1. Всем пользователям необходимо проверить работоспособность своего электронного почтового адреса. Для этого на, указанный в вашем профиле электронный адрес, в период с 14 по 18 июня, отправлено письмо. Вам необходимо проверить свою почту, возможно папку "спам". Если там есть письмо от нас, то можете не беспокоиться, в противном случае необходимо либо изменить адрес электронной почты в настройках профиля , либо если у вас электронная почта от компании "Интерсвязь" (@is74.ru) вы им долго не пользовались и хотите им пользоваться, позвоните в СТП по телефону 247-9-555 для активации вашего адреса электронной почты.
    Скрыть объявление

Процессы Windows: описание и определение безопасности

Тема в разделе "Программный форум", создана пользователем programmer, 13 мар 2007.

  1. programmer

    programmer Ословед

    Репутация:
    123.525.161.732
    programmer, 13 мар 2007
    Все программы и действия на компьютере выполняются в определенных процессах. Некоторые приложения используют собственные, некоторые - системные. Задачи одной и той же программы могут выполняться в разных процессах, в зависимости от характера самой задачи. Увидеть весь список запущенных процессов можно, нажав правый клик на панели задач и выбрав "Запустить диспетчер задач" (Вкладка "Процессы")

    Поскольку каждый запущенный процесс потребляет определенное количество системных ресурсов, теоретически можно предположить, что чем меньше их работает - тем лучше. На практике все не так просто. Многие процессы по умолчанию стартуют вместе с компьютером независимо от того, будем мы их использовать, или нет. Это сделано разработчиками операционной системы для того, чтоб улучшить стабильность ее работы на большинстве пользовательских компьютеров (Предугадать предпочтения и характер использования ПК каждым пользователем - невозможно). Работа многих процессов критически необходима для нормального функционирования ОС.

    Чтоб корректно деактивировать определенный процесс, нужно изменить настройки запуска службы (сервиса) или программы, которая его вызывает. Список возможных сервисов и путь их деактивации я описывал в предыдущих статьях, поэтому дополнительно останавливаться на этом здесь не планирую. В этой статье хотелось бы сосредоточить внимание на другом: Многие вирусы для усложнения их обнаружения, маскируют свои действия под определенный системный процесс. Вычислить их возможно, если знать, какие процессы должны работать у нас в данный момент и какие пути к файлам на диске, которые их активируют.

    На первый взгляд, запомнить названия всех активных процессов кажется невыполнимой задачей, но со временем они вам так примелькаются, что будет достаточно несколько секунд посмотреть на окно Диспетчера задач, чтоб выделить нетипичные процессы для Вашей конфигурации. Я для себя уже достаточно давно определил, что после полной настройки Windows 7 и установки всех необходимых программ, в режиме простоя у меня должно быть запущено 29 - 32 процесса. Если их больше - я начинаю искать службу или приложение, которое активирует лишние.

    Расположение: "Системная папка" означает, что исполняемый файл ДОЛЖЕН находиться в директории C:\Windows\System32

    Если Вы переместили системную папку - значит вам точно известно ее местоположение :)

    Если процесс запущен с места, отличающегося от описания - значит есть большая вероятность его заражения, или имитации вредоносной программой

    alcmtr.exe - Процесс, обеспечивающий мониторинг аудиоустройств Realtek AC97. Может быть завершен, но иногда его отключение вызывает проблемы со звуком. Случаев заражения вредоносным ПО не выявлено.

    alg.exe - служба Windows, обеспечивающая доступ к Интернету и нормальную работу Брандмауэра Windows. Самостоятельное прямое отключение не рекомендуется, но многие сторонние фаерволы могут заменять этот процесс собственным. Расположение - Системная директория. Возможно заражение некоторыми вирусами.

    ati2evxx.exe – Обеспечивает работу программы ATI External Event Utility (Устанавливается вместе с драйверами видеокарт AMD / ATI), поддерживает работу горячих клавиш для видеодрайверов. Благодаря потреблению большого количества системных ресурсов, желательно отключить автозагрузку соответствующей службы. Случаев заражения не обнаружено.

    csrss.exe – Подсистема компонента "клиент / сервер", обеспечивающая работу консольных приложений, потоков и среды MS DOS. Не может быть отключен. Всегда распологается в Системной папке. Существует большая вероятность вирусного заражения.

    ctfmon.exe – Поддерживает стабильную работу различных функций ввода и отображения данных. Отключение не рекомендуется. Расположен в системной директории. Бывают случаи использования вредоносным ПО.

    dumprep.exe – Может активизироваться только после критической ошибки системы (BSOD – "Синий Экран Смерти"), поскольку отвечает за создание дампа памяти. Исключить создание можно, отключив Запись отладочной информации в компоненте "Загрузка и восстановление". Местоположение: Системная папка. Встречаются случаи заражения и имитации данного процесса.

    dwm.exe - Интегрирован в систему, начиная с Windows Vista и 7. Отвечает за обработку графических эфектов рабочего стола, окон и меню, нормальное функционирование возможностей интерфейса "Aero". Если Вам более привычен вариант отображения, как в Windows XP - можете отключить службу Aero в настройках системы. Расположение: Системная папка (C:\Windows\System32\dwm.exe). Вероятность заражения - низкая.

    dxdiag.exe – сопровождает работу службы диагностики библиотек DirectX. Если Вы не желаете выполнять автоматический поиск проблем этого класса, можете убрать программу DirectX Diagnostic Tool из автозагрузки. Вирусов, имитирующих работу этого приложения обнаружено не было.

    explorer.exe - Проводник Windows. Критический системный процесс, отвечающий за отображение рабочего стола и меню, возможность осуществления навигации пользователя. Не может быть отключен. Путь запуска: C:\Windows. Возможны проблемы нарушения стабильности при его конфликте с недавно установленными (некачественными) приложениями, или заражении вирусом.

    hkcmd.exe - Работает только вместе с видеокартами Intel. Осуществляет поддержку горячих клавиш для смены графического режима. При желании может быть отключен путем деактивации функции горячих клавиш в свойствах дисплея. Расположен в системной папке. Вероятность заражения - высокая.

    issch.exe – Программа, выполняющая обновление стандартного инсталлятора Windows (InstallShield). Располагается в Системной директории. Случаев заражения или подмены не обнаружено.

    jusched.exe – Программа для проверки по расписанию обновлений для компонентов Java. Отключить автоматический запуск процесса можно в Планировщике задач, или путем выключения автоматической проверки обновлений в настройках Java Plug-in. Вероятность заражения – низкая.

    lsass.exe – Отвечает за работу локального сервера проверки подлинности, взаимодействует с службой winlogon. Это критический процесс, не может быть завершен. Размещен в Системной папке. Часто используется вирусным ПО (создание процесса с очень похожим названием, дублирование или внезапное завершение).

    lsm.exe – Сопровождает работу программы Local Session Manager (Начиная с Windows Vista и 7), управляет удаленными подключениями к локальной системе. Самостоятельное отключение не рекомендуется. Размещен в Системной папке. Случаев заражения не зарегистрировано.

    mdm.exe - Обеспечивает работу функционала отладки программ. В современных версиях Windows, обычно, отключен по умолчанию. Место расположения файла - Системная директория. Существует вероятность заражения вредоносной программой.

    nwiz.exe - Предоставляет владельцам видеокарт NVidia возможность дополнительной конфигурации этих устройств. На работу системы не влияет, может быть отключен. Запуск производится от имени системы, в одном процессе. Если это не так - есть большая вероятность заражения.

    rthdcpl.exe – Процесс, обеспечивающий работу контрольной панели Realtek HD Audio. При отключении или удалении с автозагрузки самой панели, отключается и процесс. Вероятность использования вредоносным программным обеспечением – очень низкая.

    rundll32.exe - Процесс командной строки. Сопутствует загрузке некоторых функций DLL - файлов. Может быть отключен из автозагрузки. Расположение: Системная директория. Может быть использована для запуска и работы вирусов.

    services.exe – Отвечает за управление (включение, работу и остановку) системными службами. Самостоятельное отключение недопустимо. Размещен в Системной директории. Инициатором запуска всегда является система (System). Работа под другим пользователем означает заражение вирусом.

    smss.exe - Подсистема менеджера пользовательских сеансов, предоставляет возможность запуска некоторых системных процессов и установку переменных. Завершать работу этого процесса нельзя. Расположение - Системная папка. Вероятность заражения - высокая.

    spoolsv.exe - Отвечает за функции печати (взимодействие с принтером, факсом и т.д.). Если Вы не используете подобные устройства, отключить процесс можно путем деактивации сервиса "Диспетчер очереди печати". Расположение - Системная директория. Вероятность заражения - низкая.

    svchost.exe – Хост-процесс, выполняющий роль контейнера для различных служб. Одновременно может работать много его копий, поскольку каждая содержит в себе службы разных направлений. Размещается всегда в Системной папке. Часто используется вирусными программами.

    Здесь Вы можете узнать больше информации о процессе svchost.exe

    wininit.exe – Ответственный за своевременный запуск элементов автозагрузки, поддерживает работу некоторых системных служб. Отключение не рекомендуется, поскольку может вызвать ухудшение стабильности работы операционной системы. Расположен в Системной папке. Случаев заражения не зафиксировано.

    winlogon.exe - Критический системный процесс. Отвечает за вход (выход) пользователя в систему. Не может быть завершен. Находится в системной директории. Возможно использование этого процесса различным вирусным программным обеспечением.

    wmiprvse.exe - Один из компонентов инструментария Инструментария управления Windows. Отключение не рекомендуется. Файл расположен по пути: C:\Windows\System32\Wbem. Вероятность использования вирусом - высокая.

    wuauclt.exe - Осуществляет возможность обновления операционной системы через Web - интерфейс. После установки требуемых обновлений, может быть отключен путем деактивации службы обновлений. Расположение файла - Системная папка. Есть случаи заражения.

    wudfhost.exe – Представляет собой функционал поддержки драйверов в ОС Windows. Не может быть отключен. Расположен в системной директории. Случаев заражения, или имитации работы wudfhost.exe каким-либо вирусом не зафиксировано.
    Наблюдать за запущенными процессами на компьютере можно посредством встроенного в систему диспетчера задач TaskManager. Однако с его помощью можно увидеть далеко не все процессы. Программа Process Explorer справляется с этой задачей гораздо лучше и позволит эффективнее осуществлять мониторинг запущенных процессов. Каждый такой процесс с помощью данной утилиты можно завершить или установить на него определенный приоритет.

    В программу встроена поисковая система, позволяющая осуществлять поиск определенного процесса по загруженной библиотеке *.dll. Программа не требует инсталляции и имеет небольшой размер.

    [​IMG]

    В последней версии существенно улучшена работа с Windows 8, добавлен новый способ отображения данных об использовании процессора каждым процессом.

    Язык интерфейса: английский

    ED2k ссылка:
    Process Explorer v15.3.zip


    AnVir Task Manager - "Мощный менеджер процессов и программ автозагрузки с функциями анти-трояна и antispyware. Показывает полную информацию о процессах: dll, окна, соединения, потоки, хендлы, драйвера, версию файла, в трее - загрузку диска и процессора. Мониторит попытки добавления программ в автозагрузку. Позволяет отловить трояны и spyware по своей базе и по результатам анализа. Ускоряет загрузку Windows за счет отложенного запуска программ автозагрузки.".
    Русская версия AnVir Task Manager является бесплатной.

    Автор: AnVir Software
    Сайт программы:http://www.anvir.com/index_ru.htm
    Стоимость: Free
    Рус. язык: Есть

    Поддерживаемые операционные системы:
    Windows XP 32/64-bit
    Windows Vista 32/64-bit
    Windows 2003 / 2008
    Windows 7 32/64-bit

    Операционные системы, поддерживаемые с ограниченным функционалом:
    Windows 98
    Windows 2000
    Windows Me

    AnVir Task Manager 7.5.2 Final.exe 26.46 Мб
     
    #1
  2. Balabama

    Balabama Ословед

    Репутация:
    603.311
    Balabama, 20 апр 2010
    [​IMG] что делать))первый явно недоброжелательный такойто
    пробовал проверить антивиром папку куда адрес направляет ----> нечего не выявлено
     
  3. lakmus.x

    lakmus.x Ословед

    Репутация:
    70.160
    lakmus.x, 20 апр 2010
    скажи полный путь до него, а так что с ним делать, завершать - а потом удалять. посмотри, в автозагрузке он стоит?
     
  4. dvO_-1Ka

    dvO_-1Ka Ословед

    Репутация:
    16.539
    dvO_-1Ka, 20 апр 2010
    явно не системный процесс, тем более из папки, которая скрыта
    вот в этом посте есть программка для просмотра пути "свчостов"
    http://city.is74.ru/forum/index.php?posts/10523173
     
  5. Balabama

    Balabama Ословед

    Репутация:
    603.311
    Balabama, 20 апр 2010
     
  6. dvO_-1Ka

    dvO_-1Ka Ословед

    Репутация:
    16.539
    dvO_-1Ka, 21 апр 2010
    в "Свойствах папки" (Вид-Панели инструментов-Настройка, там добавляешь значок "Свойства папки" и он появляется на Панели инструментов), вкладка "Вид"-Показывать скрытые файлы и папки
     
  7. ShadowOfPhantom

    ShadowOfPhantom Ословед

    Репутация:
    3.032
    ShadowOfPhantom, 27 апр 2010
    Явно не типичный файл. Установи файервол антикейлогер, и авнтивирусек как я это сделал и усэ пучком.
     
  8. ShadowOfPhantom

    ShadowOfPhantom Ословед

    Репутация:
    3.032
    ShadowOfPhantom, 11 май 2010
    Дайте мне пожалуйста русскую обновленную версию программый Вот этой
     
  9. Str4nnik

    Str4nnik

    Репутация:
    0
    Str4nnik, 28 июн 2010
    А откуда такая уверенность, что после удаления лже-svchost'a в системе не останется хвостов этой прелести?
    Рекомендуемое решение:
    1. Запомнить путь, где лежит эта гадость.
    2. Загрузиться с LiveCD.
    3. Почистить запомненный путь.
    4. Прогнать систему хорошим антивирусом (как вариант TrustPort, GData, Avira, Kaspersky) из под запущенной с CD ОС.
    5. Пропатчить очищенную систему до актуального состояния;
    6. Поставить персональный фаервол + нормальный антивирус...

    вот как-то так....
     
  10. ogl

    ogl Ословед

    Репутация:
    10.857
    ogl, 29 июн 2010
    Стало интересно!
    А можно пояснение с объяснением про этот выбор? Посмотрел в инете про это решение, никаких выдающихся качеств не увидел...
    Движки взяты взаймы, проактивная защита не блещет...
    Может лучше Др Веб и сканировать... и почему "прогнать ...антивирусом", а не сканером, который не потребует установки и не будет ставить в ОС драйвера, что кстати, при активном заражении проблематично.
     
  11. Str4nnik

    Str4nnik

    Репутация:
    0
    Str4nnik, 29 июн 2010
    Выбор объясняется исследованиями VirusBulletin, в которых данный антивирус показал чуть ли не самые лучшие результаты... правда впервые... в то время, как DrWeb в ряде предыдущих тестов просто проваливал испытания. В большинстве отечественных тестов DrWeb занимает неплохие позиции... но, на мой взгляд, далеко не все они беспристрастны... Тогда у меня к вам вопрос - вы готовы рисковать своей безопасностью? Я - нет. Кстати, тот же Касперский по буржуйским тестам занимает очень неплохие позиции, но есть несколько НО... Хотя, стоит признать, что из отечественных антивирусов по общей оценке это очень достойный продукт.
    Под словом "прогнать" имелось в виду сканирование... причём исключительно с LiveCD.
     
  12. ogl

    ogl Ословед

    Репутация:
    10.857
    ogl, 29 июн 2010
    Если можно ссылочку...
    http://city.is74.ru/forum/index.php?posts/11483381 - тут не нашёл
    http://www.matousec.com/projects/proactive-security-challenge/results.php/- тут присутствует, но результат разочаровывает
    Рисковать не собираюсь, система защиты выстроена.
     
  13. Str4nnik

    Str4nnik

    Репутация:
    0
    Str4nnik, 29 июн 2010
    Ссылку не помню, но факт в наличии...
    Посмотреть вложение 645049
    Да... и мы, ведь, с вами сейчас рассуждаем об Антивирусах, а не о комплексных системах персональной защиты, включающих в себя всякие там Антихакеры (персональные брандмауэры) и т.д.... ;)
     
  14. Doberman

    Doberman Самец :)

    Репутация:
    2.075.331
    Doberman, 16 ноя 2010
    на работе комп подхватил заразу какую то....
    помимо семи svchost.exe
    оооочень много rundll32.exe
    т.е. к вечеру у меня 167 процессов (рандлл) из них только 45 нормальных
    как побороть все это безобразие?
    прчием цп не сильно грузят...но работат ьмешает все тупит когад что-то пытаюсь открыть
    прогонял систему др вебом и в безопасном режиме др вебом (куреит какой-то )
    заранее благодарен за терпение и помощ )))
     
  15. GEk

    GEk Ословед

    Репутация:
    32.278
    GEk, 16 ноя 2010
    У Вас вирус. Запускается как параметр SVCHOST.EXE - менеджера сервисов Windows.
    Нажмите правую клавишу на "Мой Компьютер" -Управление-Сервисы и... открывая свойства сервисов сморите на путь к исролняемому файлу. В норме сервмсы, запусаемые через SVCHOST, имеют запись, похожую на
    C:\WINDOWS\System32\svchost.exe -k netsvcs
    Если параметр после C:\WINDOWS\System32\svchost.exe содержит .ехе файл - это, скорее всего, и есть вирус.

    поставьте anvir (в осле полно всяких версий) она вам поможет, скачайте сканер касперского (с интернета, надеюсь у вас есть анлим), думаю лишним не будет Kaspersky Virus Removal Tool 2010
     
  16. Doberman

    Doberman Самец :)

    Репутация:
    2.075.331
    Doberman, 16 ноя 2010
    уважаемый GEk
    решение проблемы относится и к рандлл?
     
  17. frisssa

    frisssa

    Репутация:
    184
    frisssa, 3 окт 2011
    Я не понимаю вообще зачем эта тема была заведена, svhost системный файл который просто не может быть таким типом как exe там абсолютно другой формат и в диспечере задач(стандартном) никогда этот формат не увидешь. На крайний случай рекомендую установить прогу System explorer, это аналог диспетчера задач, который svhost в случае заражения отображает как папку.

    Ps:КТо не понял svhost.exe это вирус в любом случае, в основном проблем это не вызывает, но по какой то причине во многих сборках он присутствует, возможно в sp3 он был таким образом преобразован.
     
  18. Ledenec

    Ledenec

    Репутация:
    122.286
    Ledenec, 31 окт 2012
    svhost.exe - вирусом становится тогда, когда перед ним стоит ;
     
  19. mensh

    mensh Ословед

    Репутация:
    1.243.703.763.139
    mensh, 14 мар 2020
    На рабочем столе при загрузке ОС появляется всплывающее сообщение "Выберите программу для открытия этого файла":

    Выбор программы_1.jpg

    Кликаю по текстовому редактору, появляется:

    Выбор программы_2.jpg

    В интернете советуют воспользоваться локальным антивирусом AVZ, который после проверки найдёт файлы с нарушением ассоциации («Нарушение ассоциации ЕХЕ файлов»).
    Такие файлы AVZ не нашёл. Проверял ещё несколькими антивирусниками. Определяют, что всё нормально. Переустановил Windows 7 (х64), сообщение снова появляется.
     
    Последние данные очков репутации:
    МиРоТВоРеЦ: 2.147.483.646 Очки (Попробуй ниже прочитать.) 15 мар 2020
  20. МиРоТВоРеЦ

    МиРоТВоРеЦ Стреляй в глаз – не порти шкуру. Модератор

    Репутация:
    1.889.237.199.141
    МиРоТВоРеЦ, 14 мар 2020


    LiberKey.exe безопасный, или это вирус или вредоносная программа?

    Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, такой процесс, как LiberKey.exe, должен запускаться из C: \ Portable Apps \ LiberKey \ LiberKey.exe, а не где-либо еще.

    Для подтверждения откройте Диспетчер задач, перейдите в «Просмотр» -> «Выбрать столбцы» и выберите «Имя пути к изображению», чтобы добавить столбец местоположения в диспетчер задач. Если вы найдете здесь подозрительный каталог, возможно, будет хорошей идеей продолжить изучение этого процесса.

    Другой инструмент, который иногда может помочь вам обнаружить плохие процессы, - это Microsoft Process Explorer. Запустите программу (она не требует установки) и активируйте «Проверить легенды» в разделе «Параметры». Теперь перейдите в View -> Select Columns и добавьте «Verified Signer» в качестве одного из столбцов.

    Если статус процесса «Подтвержденный подписчик» указан как «Невозможно проверить», вам следует взглянуть на процесс. Не все хорошие процессы Windows имеют ярлык проверенной подписи, но ни один из них не имеет плохих.
     
  21. mensh

    mensh Ословед

    Репутация:
    1.243.703.763.139
    mensh, 16 мар 2020
    Спасибо, МиРоТВоРеЦ!
    Попробую сделать, как Вы советуете.

    P.S. LiberKey.exe из папки с портабельными программами находится у меня на диске Е (LiberKey 5.8\LiberKey.exe) около 10 лет.
    А это сообщение стало появляться несколько дней назад.

    P.P.S. МиРоТВоРеЦ, может и здесь поможете? - Периферийные устройства
     
Загрузка...