрузки пишет, мол ошибка или что-то такое. Описание проблемы блускрин. Бесит ужасно
посмотри в событиях ошибку. скорей всего крит ошибка. по ее номеру или смысла можно смотреть, если там ошибки нет придется качать проги в плодь до снятия лога низко уровнего
Реально счастливая Профи (671) Очень много всяких ошибок, я не знаю, какая из них та. В общем, как перезагрузится снова, запишу всё, потом буду искать решение. Спасибо за ответ.
Если вы часто работаете с Диспетчером задач Windows, то не могли не обратить внимания, что в списке процессов всегда присутствует объект CSRSS.EXE. Давайте выясним, что представляет собой данный элемент, насколько он важен для системы и не таит ли опасность для работы компьютера.
Размещение файлов автосохранения
Трудность указания конкретного адреса состоит в том, что в различных случаях может быть не только разная версия операционной системы, но и наименование учетной записи пользователя. А от последнего фактора тоже зависит, где располагается папка с нужными нам элементами. Благо, существует универсальный подходящий для всех способ узнать данную информацию. Для этого нужно выполнить следующие действия.
-
Переходим во вкладку «Файл» Excel. Щелкаем по наименованию раздела «Параметры».
Например, для пользователей операционной системы Windows 7 шаблон адреса будет следующим:
Естественно, вместо значения «имя_пользователя» нужно указать наименование своей учетной записи в данном экземпляре Windows. Впрочем, если вы сделаете все так, как указано выше, то ничего дополнительного вам подставлять не нужно, так как полный путь к каталогу будет отображен в соответствующем поле. Оттуда вы можете его скопировать и вставить в Проводник или выполнить любые другие действия, которые считаете нужными.
Внимание! Место размещения файлов автосохранения через интерфейс Excel важно посмотреть ещё и потому, что оно могло быть изменено вручную в поле «Каталог данных для автовосстановления», а поэтому может не соответствовать шаблону, который был указан выше.
Размещение несохраненных книг
Немного сложнее дело обстоит с книгами, у которых не настроено автосохранение. Адрес места хранения таких файлов через интерфейс Эксель узнать можно только выполнив имитацию процедуры восстановления. Они находятся не в отдельной папке Excel, как в предыдущем случае, а в общей для хранения несохраненных файлов всех программных продуктов пакета Microsoft Office. Несохраненные книги будут располагаться в директории, которая находится по адресу следующего шаблона:
Вместо значения «Имя_пользователя», как и в предыдущий раз, нужно подставить наименование учетной записи. Но, если в отношении места расположения файлов автосохранения мы не заморачивались с выяснением названия учетной записи, так как могли получить полный адрес директории, то в этом случае его обязательно нужно знать.
Узнать наименование своей учетной записи довольно просто. Для этого жмем кнопку «Пуск» в левом нижнем углу экрана. В верхней части появившейся панели и будет указана ваша учетная запись.
Просто подставьте её в шаблон вместо выражения «имя_пользователя».
Получившийся адрес можно, например, вставить в Проводник, чтобы перейти в нужную директорию.
Если же вам нужно открыть место хранения несохраненных книг, созданных на данном компьютере под иной учетной записью, то перечень имен пользователей можно узнать, выполнив следующие инструкции.
-
Открываем меню «Пуск». Переходим по пункту «Панель управления».
Как уже говорилось выше, место хранения несохраненных книг можно узнать также, проведя имитацию процедуры восстановления.
-
Переходим в программе Excel во вкладку «Файл». Далее перемещаемся в раздел «Сведения». В правой части окна жмем на кнопку «Управление версиями». В открывшемся меню выбираем пункт «Восстановить несохраненные книги».
Далее мы можем в этом же окне провести процедуру восстановления или воспользоваться полученной информацией об адресе в других целях. Но нужно учесть, что данный вариант подходит для того, чтобы узнать адрес расположения несохраненных книг, которые были созданы под той учетной записью, под какой вы работаете сейчас. Если нужно узнать адрес в другой учетной записи, то применяйте метод, который был описан чуть ранее.
Как видим, точный адрес расположения временных файлов Excel можно узнать через интерфейс программы. Для файлов автосохранения это делается через параметры программы, а для несохраненных книг через имитацию восстановления. Если же вы хотите узнать место расположения временных файлов, которые были сформированы под другой учетной записью, то в этом случае нужно узнать и указать наименование конкретного имени пользователя.
Мы рады, что смогли помочь Вам в решении проблемы.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.
В текстовом процессоре MS Word довольно-таки хорошо реализована функция автосохранения документов. По ходу написания текста или добавления любых других данных в файл программа автоматически сохраняет его резервную копию с заданным временным интервалом.
О том, как работает эта функция, мы уже писали, в этой же статье речь пойдет о смежной теме, а именно, будет рассмотрим то, где хранятся временные файлы Ворд. Это и есть те самые резервные копии, своевременно не сохраненные документы, которые располагаются в директории по умолчанию, а не в указанном пользователем месте.
Зачем кому-то может понадобиться обращение ко временным файлам? Да хотя бы затем, чтобы найти документ, путь для сохранения которого пользователь не указывал. В этом же месте будет храниться последняя сохраненная версия файла, созданная в случае внезапного прекращения работы Ворд. Последнее может произойти из-за перебоев с электричеством или по причине сбоев, ошибок в работе операционной системы.
Идентификация файла
Вместе с тем, нередки ситуации, когда различные вирусные приложения (руткиты) маскируются под CSRSS.EXE. В этом случае важно идентифицировать, какой именно файл отображает конкретный CSRSS.EXE в Диспетчере задач. Итак, выясним, при каких условиях обозначенный процесс должен привлечь ваше внимание.
-
Прежде всего, вопросы должны появиться, если в Диспетчере задач в режиме отображения процессов всех юзеров в обычной, а не серверной системе, вы увидите более двух объектов CSRSS. Один из них, скорее всего, вирус. Сравнивая объекты, обратите внимание на расход оперативной памяти. При нормальных условиях для CSRSS установлен лимит в 3000 Кб. Обратите внимание в Диспетчере задач на соответствующий показатель в колонке «Память». Превышение указанного выше лимита означает, что с файлом что-то не в порядке.
Открывается окно свойств. Переместитесь во вкладку «Общие». Обратите внимание на параметр «Расположение». Путь к директории расположения файла должен соответствовать тому адресу, о котором мы уже говорили выше:
Если там указан любой другой адрес, то это означает, что процесс поддельный.
В той же вкладке около параметра «Размер файла» должна стоять величина 6 КБ. Если там указан другой размер, то объект поддельный.
Но, к сожалению, даже при соответствии всем вышеуказанным требованиям файл CSRSS.EXE может оказаться вирусным. Дело в том, что вирус может не только маскироваться под объект, но и заражать настоящий файл.
Кроме того, проблема излишнего потребления ресурсов системы CSRSS.EXE может быть вызвана не только вирусом, но и повреждением пользовательского профиля. В этом случае можно попытаться «откатить» ОС к более ранней точке восстановления или сформировать новый пользовательский профиль и работать уже в нем.
Сведения о CSRSS.EXE
CSRSS.EXE исполняется системным файлом с одноименным наименованием. Он присутствует во всех ОС линейки Виндовс, начиная с версии Windows 2000. Увидеть его можно, запустив Диспетчер задач (комбинация Ctrl+Shift+Esc) во вкладке «Процессы». Легче всего его найти, выстроив данные в колонке «Имя образа» в алфавитном порядке.
Для каждой сессии существует отдельный процесс CSRSS. Поэтому на обычных ПК одновременно запущено два таких процесса, а на серверных ПК численность их может достигать десятков. Тем не менее, несмотря на то, что было выяснено, что процессов может быть два, а в некоторых случаях даже больше, всем им соответствует только единственный файл CSRSS.EXE.
Для того, чтобы увидеть все объекты CSRSS.EXE, активированные в системе через Диспетчер задач, следует кликнуть по надписи «Отображать процессы всех пользователей».
После этого, если вы работаете в обычном, а не серверном экземпляре Windows, то в списке Диспетчера задач появится два элемента CSRSS.EXE.
Как найти папку с временными файлами
Для того, чтобы найти директорию, в которую сохраняются резервные копии документов Ворд, создаваемые непосредственно во время работы в программе, нам потребуется обратиться к функции автосохранения. Если говорить точнее, к ее настройкам.
Примечание: Прежде, чем приступить к поиску временных файлов, обязательно закройте все запущенные окна Microsoft Office. При необходимости, можно снять задачу через «Диспетчер» (вызывается комбинацией клавиш «CTRL+SHIFT+ESC»).
1. Откройте Word и перейдите в меню «Файл».
2. Выберите раздел «Параметры».
3. В окне, которое перед вами откроется, выберите пункт «Сохранение».
4. Как раз в этом окне и будут отображаться все стандартные пути для сохранения.
Примечание: Если пользователь вносил изменения в параметры по умолчанию, в этом окне они будут отображены вместо стандартных значений.
5. Обратите внимание на раздел «Сохранение документов», а именно, на пункт «Каталог данных для автовосстановления». Путь, который указан напротив него, приведет вас к месту, где хранятся последние версии автоматически сохраненных документов.
Благодаря этому же окну можно найти и последний сохраненный документ. Если вы не знаете его местонахождение, обратите внимание на путь, указанный напротив пункта «Расположение локальных файлов по умолчанию».
6. Запомните путь, по которому вам нужно перейти, или же просто скопируйте его и вставьте в поисковую строку системного проводника. Нажмите «ENTER» для перехода в указанную папку.
7. Ориентируясь на имя документа или на дату и время его последнего изменения, найдите тот, который вам нужен.
Примечание: Временные файлы довольно часто хранятся в папках, названных точно так же, как и документы, которые в них содержатся. Правда, вместо пробелов между словами у них установлены символы по типу «%20», без кавычек.
8. Откройте этот файл через контекстное меню: правый клик по документу — «Открыть с помощью» — Microsoft Word. Внесите необходимые изменения, не забыв сохранить файл в удобном для вас месте.
Примечание: В большинстве случаев аварийного закрытия текстового редактора (перебои в сети или ошибки в системе), при повторном открытии Word предлагает открыть последнюю сохраненную версию документа, с которым вы работали. Это же происходит и при открытии временного файла непосредственно из папки, в которой он хранится.
Теперь вы знаете, где хранятся временные файлы программы Microsoft Word. Искренне желаем вам не только продуктивной, но и стабильной работы (без ошибок и сбоев) в этом текстовом редакторе.
Мы рады, что смогли помочь Вам в решении проблемы.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.
Помогла ли вам эта статья?
Еще статьи по данной теме:
когда нпчинал печатать текст ставил ворд на автосохранения, но из-зза скачка напряжения я не успел его сам сохранить и надеялся, что автосохранение хоть какую-то часть, но сохранит. в итоге открыл я эту папку а там пусто, да и в настройках ворда оказалось, что автосохранеение отключено, хотя я точно помню, что включал его. ворд, алё, че за фигня?
скажите, пожалуйста, а обновлялся ли Ворд с того момента, как вы включали автосохранение в настройках? и еще, важно, какой интервал времени вы задавали для сохранения?
про обновление я незнаю. никогда не видел чтобы он обновлялся, может сам по себе есл только. а интервал я настраивал чтобы автосохранялся каждые 2 минуты
Расположение файла
Теперь выясним, где физически на винчестере размещается CSRSS.EXE. Получить сведения об этом можно при помощи того же Диспетчера задач.
-
После того, как в Диспетчере задач установлен режим отображения процессов всех юзеров, сделайте клик правой кнопкой мышки по любому из объектов под именем «CSRSS.EXE». В контекстном перечне выберете «Открыть место хранения файла».
Теперь, зная адрес, можно переходить в директорию расположения объекта без задействования Диспетчера задач.
-
Откройте Проводник, введите или вставьте в его адресную строку заранее скопированный, указанный выше адрес. Щелкните Enter или произведите клик по значку в виде стрелки справа от адресной строки.
Устранение угрозы
Что же делать, если вы выяснили, что CSRSS.EXE вызван не оригинальным файлом ОС, а вирусом? Будем исходить из того, что ваш штатный антивирус не смог идентифицировать вредоносный код (иначе вы бы проблему даже не заметили). Поэтому для устранения процесса предпримем другие шаги.
Способ 1: Сканирование антивирусом
Прежде всего, просканируйте систему надежным антивирусным сканером, например Dr.Web CureIt.
Стоит отметить, что сканирование системы на наличие вирусов рекомендуется выполнять через безопасный режим Windows, при работе в котором будут работать лишь те процессы, которые обеспечивают базовое функционирование компьютера, то есть вирус будет «спать», и найти его таким образом будет значительно проще.
Способ 2: Ручное удаление
Если сканирование не дало результатов, но вы четко видите, что файл CSRSS.EXE не в той директории, в которой ему положено быть, то в этом случае придется применить ручную процедуру удаления.
-
В Диспетчере задач выделите наименование, соответствующее фальшивому объекту, и нажмите на кнопку «Завершить процесс».
Если у вас не получается остановить процесс в Диспетчере задач или произвести удаление файла, то выключите компьютер и зайдите в систему в Безопасном режиме (клавиша F8 или сочетание Shift+F8 при загрузке, в зависимости от версии ОС). Затем произведите процедуру удаления объекта из директории его расположения.
Способ 3: Восстановление системы
И, наконец, если ни первый, ни второй способы не принесли должного результата, и вы не смогли избавиться от вирусного процесса, замаскировавшегося под CSRSS.EXE, вам сможет помочь функция восстановления системы, предусмотренная в ОС Windows.
Суть данной функции заключается в том, что вы выбираете одну из существующих точек отката, которая позволит вернуть работу системы полностью к выбранному периоду времени: если к выбранному моменту вирус на компьютере отсутствовал, то данный инструмент позволит его устранить.
Есть у этой функции и обратная сторона медали: если после создания той или иной точки были установлены программы, в них заносились настройки и т.п — это это точно таким же образом коснется. Восстановление системы не затрагивает лишь пользовательские файлы, к которым относятся документы, фотографии, видео и музыка.
Как видим, в большинстве случаев CSRSS.EXE является одним из самых важных для функционирования операционной системы процессом. Но иногда он может быть инициирован вирусом. В этом случае необходимо провести процедуру его удаления согласно тем рекомендациям, которые предоставлены в данной статье.
Мы рады, что смогли помочь Вам в решении проблемы.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.
Если в Excel включено автосохранение, то данная программа периодически сохраняет свои временные файлы в определенную директорию. В случае непредвиденных обстоятельств или сбоев в работе программы их можно восстановить . По умолчанию автосохранение включено с периодичностью в 10 минут, но этот период можно изменить или вообще отключить данную функцию.
Как правило, после сбоев Эксель через свой интерфейс предлагает пользователю произвести процедуру восстановления. Но, в некоторых случаях с временными файлами нужно работать напрямую. Вот тогда и настает необходимость знать, где они расположены. Давайте разберемся с этим вопросом.
Расположение временных файлов
Сразу нужно сказать, что временные файлы в Excel делятся на два типа:
- Элементы автосохранения;
- Несохраненные книги.
Таким образом, даже если у вас не включено автосохранение, то все равно имеется возможность восстановления книги. Правда, файлы этих двух типов расположены в разных директориях. Давайте узнаем, где они размещаются.
Функции
Прежде всего, выясним, для чего этот элемент требуется системе.
Наименование «CSRSS.EXE» является аббревиатурой от «Client-Server Runtime Subsystem», что в переводе с английского означает «Клиент-серверная субсистема времени выполнения». То есть, процесс служит своеобразным связующим звеном клиентской и серверной областей системы Виндовс.
Данный процесс нужен для отображения графической составляющей, то есть, того, что мы видим на экране. Он, в первую очередь, задействуется при завершении работы системы, а также при удалении или установке темы. Без CSRSS.EXE также будет невозможным запуск консолей (CMD и др.). Процесс необходим для функционирования терминальных служб и для удаленного подключения к рабочему столу. Изучаемый нами файл также обрабатывает разнообразные потоки ОС в подсистеме Win32.
Более того, если CSRSS.EXE завершен (неважно как: аварийно или принудительно пользователем), то систему ждет крах, что приведет к появлению BSOD. Таким образом, можно сказать, что функционирование Windows без активного процесса CSRSS.EXE невозможно. Поэтому останавливать его принудительно следует исключительно в том случае, если вы уверены, что он был подменен вирусным объектом.
Читайте также: