Процессы Windows: описание и определение безопасности

programmer

Ословед
Все программы и действия на компьютере выполняются в определенных процессах. Некоторые приложения используют собственные, некоторые - системные. Задачи одной и той же программы могут выполняться в разных процессах, в зависимости от характера самой задачи. Увидеть весь список запущенных процессов можно, нажав правый клик на панели задач и выбрав "Запустить диспетчер задач" (Вкладка "Процессы")

Поскольку каждый запущенный процесс потребляет определенное количество системных ресурсов, теоретически можно предположить, что чем меньше их работает - тем лучше. На практике все не так просто. Многие процессы по умолчанию стартуют вместе с компьютером независимо от того, будем мы их использовать, или нет. Это сделано разработчиками операционной системы для того, чтоб улучшить стабильность ее работы на большинстве пользовательских компьютеров (Предугадать предпочтения и характер использования ПК каждым пользователем - невозможно). Работа многих процессов критически необходима для нормального функционирования ОС.

Чтоб корректно деактивировать определенный процесс, нужно изменить настройки запуска службы (сервиса) или программы, которая его вызывает. Список возможных сервисов и путь их деактивации я описывал в предыдущих статьях, поэтому дополнительно останавливаться на этом здесь не планирую. В этой статье хотелось бы сосредоточить внимание на другом: Многие вирусы для усложнения их обнаружения, маскируют свои действия под определенный системный процесс. Вычислить их возможно, если знать, какие процессы должны работать у нас в данный момент и какие пути к файлам на диске, которые их активируют.

На первый взгляд, запомнить названия всех активных процессов кажется невыполнимой задачей, но со временем они вам так примелькаются, что будет достаточно несколько секунд посмотреть на окно Диспетчера задач, чтоб выделить нетипичные процессы для Вашей конфигурации. Я для себя уже достаточно давно определил, что после полной настройки Windows 7 и установки всех необходимых программ, в режиме простоя у меня должно быть запущено 29 - 32 процесса. Если их больше - я начинаю искать службу или приложение, которое активирует лишние.

Расположение: "Системная папка" означает, что исполняемый файл ДОЛЖЕН находиться в директории C:\Windows\System32

Если Вы переместили системную папку - значит вам точно известно ее местоположение :)

Если процесс запущен с места, отличающегося от описания - значит есть большая вероятность его заражения, или имитации вредоносной программой

alcmtr.exe - Процесс, обеспечивающий мониторинг аудиоустройств Realtek AC97. Может быть завершен, но иногда его отключение вызывает проблемы со звуком. Случаев заражения вредоносным ПО не выявлено.

alg.exe - служба Windows, обеспечивающая доступ к Интернету и нормальную работу Брандмауэра Windows. Самостоятельное прямое отключение не рекомендуется, но многие сторонние фаерволы могут заменять этот процесс собственным. Расположение - Системная директория. Возможно заражение некоторыми вирусами.

ati2evxx.exe – Обеспечивает работу программы ATI External Event Utility (Устанавливается вместе с драйверами видеокарт AMD / ATI), поддерживает работу горячих клавиш для видеодрайверов. Благодаря потреблению большого количества системных ресурсов, желательно отключить автозагрузку соответствующей службы. Случаев заражения не обнаружено.

csrss.exe – Подсистема компонента "клиент / сервер", обеспечивающая работу консольных приложений, потоков и среды MS DOS. Не может быть отключен. Всегда распологается в Системной папке. Существует большая вероятность вирусного заражения.

ctfmon.exe – Поддерживает стабильную работу различных функций ввода и отображения данных. Отключение не рекомендуется. Расположен в системной директории. Бывают случаи использования вредоносным ПО.

dumprep.exe – Может активизироваться только после критической ошибки системы (BSOD – "Синий Экран Смерти"), поскольку отвечает за создание дампа памяти. Исключить создание можно, отключив Запись отладочной информации в компоненте "Загрузка и восстановление". Местоположение: Системная папка. Встречаются случаи заражения и имитации данного процесса.

dwm.exe - Интегрирован в систему, начиная с Windows Vista и 7. Отвечает за обработку графических эфектов рабочего стола, окон и меню, нормальное функционирование возможностей интерфейса "Aero". Если Вам более привычен вариант отображения, как в Windows XP - можете отключить службу Aero в настройках системы. Расположение: Системная папка (C:\Windows\System32\dwm.exe). Вероятность заражения - низкая.

dxdiag.exe – сопровождает работу службы диагностики библиотек DirectX. Если Вы не желаете выполнять автоматический поиск проблем этого класса, можете убрать программу DirectX Diagnostic Tool из автозагрузки. Вирусов, имитирующих работу этого приложения обнаружено не было.

explorer.exe - Проводник Windows. Критический системный процесс, отвечающий за отображение рабочего стола и меню, возможность осуществления навигации пользователя. Не может быть отключен. Путь запуска: C:\Windows. Возможны проблемы нарушения стабильности при его конфликте с недавно установленными (некачественными) приложениями, или заражении вирусом.

hkcmd.exe - Работает только вместе с видеокартами Intel. Осуществляет поддержку горячих клавиш для смены графического режима. При желании может быть отключен путем деактивации функции горячих клавиш в свойствах дисплея. Расположен в системной папке. Вероятность заражения - высокая.

issch.exe – Программа, выполняющая обновление стандартного инсталлятора Windows (InstallShield). Располагается в Системной директории. Случаев заражения или подмены не обнаружено.

jusched.exe – Программа для проверки по расписанию обновлений для компонентов Java. Отключить автоматический запуск процесса можно в Планировщике задач, или путем выключения автоматической проверки обновлений в настройках Java Plug-in. Вероятность заражения – низкая.

lsass.exe – Отвечает за работу локального сервера проверки подлинности, взаимодействует с службой winlogon. Это критический процесс, не может быть завершен. Размещен в Системной папке. Часто используется вирусным ПО (создание процесса с очень похожим названием, дублирование или внезапное завершение).

lsm.exe – Сопровождает работу программы Local Session Manager (Начиная с Windows Vista и 7), управляет удаленными подключениями к локальной системе. Самостоятельное отключение не рекомендуется. Размещен в Системной папке. Случаев заражения не зарегистрировано.

mdm.exe - Обеспечивает работу функционала отладки программ. В современных версиях Windows, обычно, отключен по умолчанию. Место расположения файла - Системная директория. Существует вероятность заражения вредоносной программой.

nwiz.exe - Предоставляет владельцам видеокарт NVidia возможность дополнительной конфигурации этих устройств. На работу системы не влияет, может быть отключен. Запуск производится от имени системы, в одном процессе. Если это не так - есть большая вероятность заражения.

rthdcpl.exe – Процесс, обеспечивающий работу контрольной панели Realtek HD Audio. При отключении или удалении с автозагрузки самой панели, отключается и процесс. Вероятность использования вредоносным программным обеспечением – очень низкая.

rundll32.exe - Процесс командной строки. Сопутствует загрузке некоторых функций DLL - файлов. Может быть отключен из автозагрузки. Расположение: Системная директория. Может быть использована для запуска и работы вирусов.

services.exe – Отвечает за управление (включение, работу и остановку) системными службами. Самостоятельное отключение недопустимо. Размещен в Системной директории. Инициатором запуска всегда является система (System). Работа под другим пользователем означает заражение вирусом.

smss.exe - Подсистема менеджера пользовательских сеансов, предоставляет возможность запуска некоторых системных процессов и установку переменных. Завершать работу этого процесса нельзя. Расположение - Системная папка. Вероятность заражения - высокая.

spoolsv.exe - Отвечает за функции печати (взимодействие с принтером, факсом и т.д.). Если Вы не используете подобные устройства, отключить процесс можно путем деактивации сервиса "Диспетчер очереди печати". Расположение - Системная директория. Вероятность заражения - низкая.

svchost.exe – Хост-процесс, выполняющий роль контейнера для различных служб. Одновременно может работать много его копий, поскольку каждая содержит в себе службы разных направлений. Размещается всегда в Системной папке. Часто используется вирусными программами.

Здесь Вы можете узнать больше информации о процессе svchost.exe

wininit.exe – Ответственный за своевременный запуск элементов автозагрузки, поддерживает работу некоторых системных служб. Отключение не рекомендуется, поскольку может вызвать ухудшение стабильности работы операционной системы. Расположен в Системной папке. Случаев заражения не зафиксировано.

winlogon.exe - Критический системный процесс. Отвечает за вход (выход) пользователя в систему. Не может быть завершен. Находится в системной директории. Возможно использование этого процесса различным вирусным программным обеспечением.

wmiprvse.exe - Один из компонентов инструментария Инструментария управления Windows. Отключение не рекомендуется. Файл расположен по пути: C:\Windows\System32\Wbem. Вероятность использования вирусом - высокая.

wuauclt.exe - Осуществляет возможность обновления операционной системы через Web - интерфейс. После установки требуемых обновлений, может быть отключен путем деактивации службы обновлений. Расположение файла - Системная папка. Есть случаи заражения.

wudfhost.exe – Представляет собой функционал поддержки драйверов в ОС Windows. Не может быть отключен. Расположен в системной директории. Случаев заражения, или имитации работы wudfhost.exe каким-либо вирусом не зафиксировано.
Наблюдать за запущенными процессами на компьютере можно посредством встроенного в систему диспетчера задач TaskManager. Однако с его помощью можно увидеть далеко не все процессы. Программа Process Explorer справляется с этой задачей гораздо лучше и позволит эффективнее осуществлять мониторинг запущенных процессов. Каждый такой процесс с помощью данной утилиты можно завершить или установить на него определенный приоритет.

В программу встроена поисковая система, позволяющая осуществлять поиск определенного процесса по загруженной библиотеке *.dll. Программа не требует инсталляции и имеет небольшой размер.


В последней версии существенно улучшена работа с Windows 8, добавлен новый способ отображения данных об использовании процессора каждым процессом.

Язык интерфейса: английский

ED2k ссылка:
Process Explorer v15.3.zip


AnVir Task Manager - "Мощный менеджер процессов и программ автозагрузки с функциями анти-трояна и antispyware. Показывает полную информацию о процессах: dll, окна, соединения, потоки, хендлы, драйвера, версию файла, в трее - загрузку диска и процессора. Мониторит попытки добавления программ в автозагрузку. Позволяет отловить трояны и spyware по своей базе и по результатам анализа. Ускоряет загрузку Windows за счет отложенного запуска программ автозагрузки.".
Русская версия AnVir Task Manager является бесплатной.

Автор: AnVir Software
Сайт программы:http://www.anvir.com/index_ru.htm
Стоимость: Free
Рус. язык: Есть

Поддерживаемые операционные системы:
Windows XP 32/64-bit
Windows Vista 32/64-bit
Windows 2003 / 2008
Windows 7 32/64-bit

Операционные системы, поддерживаемые с ограниченным функционалом:
Windows 98
Windows 2000
Windows Me

AnVir Task Manager 7.5.2 Final.exe 26.46 Мб
 

Chartbreaker

Ословед
В оригинале это диспетчер очереди печати Spooler SubSystem (загружает в память файлы для последующей распечатки). Выгружать его из системы не нужно. Как вариант, попробуй подождать минут 10, пусть он нагружает систему, может он завершит все свои дела и вернётся к нормальному состоянию. :) А вообще, проверь установленные в системе принтаки (как физические, так и виртуальные), проверь очередь печати, может сбившийся принтер оставил там какие-то невыполненные задачи. Ну и на вирусы не помешает прошерстить. ;)
 

NMg

Ословед
Это диспетчер очереди печати, но вот тока если мне не изменяет память, как-то была в нем критическая уязвимость.. мож надо обновления поставить, мож на вирусы проверицца...
 
B

Boss Artem

Было примерно такое же. Взял spoolsv.exe с другого компа и все стало норм.
 
А еще бывають люди, у которых нет принтера. Типа меня. Таким надлежит запретить "Диспетчер очереди печати" в службах и не беспокоиться.
 
S

Solrobot

Процессы

Обсуждение процессов типа svchost.exe, spoolsv.exe и т.д.
 

DART2

Ословед
че за винда

ставь win xp sp2( в sp2 есть исправления явления с svchost.exe)
 

Chartbreaker

Ословед
Этих процессов обычно в системе 5 штук. По описанным тобой симптомам, грузит процессор третий, отвечающий за звук, браузинг, службу криптографии, DHCP-клиент, диспетчер логических дисков, регистратор ошибок, планировщик заданий и т.д. Так же он отвечает за запуск автоматического обновления - скорее всего проблема именно в этом. Попробуй отключить эту функцию через панель управления.
 

    Kowalski

    очки: 11
    спасибо - 

Joshuan

Ословед
У меня такая дже история.
svchost.exe (котороый запущен от имени SYSTEM) грузит проц до 100% и всё тормозит, только при этом слетает многое что связано с сетью...
Подскажите как с этим можно справиться?
 
а он, случаем, не в папке windows? Некоторые вирусы называют себя svchost'ом
 
B

Boss Artem

Иногда проблемы с svchost бывают если криво встали дрова на nforc'овые мамки.
 

Же_Кас

Ословед
Слушайте а не вирус ли это..?Но мой Нод32 ничего не засек... У меня эта проблема возникла примерно неделю назад...я до сих пор в ударе... постоянно вырубаю этот поцесс и пропадает звук..переустанавливал дрова звука - бесполезно, дрова на видяху стояли давно, а проблема началась недавно...
Насчет обновления возможно и правда, но вот у меня такая незадача.. Автоматическое обновление выключить не возможно.. функция выключения не доступна - доступны только первые 3...:idontno:
Чтож делать то?
 
Что-бы вернуть звук набери "net start audiosrv" должно помочь. Придется набирать каждый раз, когда убиваешь svchost.
 

Же_Кас

Ословед
конечно спасибо, но ето же не выход:( ...Надо разобраться с самим svchost.exe.... Винду бы не хотелось сносить.. я удали дрова видяхи и мамки и поставил заново..мне не помогло.
 
у меня svchost начинал хавать память безпредельно после обновления винды. Пришлось ставить заново.
 

Же_Кас

Ословед
у меня svchost начинал хавать память безпредельно после обновления винды. Пришлось ставить заново.
может попробывать удалить обновления иль как-то это дело прекратить...у меня обновления стояли на 9, но винда упорнго пыталась их обновить при выключенном инэте...-это кстати наверное и будет решением проблемы
 
Панель управления -> Администратирование -> службы -> автоматическое обновление -> отключить
и никто сам обновляться не станет.
Обновления удалить можно, но жалко их, ведь придется все удалять.
 

    Же_Кас

    очки: 4
    ну спасиб, ты подтолкнул меня на путь истинный ;)
Была такая беда. Помогло отключение службы автоматического обновления. Это началось на некоторых машинах после установки очередной заплатки на XP SP2
 
Сверху