miércoles, diciembre 05, 2007

¿Dos procesos residentes Csrss.exe en Windows Vista?

Un usuario de Windows Vista tenía la siguiente inquietud: Al abrir Administrador de tareas, pestaña Procesos, observaba que había dos procesos Csrss.exe residentes en su sistema, ambos ejecutados desde la cuenta SYSTEM. Automáticamente el usuario relacionó esto con que alguna de las dos copias podría tratarse de un virus, ya que suelen aprovechar nombres de ficheros del sistema operativo para pasar desapercibidos.

En Windows Vista esta situación es normal, y se debe a una nueva característica de seguridad denominada "Session 0 isolation". En Windows 2000/XP/Server 2003, el usuario puede iniciar sesión en la llamada "sesión 0", una sesión que comparte con el resto de servicios críticos del sistema operativo. Esto supone que un atacante podría aprovechar alguna vulnerabilidad en alguno de esos servicios del sistema y hacerse con el control total de la máquina. Para evitar este potencial problema, el arranque de Windows Vista ha sido totalmente rediseñado. El primer proceso de usuario que se inicia en Windows es Smss.exe. En Windows Vista se crean dos copias de este proceso, y una de ellas se encarga de configurar la sesión 0 (Smss es el acrónimo de "Session Manager System Service"). El proceso Smss.exe crea a su vez una instancia de Csrss.exe en la sesión 0 y luego finaliza. Por este motivo, al observar la jerarquía de procesos en Process Explorer, verá que Csrss.exe está situado lo más a la izquierda (Process Explorer muestra procesos lo más a la izquierda cuando su "padre" ha finalizado).

Así pues, quedan configurados dos procesos Csrss.exe, uno para la sesión 0 y otro para la sesión del usuario, lo que aclaró la duda del usuario.

Nota: Puede observar esta diferencia en el propio Administrador de tareas si hace clic sobre Ver, Seleccionar columnas y agrega la casilla correspondiente al identificador de sesión. Necesitará haber iniciado Administrador de tareas con privilegios administrativos, o haber hecho clic sobre el botón Mostrar procesos de todos los usuarios y haber confirmado la operación.

4 comentarios:

Arquinquieto dijo...

Hola Daniel. Sé que esto no va aquí... pero tengo una duda sobre un posible fallo de Windows Vista que me parece tan básico que supongo que no será un fallo, pero no le encuentro la solución y me gustaría comentarte el asunto. ¿Cómo puedo contactar contigo? No veo tu correo ni ningún modo de contacto por ningún lado. Un saludo.

Daniel Martín dijo...

Puedes contactarme en mardani29 at yahoo.es

("at" es el símbolo de arroba).

Ramón P. dijo...

Hola buenos dias.
Colacionado con el tema , desde hace unos dias que sospecho tener algún spyware o hacker en el sistema.
Fundamentalmente , csrss.exe y winlongon aparecen en el adminsitrador de tareas sin ninguna asignación ( ni system ni usuario ).
Además , con el boton derecho sobre los procesos , solo permite realizar tareas administrativas. Cuando las realizas ,aparecen duplicadas csrss.exe y entonces tanto éste como winlongon aparecen ejecutados en system.
De otra parte , cuando el ordenador se queda en protector de pantalla por defecto ( con un visor de flash ) abre un dialogo de configuración adobe solicitando permiso "local" para abrir la camara webcam y el micrófono.
Finalmente , me había quedado truncado Panda de modo que firewall nunca arrancaba y solicitaba el reinicio del sistema. He reinstalado panda y dejó de fallar.
Es normal la situacion de csrss y winlogon y de la configuración de adobe.?
He pasado el portatil por todos los progamas de limpieza , encuentra fallos , virus y adware y spyware pero el problema no se soluciona...
Gracias por cualquier ayuda.

Boanerge dijo...

La vdd yo tmb tengo ese problema; espero poder rolucionarlo ahora que he leido estas utiles aportaciones de ustedes; gracias; saludos