ТИПИЧНЫЕ ПРОЦЕССЫ Посмотрим теперь, какие же процессы

ТИПИЧНЫЕ ПРОЦЕССЫ
Посмотрим теперь, какие же процессы встречаются на компьютерах рядовых
пользователей. Для примера возьмем Windows XP SP2, в которой были
инсталлированы все необходимые драйверы и Microsoft Office. Диспетчер задач
на этой, почти чистой системе показывает наличие в памяти 28 процессов.
Разберемся, что же это такое и для чего нужно.
– acs.exe – Atheros Configuration Service (ACS) – сервис для настройки Wi-Fiадаптера. Отключать не стоит.
– ACU.exe – Atheros Client Utility – утилита настройки Wi-Fi-адаптера, в данной
конкретной системе также необходима.
– AGRSMMSG.exe – SoftModem Messaging Applet – процесс, устанавливаемый
драйвером модема Agere, необходим ему для работы.
– alg.exe – Application Layer Gateway Service – ключевой компонент Windows
Internet Connection Sharing и Windows Firewall, обеспечивает поддержку
плагинов, позволяющих сетевым протоколам работать через общий доступ к
интернет-подключению и при подключении к Сети с помощью брандмауэра.
Соответственно, отключать можно, если вы их не используете.
– ati2evxx.exe – ATI External Event Utility EXE Module, она же – сервис Ati
HotKey Poller. Утилита, входящая в состав ATI Catalyst, применяется, например,
для распознавания подключения внешнего монитора или телевизора, нажатия
«горячих» клавиш. Если это не требуется, можно отключить.
– BTTray.exe – Bluetooth Tray Application – один из компонентов драйверов
Bluetooth от Widcomm, необходим для их работы.
– btwdins.exe – Bluetooth Support Server, также необходим для работы
драйверов Bluetooth от Widcomm.
– CLI.exe – Command Line Interface application for all ACE Components – утилита
из состава ATI Catalyst. Служит для доступа через иконку в системном трее к
настройкам драйвера, можно отключить, при запуске Control Center она снова
загрузится в память.
– csrss.exe – Client/Server Runtime Server Subsystem – часть подсистемы Win32,
исполняющаяся в пользовательском режиме (в то время как Win32.sys
исполняется в режиме ядра), отвечает за работу консольных окон, создание и
уничтожение потоков и частично за работу 16-разрядной виртуальной среды
MS-DOS. Отключать нельзя. Вирус с таким же именем – Nimda.E.
– ctfmon.exe – языковая панель, индикатор, отображающий текущую раскладку
клавиатуры и обеспечивающий поддержку альтернативных методов ввода. Если
вместо него будете использовать Punto Switcher, то только выиграете. (Раньше
индикатором являлся Internat.exe, сейчас под таким именем могут скрываться
вирусы.)
– eabservr.exe – Easy Access Buttons – программа Quick Launch Buttons на
ноутбуках HP Compaq, отвечает за работу дополнительных кнопок.
– explorer.exe – оболочка системы, отвечающая за формирование Рабочего
стола и окон Проводника. Сам процесс можно перезапускать, если что-то
подвисло. А можно и вообще отключать, если вы используете другую оболочку.
Следует только обратить внимание на путь к файлу – Windows по умолчанию
ищет explorer.exe во всех папках подряд (грубо говоря), поэтому если
злоумышленник кинет в корень диска С: троян с таким названием, то она его
спокойно запустит. Хотя Рабочий стол в таком случае вы уже вряд ли получите.
– lsass.exe – Local Security Authority Service – локальный сервер проверки
подлинности,
порождающий
процесс,
ответственный
за
проверку
пользователей в службе Winlogon, отвечает за локальные политики
безопасности и авторизации. Не отключать.
– msiexec.exe – компонент Windows Installer, необходим для установки
программ, постоянно в памяти обычно не висит, но может в ней остаться после
установки какой-то программы или стартовать после перезагрузки ПК для
завершения процедуры установки.
– services.exe – Services Control Manager – системный процесс, отвечающий за
запуск/остановку сервисов и взаимодействие с ними. Программа жизненно
важна для Windows, ее отключать нельзя. Под этим именем может скрываться
также множество вирусов (W32/Leave.B, W32.HLLW.Kazping и так далее, но
тогда они расположены в папках, отличных от System32). Будьте внимательны,
этот процесс не должен запускаться через разделы RUN реестра!
– SMAgent.exe – SoundMAX Service Agent – часть
отключение не сказывается на работе звукового тракта.
аудиодрайвера,
его
– SMax4.exe – SoundMAX Control Center, при его отключении просто пропадает
иконка SoundMAX в системном трее.
– SMax4PNP.exe – SMax4PNP MFC Application – необходим для запуска
SoundMAX Control Center (Панель управления SoundMAX).
– smss.exe – Session Manager Subsystem – подсистема диспетчера сеансов,
ответственная за запуск сеансов пользователей, за запуск процессов Winlogon
и Win32 (Csrss.exe) и за установку системных переменных. Отключать нельзя.
Пример трояна – Backdoor.IRC.Flood.
– spoolsv.exe – Microsoft Printer Spooler Service – спулер печати, необходим для
работы принтера, отвечает за управление заданиями на печать и передачу
факсимильных сообщений. Под этим именем любят также скрываться вирусы
(Backdoor.Ciadoor.B, VBS.Masscal.Worm и т. д.).
– svchost.exe (6 штук) – Microsoft Service Host Process – каждая из его копий
отвечает за работу целого ряда сервисов. Чтобы быстро посмотреть, какие
сервисы она запускает, введите в командной строке tasklist/svc. Отключать
ненужные сервисы следует в оснастке «Службы» Панели управления. Не
должен располагаться в других папках, кроме System32, и прописываться в
разделах RUN реестра! Одно из наиболее распространенных имен вирусов!
– SynTPEnh.exe – утилита из состава драйвера тачпада от Synaptics,
обеспечивает
поддержку
расширенных
функций
тачпада
(например,
назначение специальных действий на отдельные зоны тачпада).
– System – системный процесс, отвечает за различные базовые функции –
большинство системных потоков режима ядра исполняются от имени процесса
System. Не ассоциирован с EXE-файлом! Если встретите system.exe – проверьте
антивирусом! Если SYSTEM будет грузить процессор на 100%, также
проверяйте систему.
– taskmgr.exe – собственно, сам Task Manager.
– wdfmgr.exe – Windows Driver Foundation Manager – входит в состав Microsoft
Windows Media Player и Service Pack 2, отвечает за новую модель драйверов,
занимается, в частности, проблемами совместимости WMP с другими
приложениями и внешними устройствами. Если WMP завис, попробуйте убить
этот процесс. Достаточно безболезненно его можно отключить в «Службах».
Обратите внимание на имя файла – при перестановке букв (wdfmrg.exe)
получается вирус.
– winlogon.exe – Windows Logon Process – управляет входом пользователей в
систему и выходом из нее. Отключать нельзя. Пример вируса с таким
названием – W32.Netsky.D.
– wscntfy.exe – Windows Security Centre Notification Process – составная часть
Windows Security Center, отвечает за значок в трее. Security Center можно
отключить в «Службах», если вы его не используете.
– Бездействие системы – этот процесс имеет по одному потоку на каждом
процессоре, и его единственная задача — учитывать время, в течение которого
система не занята другими потоками. В диспетчере задач можно видеть, что
этому процессу, как правило, соответствует большая часть процессорного
времени (то есть процессор не занят). Отключить нельзя. Разумеется, список
этот далеко не полон – все программы, которые могут оказаться в памяти без
вашего ведома, перечислить невозможно, но вышеупомянутые сетевые ресурсы
помогут разобраться. При просмотре же процессов в своей системе еще раз
напоминаю: обязательно обращайте внимание на свойства каждого файла, из
какой папки и кем он был запущен.
Файл Svchost.exe расположен в папке %SystemRoot%\System32. В процессе
загрузки Svchost.exe составляет на основании записей в реестре список служб,
которые необходимо запустить. Одновременно может быть запущено несколько
экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe может содержать
несколько служб. Таким образом, в зависимости от того, как и где запущен
процесс Svchost.exe, могут выполняться несколько отдельных служб. Такая
группировка служб обеспечивает более высокий уровень контроля над ними и
облегчает отладку.
Группы Svchost.exe определяются в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\
Svchost
Каждое значение в этом разделе представляет отдельную группу Svchost и
отображается при просмотре активных процессов как отдельный экземпляр.
Каждое из этих значений имеет тип REG_MULTI_SZ и содержит службы,
выполняемые в этой группе Svchost. Каждая группа Svchost может содержать
одно или несколько имен служб, извлекаемых из следующего раздела реестра,
в котором подраздел Parameters содержит значение ServiceDLL:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Служба
Чтобы просмотреть список служб, работающих в процессе Svchost, выполните
описанные ниже действия.
1. Нажмите на панели задач Windows кнопку Пуск и выберите пункт
Выполнить.
2. В поле Открыть введите команду CMD и нажмите клавишу ВВОД.
3. Введите команду Tasklist /SVC и нажмите клавишу ВВОД.
Команда Tasklist выводит список активных процессов. Параметр /SVC
используется для вывода списка активных служб в каждом процессе. Для
получения дополнительных сведений о процессе введите следующую команду и
нажмите клавишу ВВОД:
Tasklist /FI "PID eq идентификатор_процесса" (кавычки обязательны)
В приведенном ниже примере показан вывод команды Tasklist для двух
экземпляров процесса Svchost.exe.
Image Name
PID
Services
===================================================
=====================
System Process
0
N/A
System
8
N/A
Smss.exe
132
N/A
Csrss.exe
160
N/A
Winlogon.exe
180
N/A
Services.exe
Lsass.exe
Svchost.exe
Spoolsv.exe
Cisvc.exe
Svchost.exe
208
AppMgmt,Browser,Dhcp,Dmserver,Dnscache,
Eventlog,LanmanServer,LanmanWorkstation,
LmHosts,Messenger,PlugPlay,ProtectedStorage,
Seclogon,TrkWks,W32Time,Wmi
220 Netlogon,PolicyAgent,SamSs
404 RpcSs
452 Spooler
544 Cisvc
556 EventSystem,Netman,NtmsSvc,RasMan,
SENS,TapiSrv
Regsvc.exe
Mstask.exe
Snmp.exe
Winmgmt.exe
Explorer.exe
Cmd.exe
Tasklist.exe
580
596
RemoteRegistry
Schedule
660 SNMP
728 WinMgmt
812 N/A
1300 N/A
1144 N/A
Двум группам из этого примера соответствует следующий параметр реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion
\Svchost:
Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto
Rasman
Remoteaccess
RApcss :Reg_Multi_SZ: RpcSs
SENS
Sharedaccess
Tapisrv
Ntmssvc