csrss.exe на терминальном сервере

Все темы, касающиеся администрирования и работы с Windows/Windows Server.

Модератор: Sebas

VVitafresh
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1641
Зарегистрирован: 12.05.2005 (Чт) 14:44
Откуда: Херсон, UA

csrss.exe на терминальном сервере

Сообщение VVitafresh » 24.04.2008 (Чт) 11:01

Описание из инета писал(а):CSRSS.EXE – часть пользовательской Win32 подсистемы. SRSS - сокращение от "client/server run-time subsystem" (клиент/серверная подсистема). csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS.


Обнаружил в TaskManager'e, что на терминальном сервере Windows 2000 Server в данный момент загружено с сотню процессов csrss.exe. Есть подозрение, что по окончании сеанса работы пользователя этот процесс остается висеть в памяти. Такое возможно? Какие еще могут быть причины этой ситуации?

P.S. На вирусню проверил, вроде бы все чисто.
Никакую проблему невозможно решить на том же уровне, на каком она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.

ANDLL
Великий гастроном
Великий гастроном
Аватара пользователя
 
Сообщения: 3450
Зарегистрирован: 29.06.2003 (Вс) 18:55

Сообщение ANDLL » 24.04.2008 (Чт) 14:04

afaik, правильный csrss запускается один раз и висит один даже при большом числе юзеров. Думаю таки тут не чисто
Гастрономия - наука о пище, о ее приготовлении, употреблении, переварении и испражнении.
Блог

VVitafresh
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1641
Зарегистрирован: 12.05.2005 (Чт) 14:44
Откуда: Херсон, UA

Сообщение VVitafresh » 24.04.2008 (Чт) 14:08

ANDLL писал(а):Думаю таки тут не чисто

Проверял McAfee с вчерашними базами -- ничего не нашел. Да и в автозагрузке абсолютно ничего подозрительного нет.

У меня один или два пользователя запускают фоксовые (еще досовские) приложения на терминальном сервере. Может быть это на DOS такая реакция?
Никакую проблему невозможно решить на том же уровне, на каком она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Сообщение alibek » 24.04.2008 (Чт) 14:34

И все-таки посоветую загрузиться с чистого диска и еще раз проверить систему, симантеком или drweb-ом. Сотня csrss — это что-то ненормальное.
Lasciate ogni speranza, voi ch'entrate.

VVitafresh
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1641
Зарегистрирован: 12.05.2005 (Чт) 14:44
Откуда: Херсон, UA

Сообщение VVitafresh » 24.04.2008 (Чт) 14:39

Мда. Сервер рабочий, на нем народ работает, посреди дня проблематично будет переставлять винчестер на 100% чистую систему и проверять вирусню.

Ограничусь пока, наверное, ребутом и понаблюдаю. Если все будет плохо -- придется что-то решать...
Никакую проблему невозможно решить на том же уровне, на каком она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.

VVitafresh
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1641
Зарегистрирован: 12.05.2005 (Чт) 14:44
Откуда: Херсон, UA

Сообщение VVitafresh » 24.04.2008 (Чт) 14:51

Ребутнул.

Сразу после загрузки в TaskManager'e видно три процесса csrss. После того, как я подключился удаленно, появился еще один. Когда удаленную сессию завершил -- опять стало три процесса. Посмотрим, что будет дальше...
Никакую проблему невозможно решить на том же уровне, на каком она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.

ANDLL
Великий гастроном
Великий гастроном
Аватара пользователя
 
Сообщения: 3450
Зарегистрирован: 29.06.2003 (Вс) 18:55

Сообщение ANDLL » 24.04.2008 (Чт) 14:58

VVitafresh
Запуск дос или консольных процессов не приводит к запускам отдельных экземпаляров csrss. Логины пользователей то же.
Посмотри с помощью process explorer'а, остальные процессы лежат там же, где и основной csrss и что их запускает?
Плюс - если завершить тот который появился, компьютер перезагрузится?
Гастрономия - наука о пище, о ее приготовлении, употреблении, переварении и испражнении.
Блог

VVitafresh
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1641
Зарегистрирован: 12.05.2005 (Чт) 14:44
Откуда: Херсон, UA

Сообщение VVitafresh » 24.04.2008 (Чт) 15:18

А вот у меня запускаются отдельные экземпляры для пользователей, вот скрин:

Изображение

Может быть это уже на Win 2003 Server только один процесс на всех пользователей?
Никакую проблему невозможно решить на том же уровне, на каком она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.

Twister
Теоретик
Теоретик
Аватара пользователя
 
Сообщения: 2251
Зарегистрирован: 28.06.2005 (Вт) 12:32
Откуда: Алматы

Сообщение Twister » 25.04.2008 (Пт) 6:59

1. Два csrss при нормальных условиях может быть запущено только в висте. По крайней мере, я больше ни где такого не наблюдал...
2. Под каким пользователем запущены "левые" csrss, winlogon?
3.
проверить систему, симантеком или drweb-ом
- наихудший совет. Как правило, современные "вирусы" представляют из себя примитив, запакованный UPX'ом или еще чем-то, поэтому сигнатурный поиск почти всегда ни чего не дает, а эвристика обламывается по двум причинам - ни чего страшного с точки зрения эвристика эти програмулины не делают, но имеют в себе антиотладочные приемы. Я практически раз в неделю имею счастье чистить ламерские машины с установленными Касперскими, Семантеками и прочим хламом - они просто кишат подобного рода тварями...
Мой совет - тебе стоит просмотреть систему и поискать побочные результаты жизнедеятельности "вирей". Это могут быть левые хуки, лишние подгруженные ДЛЛ, драйвера, измененные системные ключи реестра, постоянный мониторинг каким-то процессом (или всеми сразу, недавно наблюдал!) некоторых ключей или папок. Короче говоря - если что-то сидит в системе, то поведение последней, естественно, меняется. От этого и стоит отталкиваться, а не захламлять комп кучей антивирей, от которых в самых простых ситуациях абсолютно нет проку...
А я все практикую лечение травами...

VVitafresh
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1641
Зарегистрирован: 12.05.2005 (Чт) 14:44
Откуда: Херсон, UA

Сообщение VVitafresh » 25.04.2008 (Пт) 11:29

Ну прямо не знаю, что и думать. Вы говорите, что может быть запущен только один-два csrss, но у меня на всех серверах, где утановлен сервер терминалов запускается отдельный экземпляр csrss при подключении нового пользователя :roll:

Запущены csrss и winlogon под SYSTEM (User name в TaskManager'e). Ничего криминального в работе, никакого аномального поведения не замечал. ИМХО, вряд ли сразу на всех серверах может быть вирусня (все работает без сбоев, да и не было откуда взятся там вирусам -- сервера в локалке без прямого доступа к интернету). Единственное, что было ненормального на одном сервере -- это то количество запущенных csrss, которое я обнаружил вчера. Но после перезагрузки пока все в норме, т.е. количество запущенных csrss = кол-во пользователей + 2
Никакую проблему невозможно решить на том же уровне, на каком она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.

ANDLL
Великий гастроном
Великий гастроном
Аватара пользователя
 
Сообщения: 3450
Зарегистрирован: 29.06.2003 (Вс) 18:55

Сообщение ANDLL » 25.04.2008 (Пт) 15:01

VVitafresh
Поставь порожную версию своего windows на virtual pc\vmware. Настрой сервер терминалов, и посмотри, повторится ли поведение?
Гастрономия - наука о пище, о ее приготовлении, употреблении, переварении и испражнении.
Блог

VVitafresh
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1641
Зарегистрирован: 12.05.2005 (Чт) 14:44
Откуда: Херсон, UA

Сообщение VVitafresh » 26.04.2008 (Сб) 19:22

ANDLL, так и сделал. Только дома инсталляхи Window Server 2000 не оказалось, поэтому проинсталил на VMWare Windows Server 2003 Enterprise и поднял на нем терминальный сервер. Ситуация в общем то аналогичная. Количество csrss = кол-ву залогиненых пользователей + 1. При корректном завершении сеанса пользователем количество процессов csrss уменьшается на 1.

Так что буду считать что у меня все нормально, просто имел место кратковременный сбой :)
Никакую проблему невозможно решить на том же уровне, на каком она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.


Вернуться в Windows (администрирование)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 13

    TopList  
cron