| Типичные процессы
Посмотрим теперь, какие же процессы встречаются на компьютерах
рядовых пользователей. Для примера возьмём свежеустановленную
Windows XP SP2, в которой были инсталлированы все необходимые драйверы
и Microsoft Office. Диспетчер задач на этой, почти чистой системе
показывает наличие в памяти 28 процессов, разберёмся, что же это такое
и для чего нужно: acs.exe
Atheros Configuration Service (ACS) — сервис для настройки Wi-Fi-адаптера. Отключать не стоит.
ACU.exe
Atheros Client Utility, утилита настройки Wi-Fi-адаптера, в данной конкретной системе также необходима.
AGRSMMSG.exe
SoftModem Messaging Applet — процесс, устанавливаемый драйвером модема Agere, необходим ему для работы.
alg.exe
Application
Layer Gateway Service, ключевой компонент Windows Internet Connection
Sharing и Windows Firewall, обеспечивает поддержку плагинов,
позволяющих сетевым протоколам работать через общий доступ
к интернет-подключению и при подключении к Сети с помощью брандмауэра.
Соответственно, отключать можно, если вы их не используете.
ati2evxx.exe
ATI
External Event Utility EXE Module, она же — сервис Ati HotKey Poller,
утилита, входящая в состав ATI Catalyst, применяется, например, для
распознавания подключения внешнего монитора или телевизора, нажатия
горячих клавиш. Если это не требуется, можно отключить.
BTTray.exe
Bluetooth Tray Application — один из компонентов драйверов Bluetooth от Widcomm, необходим для их работы
btwdins.exe
Bluetooth Support Server, также необходим для работы драйверов Bluetooth от Widcomm.
CLI.exe
Command
Line Interface application for all ACE Components, утилита из состава
ATI Catalyst, служит она для доступа через иконку в системном трее
к настройкам драйвера, можно отключить, при запуске Control Center она
снова загрузится в память.
csrss.exe
Client/Server
Runtime Server Subsystem, часть подсистемы Win32, исполняющаяся
в пользовательском режиме (в то время как Win32.sys исполняется
в режиме ядра), отвечает за работу консольных окон, создание
и уничтожение потоков и частично за работу 16-разрядной виртуальной
среды MS-DOS. Отключать нельзя. Вирус с таким же именем — Nimda.E.
ctfmon.exe
языковая
панель, индиктор, отображающий текущую раскладку клавиатуры
и обеспечивающий поддержку альтернативных методов ввода. Если вместо
него будете использовать Punto Switcher, то только выиграете. (Раньше
индикатором являлся Internat.exe, сейчас под таким именем могут
скрываться вирусы.)
eabservr.exe
Easy Access Buttons, программа Quick Launch Buttons на ноутбуках HP Compaq, отвечает за работу дополнительных кнопок.
explorer.exe
оболочка
системы, отвечающая за формирование Рабочего стола и окон Проводника.
Сам процесс можно перезапускать, если что-то подвисло. А можно и вообще
отключать, если вы используете другую оболочку. Следует только обратить
внимание на путь к файлу — Windows по умолчанию ищет explorer.exe
во всех папках подряд (грубо говоря), поэтому если злоумышленник кинет
в корень диска С: трояна с таким названием, то она его спокойно
запустит. Хотя Рабочий стол в таком случае вы уже вряд ли получите…
lsass.exe
Local
Security Authority Service, локальный сервер проверки подлинности,
порождающий процесс, ответственный за проверку пользователей в службе
Winlogon, отвечает за локальные политики безопасности и авторизации.
Не отключать.
msiexec.exe
компонент Windows Installer,
необходим для установки программ, постоянно в памяти обычно не висит,
но может в ней остаться после установки какой-то программы или
стартовать после перезагрузки ПК для завершения процедуры установки.
services.exe
Services
Control Manager, системный процесс, отвечающий за запуск/остановку
сервисов и взаимодействие с ними. Программа жизненно важна для Windows,
её отключать нельзя. Под этим именем может скрываться также множество
вирусов (W32/Leave.B, W32.HLLW.Kazping и так далее, но тогда они
расположены в папках, отличных от System32) — будьте внимательны, этот
процесс не должен запускаться через разделы RUN реестра!
SMAgent.exe
SoundMAX Service Agent, часть аудио-драйвера, его отключение не сказывается на работе звукового тракта.
SMax4.exe
SoundMAX Control Center, при его отключении просто пропадает иконка SoundMAX в системном трее.
SMax4PNP.exe
SMax4PNP MFC Application, необходим для запуска SoundMAX Control Center (Панель управления SoundMAX).
smss.exe
Session
Manager Subsystem, подсистема диспетчера сеансов, ответственная
за запуск сеансов пользователей, за запуск процессов Winlogon и Win32
(Csrss.exe) и за установку системных переменных. Отключать нельзя.
Пример трояна — Backdoor.IRC.Flood.
spoolsv.exe
Microsoft
Printer Spooler Service, спулер печати, необходим для работы принтера,
отвечает за управление заданиями на печать и передачу факсимильных
сообщений. Под этим именем любят также скрываться вирусы
(Backdoor.Ciadoor.B, VBS.Masscal.Worm и т. д.)
svchost.exe (6 штук)
Microsoft
Service Host Process, каждая из его копий отвечает за работу целого
ряда сервисов, чтобы быстро посмотреть, какие сервисы она запускает,
введите в командной строке tasklist /svc. Отключать ненужные сервисы
следует в оснастке «Службы» Панели управления. Не должен располагаться
в других папках, кроме System32 и прописываться в разделах RUN реестра!
Одно из наиболее распространенных имён вирусов!
SynTPEnh.exe
утилита
из состава драйвера тачпада от Synaptics, обеспечивает поддержку
расширенных функций тачпада (например, назначение специальных действий
на отдельные зоны тачпада)
System
системный процесс,
отвечает за различные базовые функции — большинство системных потоков
режима ядра исполняются от имени процесса System. Не ассоциирован
с exe-файлом! Если встретите system.exe — проверьте антивирусом! Если
SYSTEM будет грузить процессор на 100%, также проверяйте систему.
taskmgr.exe
собственно, сам Task Manager.
wdfmgr.exe
Windows
Driver Foundation Manager, входит в состав Microsoft Windows Media
Player и Service Pack 2, отвечает за новую модель драйверов,
занимается, в частности, проблемами совместимости WMP с другими
приложениями и внешними устройствами. Если WMP завис, попробуйте убить
этот процесс. Достаточно безболезненно можно отключить в «Службах».
Обратите внимание на имя файла — при перестановке букв (wdfmrg.exe)
получается уже вирус.
winlogon.exe
Windows Logon
Process, управляет входом пользователей в систему и выходом из неё.
Отключать нельзя. Пример вируса с таким названием — W32.Netsky.D.
wscntfy.exe
Windows
Security Centre Notification Process, составная часть Windows Security
Center, отвечает за значок в трее. Security Center можно отключить
в «Службах», если вы его не используете.
Бездействие системы
этот
процесс имеет по одному потоку на каждом процессоре и его единственная
задача — учитывать время, в течение которого система не занята другими
потоками. В диспетчере задач можно видеть, что этому процессу, как
правило, соответствует большая часть процессорного времени (то есть
процессор не занят). Отключить нельзя.
Разумеется, список этот далеко не полон — все программы, которые
могут оказаться в памяти без вашего ведома, перечислить невозможно,
но вышеупомянутые сетевые ресурсы помогут разобраться. При просмотре же
процессов в своей системе, ещё раз напоминаю, обязательно обращайте
внимание на свойства каждого файла, из какой папки и кем он был
запущен. Помните о мимикрии вирусов! |
