В этой теме речь пойдёт о процессах и их описании.
То что знаю сам и что нашёл во всемирной паутине попробую объединить в одной теме.
Итак начну с самого известного процесса explorer.exe
Поехали:
explorer.exe
explorer.exe - Графическая оболочка операционной системы Microsoft Windows, включающая меню пуск, рабочий стол, панель инструментов и файловый менеджер. В случае удаления этого процесса, исчезнет из виду графический интерфейс для Windows.
Часто вирусы, неправильно установленные программы или другие сбои в системе могут привести к невозможности запуска Explorer.exe. В этом случае рекомендуется удалить в безопасном режиме последние установленные программы или воспользоваться установочным диском операционной системы для восстановления системы.
Файл Explorer.exe расположен в папке C:\Windows. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. Наиболее распространенные вирусы, использующие для сокрытия имя Explorer.exe – W32.MyDoom, w32.Codered, BKDR_ZAPCHAST. Наличие вируса свидетельствует несколько запущенных процессов Explorer.exe в диспечере задач Windows.
Wuauclt.exe
Wuauclt.exe – клиент системы автообновления Windows. Программа работает в фоновом режиме и периодически подключается с серверу обновлений Microsoft для обновление операционной системы, приложений и драйверов.
Если вы завершите работу процесса Wuauclt.exe в диспечере приложений, он автоматически запустится снова, если включена система автоматического обновления. Процесс работает под пользователем SYSTEM, однако он также может быть запущен под именем текущего пользователя.
Вирусописатели часто используют имя Wuauclt.exe для распространения злонамеренных программ. В этом случае файл Wuauclt.exe будет расположен вне каталога %SystemRoot%\System32. Например троян Backdoor.Clt (W32.Cult) позволяет получить полный контроль над уязвимой системой. Если Wuauclt.exe пытается подключится к 6667 порту, это означает что ваш компьютер заражен Backdoor.Clt.
Обычно запущена только одна копия процесса, однако возможна работа нескольких копий. Это не означает что ваш компьютер заражен вирусом.
regsvc.exe (Remote Registry Service)
regsvc.exe – системная служба Microsoft Windows, позволяющая удаленным компьютерам подключаться к локальному реестру. Некоторые локальные программы также используют эту службу для редактирования реестра. В случае если ваш компьютер не подключен к локальной сети то процесс regsvc.exe можно отключить.
Предупреждение! – данный файл отсутствует в операционной системе Windows XP. В случае если вы обнаружили в Windows XP файл regsvc.exe, проверьте принадлежит ли этот файл компании Microsoft.
Файл regsvc.exe всегда расположен в директории C:\Windows\System32. 2. В других каталогах под именем regsvc.exe может скрываться троян, вирус или сетевой червь. Наиболее известные злонамеренные программы, скрываются под именем системного процесса regsvc.exe – Troj/Cloner, Troj/Dropper-BA и шпионская программа Ace Spy. В этом случае злонамеренный процесс должен быть немедленно завершен.
ravmond.exe
Ravmond.exe – процесс, под которым скрывается троян Lovegate.F. Этот троян позволяет злоумышленнику получить удаленный доступ к компьютеру, украсть пароли и другие персональные данные.
В случае обнаружения файла с таким именем он должен быть немедленно удален, а система проверена на наличие злонамеренного ПО.
hh.exe (Microsoft Windows Help)
hh.exe – утилита операционной системы Microsoft Windows, которая вызывается при нажатии клавиши помощи. Процесс не является критическим и его завершение не влияет на стабильность работы системы.
Файл hh.exe всегда расположен в папке /winroot/. В случае, если вы обнаружили файл в любом другом каталоге, он должен быть немедленно удален. В настоящее время известно несколько вирусов (например W32.Dexec), использующих имя hh.exe для скрытия своей активности в системе.
cidaemon.exe
cidaemon.exe -процесс в операционных системах Microsoft Windows, который отвечает за индексацию файлов на вашем компьютере для последующего быстрого поиска необходимой информации. В некоторых случаях он может значительно загружать ресурсы центрального процессора. Однако так как процесс всегда запущен с низким приоритетом, он не сильно влияет на снижение производительности системы в целом. В системе могут быть запущены несколько процессов с именем cidaemon.exe – каждый процесс обслуживает отдельный индексный каталог на системе.
Обычно cidaemon.exe запускается во время простоя компьютера, однако на слабых машинах или при неправильной настройке он может использовать значительные ресурсы центрального процессора.
Программа необходима для стабильной работы компьютера и не рекомендуется отключать ее работу. Известно о существовании нескольких вирусов, использующих имя cidaemon.exe для сокрытия своего присутствия в системе. В случае подозрений рекомендуем использовать антивирусную программу для проверки вашего компьютера.
Файл всегда расположен в каталоге C:\WINDOWS\system32\cidaemon.exe. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько сетевых червей (VBS.Ypsan и VBS.Spiltron) использующих имя cidaemon.exe для сокрытия своего присутствия в системе.
a006.exe (Adware.W32.Claria)
a006*.exe – процесс обслуживающий рекламную программу Claria от Claria Corporation. Этот процесс контролирует активность браузера и посылает данные на сервер Claria для анализа. Также этот процесс периодически отображает рекламный баннер в виде popup окна. Программа представляет высокий риск для безопасности системы и должна быть немедленно удалена.
Internat.exe (loads the different input locales)
Internat.exe - выполняется при запуске и загружает поддержку языковых модулей, указанных пользователем. Загружаемые языковые модули указываются в следующем разделе системного реестра:
[HKEY_USERS.DEFAULTKeyboard LayoutPreload]
Internat.exe загружает значок "EN" в системный трей, позволяя пользователю быстро переключатся между языками. Этот значок исчезает, когда процесс останавливается, дополнительную настройку при этом можно выполнить с помощью панели управления.
Языковые настройки для системы загружаются в следующем разделе реестра:
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload
Эти языки используются системными службами, запущенными под учетной записью Local System или когда пользователь не вошел в систему (например, в диалоговом окне входа в систему).
Файл Internat.exe всегда расположен в каталоге C:\Windows\System32. В случае если вы обнаружили файл с таким именем в другом каталоге, его необходимо немедленно удалить. В настоящее время известно несколько десятков вирусов, использующих имя Internat.exe для скрытия своего присутствия в системе.
Kernel32.dll
Kernel32.dll - отвечает за обработку памяти, операций ввода-вывода и прерываний в операционных системах Windows. При запуске Windows, kernel32.dll загружается в защищенную область памяти.
Пользователи часто видят ошибку "invalid page fault" . Это происходит когда программа или приложение пытается получить доступ к защищенной памяти kernel32.dll процесса. Часто такая ошибка вызывается одной определенной программой, но в некоторых случаях ошибка может возникать при запуске нескольких программ.
Файл с Kernel32.dll всегда расположен в папке C:\Windows\ (windows 98/Me) или c:\windows\system32 (Windows XP/2000/2003). В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя Kernel32.dll для скрытия своей активности в системе.
gator - gator.exe
gator.exe – процесс, принадлежащий рекламной программе Claria от Claria Corporation. Этот процесс контролирует активность браузера и посылает собранные данные на сервер автора для последующего анализа. Программа также периодически отображает рекламные окна. Программа представляет высокую угрозу персональным данным и должна быть немедленно удалена с вашего компьютера.
Actmovie.exe
Actmovie.exe – программа используется операционной системой Microsoft Windows для отображения некоторых типов видео и графических файлов с именем ASF (Activemovie Streaming Format). Программа не является критическим процессом, но ее могут использовать другие приложения (например, хранители экрана). Завершение работы программы не влияет на стабильность системы.
Файл Actmovie.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов, например W32.Gubed, использующих имя Actmovie.exe для сокрытия своего присутствия в системе.
agentsvr.exe (Microsoft Agent Server)
agentsvr.exe - этот процесс используется в некоторых мультимедиа приложениях и Web страницах. Программа является ActiveX компонентой и используется программистами для реализации функций анимации, распознавания голоса и преобразования текста в голос (text-to-speech). Завершение работы программы не влияет на стабильность системы.
Файл agentsvr.exe всегда расположен в c:\windows\msagent\. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов( например W32/Bagle-AA, W32/Agobot-RU, W32/Mytob-LC и другие), использующих имя agentsvr.exe для сокрытия своего присутствия в системе.
ASPNET_WP.exe (Microsoft asp.net)
aspnet_wp.exe - этот процесс используется в большинстве служб и программ, использующих технологию ASP.Net. Если вы используете ASP.Net, то процесс всегда должен быть запущен, в противном случае вы можете завершить процесс для освобождения системных ресурсов.
Файл agentsvr.exe всегда расположен в c:\windows\Microsoft.NET\Framework\v1.1.4322. . В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов( например VBS.Spiltron@mm, VBS.Ypsan.E@mm и другие), использующих имя ASPNET_WP.exe для сокрытия своего присутствия в системе.
Ctfmon.exe
Ctfmon.exe управляет технологиями альтернативного ввода данных. Он запускает языковую панель в системной трее при старте операционной системы, и работает в фоновом режиме даже после закрытия всех программ пакета Microsoft Office, независимо от того, запускались ли программы Office XP.
Программа Ctfmon.exe активирует процессор текстового ввода компонента «Альтернативный ввод данных» и языковую панель Microsoft Office. Программа производит мониторинг активных окон и предоставляет поддержку клавиатуры, перевода, распознавания речи и рукописных символов, а также других технологий альтернативного ввода данных. Удалять Ctfmon.exe не рекомендуется, потому что это может вызвать проблемы в работе программ пакета Microsoft Office.
Файл Ctfmon.exe всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно множество вирусов (например W32.Snow.A, Spyware.UltraKeylogger, Trojan.Satiloler и другие), использующих имя Ctfmon.exe для сокрытия своего присутствия в системе.
spoolsv.exe
spoolsv.exe – отвечает за обработку процессов печати на локальном компьютере в операционных системах Microsoft Windows. В случае завершения процесса spoolsv.exe, локальный пользователь не сможет распечатывать задания на локальном принтере.
Файл spoolsv.exe всегда расположен в C:\Windows\System32 директории. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов (например Backdoor.Ciadoor.B, VBS.Masscal.Worm, Hacktool.Privshell и другие), использующих имя spoolsv.exe для сокрытия своего присутствия в системе.
ccmexec.exe (Systems Management Server Host)
Процесс
ccmexec.exe используется системной службой Microsoft Systems Management Server (SMS). Файл отвечает за установку обновлений к различным программам на сетевых компьютерах. Если компьютер находится в корпоративной сети, необходимо уточнить у системного администратора необходимость работы этого процесса на вашем компьютере.
Файл ccmexec.exe всегда расположен в каталоге c:/winnt/system32/ccm/. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время не известно о существовании вирусов, использующих имя ccmexec.exe для сокрытия своего присутствия в системе.
smss.exe (Windows NT Session Manager)
SMSS.EXE - Данный процесс представляет подсистему менеджера сеансов. Данная подсистема является ответственной за запуск пользовательского сеанса. Этот процесс инициализируется системным потоком и ответствен за различные действия, включая запуск процессов Winlogon и Win32 (Csrss.exe) и установку системных переменных. После запуска данных процессов процесс Smss ожидает их завершения. При "нормальном" завершении процессов система корректно завершает работу. Если процессы завершаются аварийно, процесс Smss.exe заставляет систему прекратить отвечать на запросы. Этот процесс нельзя завершить из менеджера задач.
Файл smss.exe расположен в каталоге c:\windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. Наиболее распространенные вирусы, использующие для сокрытия своего присутствия в системе имя smss.exe – W32.Dalbug.Worm, Adware.DreamAd, Win32. Brontok, Win32 Sober, Win32.Landis и другие.
WINLOGON.EXE
WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.
Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D и множество других), использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.
cisvc.exe
Процесс
cisvc.exe (Microsoft Index Service Helper) контролирует использование памяти процессом CIDAEMON.exe и предотвращает проблемы, связанные с нехваткой памяти. Не рекомендуется завершать работу процесса, если вы используете службу индексации на локальном компьютере.
Файл cisvc.exe всегда расположен в каталоге C:\Windows\System32\. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов (например, VBS.Spiltron@mm, VBS.Ypsan.E@mm, W32.HLLW.Gaobot.EE и другие), использующих имя csrss.exe для сокрытия своего присутствия в системе.
dmadmin.exe
Процесс
dmadmin.exe отвечает за администрирования логических дисков в операционной системе Microsoft Windows. Процесс запускается каждый раз, когда вы добавляете или изменяете дисковые партиции. Dmadmin является системным файлом Windows и всегда расположен в системном каталоге.
Также имя dmadmin.exe используют несколько программ, не влияющих на безопасность компьютера. В этом случае файл может находится в установочной директории такой программы. В настоящее время известно о трех вирусах, использующих имя dmadmin для сокрытия своего присутствия в системе. Это VBS.Spiltron@mm, VBS.Ypsan.E@mm и VBS.Ypsan.F@mm.
CSRSS.EXE
CSRSS.EXE – часть пользовательской Win32 подсистемы. SRSS - сокращение от "client/server run-time subsystem" (клиент/серверная подсистема). csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS.
Файл csrss.exe всегда расположен в каталоге C:\Windows\System32/. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько десятков вирусов (например Trojan.Webus, W32.Dalbug.Worm, Spyware.LoverSpy и множество других), использующих имя csrss.exe для сокрытия своего присутствия в системе.
dmadmin.exe
Процесс
dmadmin.exe отвечает за администрирования логических дисков в операционной системе Microsoft Windows. Процесс запускается каждый раз, когда вы добавляете или изменяете дисковые партиции. Dmadmin является системным файлом Windows и всегда расположен в системном каталоге.
Также имя dmadmin.exe используют несколько программ, не влияющих на безопасность компьютера. В этом случае файл может находится в установочной директории такой программы. В настоящее время известно о трех вирусах, использующих имя dmadmin для сокрытия своего присутствия в системе. Это VBS.Spiltron@mm, VBS.Ypsan.E@mm и VBS.Ypsan.F@mm.
actalert.exe
actalert.exe – рекламная программа, принадлежащая компании Avenue Media N.V . Этот процесс контролирует просматриваемые Web страницы и отсылает их на сервер автора для последующего анализа. Также программа периодически отображает рекламные баннеры. Программа представляет серьезный риск безопасности вашего компьютера и должна быть немедленно удалена.
rundll32.exe
rundll32.exe (Microsoft Rundll32) - утилита командной строки, которая позволяет запускать некоторые команды-функции, заложенные в DLL-файлах. Дданная утилита была разработана для внутреннего пользования программистами Microsoft.
Файл всегда расположен в каталоге C:\Windows\System32. В случае обнаружения файла с таким именем в любом другом каталоге он должен быть немедленно удален. Сетевые черви W32/Lovgate-AB, W32/Deloder-A, трояны Troj/Lineage-AR, Troj/LegMir-AS и Troj/Delf-AC и множество других злонамеренных программ используют имя rundll32.exe для сокрытия своего присутствия в системе.
mmc.exe
Консоль управления Microsoft Management Console - это основа администрирования и управления системы Windows 2000. Это средство операционной системы, которое предоставляет своим встроенным (интегрированным) компонентам или, другими словами, системным приложениям, удобный для использования графический интерфейс.
С помощью MMC существует возможность объединять встроенные в систему (интегрированные) компоненты, создавая собственные надежные средства управления компьютерами предприятия. Созданные таким образом управляющие системы можно сохранить в файлах с расширением .msc (Management Saved Console - сохраненная консоль управления) и распространять их в пределах всей системы (например, задавая к ним доступ с помощью ярлыков или элементов меню Start, отправляя их по почте или размещая на страницах Web).
Сетевые черви W32/Lovgate-F, W32/Oscabot-I, W32/Redplut-A, троян Troj/Kango-A и множество других злонамеренных программ используют имя mmc.exe для сокрытия своего присутствия в системе.
CCAP.EXE
CCAP.EXE (Symantec AntiVirus) – процесс, отвечающий за антивирусную защиту в пакете Symantec AntiVirus Internet Security. Программа повышает защищенность вашей системы от Интернет угроз.
Файл всегда расположен в установочной директории пакета Symantec AntiVirus Internet Security. В случае обнаружения файла с таким именем в других каталогах, он должен быть немедленно удален. В настоящее время не известно о существовании злонамеренных программ, использующих имя CCAP.EXE.
taskman.exe
taskman.exe (Windows Task Manager) – программа содержит основные счетчики для мониторинга аппаратных ресурсов компьютера. Программа не влияет на стабильность или безопасность системы, однако не рекомендуется ее удалять, так как она является частью операционной системы.
Файл taskman.exe всегда расположен в папке /system32/. В случае обнаружения файла с таким именем в другом каталоге, он должен быть немедленно удален. Сетевые черви W32/Forbot-T, WM97/Ortant-A, W32/Spybot-DS, Трояны Troj/Soromo-A, Troj/Autotroj-C и множество других злонамеренных программ, используют файл с именем taskman.exe для сокрытия своего присутствия в системе.
winhlp32.exe
winhlp32.exe – программа для просмотра Microsoft Windows Help File. Этот процесс открывает файлы на запрос пользователя, касающийся упомянутой темы. Программа не влияет на стабильность или безопасность системы, однако не рекомендуется ее удалять, так как она является частью операционной системы.
Файл winhlp32.exe всегда расположен в папке /system32/. В случае обнаружения файла с таким именем в другом каталоге, он должен быть немедленно удален. В настоящее время известно о существовании нескольких десятков различных типов потенциально опасных программ ( например W32/LegMir, W32.Nosys, W32.HLLC.Abessive, Trojan.Diskfil), использующих файл с именем taskman.exe для сокрытия своего присутствия в системе.
bootok.exe
bootok.exe – исполняемый файл от Microsoft, который проверяет аутентификацию и доступность загрузки во время запуска компьютера. Политика ключей реестра может сделать недоступной загрузку при выполнении определенных условий, bootok.exe проверяет наличие таких условий.
Файл bootok.exe всегда расположен в каталоге /winroot/system32/. В случае обнаружения файла с таким именем в другой директории, он должен быть немедленно удален. В настоящее время не известно о наличии злонамеренных программ, использующих имя файла bootok.exe для сокрытия своего присутствия в системе. Некоторые сетевые черви удаляют файл bootok.exe , так как его отсутствие при некоторых условиях влияет на безопасность системы.
sessmgr.exe
sessmgr.exe (Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager) - управляет возможностями удаленного помощника. После остановки данной службы удаленный помощник будет недоступен. Если вам не нужна данная служба, то просто отключите ее.
Файл sessmgr.exe всегда расположен в каталоге /winroot/system32/. В случае обнаружения файла с таким именем в другой директории, он должен быть немедленно удален. В настоящее время не известно о наличии злонамеренных программ, использующих имя файла scardsvr.exe для сокрытия своего присутствия в системе.
cm.exe
cm.exe (Configuration Module) – процесс, эквивалентный службе Trend Micro Management Infrastructure (TMI). Процесс выполнят вспомогательные задачи для TMI.
Файл cm.exe всегда расположен в каталоге /program files/trend/common/tmi. Под именем cm.exe может скрываться опасный троян Trojan.Goldun.G, который позволяет удаленно управлять вашим компьютером, красть пароли и личные данные. В случае обнаружения файла с таким именем в другой директории, он должен быть немедленно удален.
sage.exe (System Agent)
sage.exe (System Agent) – системный процесс Microsoft, выполняющий функции обслуживания системы, типа очистки диска, дефрагментации и т.п. sage.exe является системным процессом и не представляет риска безопасности вашей системы.
Сетевой червь W32/Sdbot-NB, распространяющийся через сетевые общедоступные ресурсы, использует имя sage.exe для сокрытия своего присутствия в системе. W32/Sdbot-NB копирует себя в системную папку и создает следуюший ключ реестра:
Код:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Laptop Access = Sage.exe
csrcs.exe
Троянская программа, нарушающая работоспособность компьютера. Программа является приложением Windows (PE EXE-файл). Имеет размер 419920 байт. Упакована при помощи UPX. Распакованный размер – около 603 КБ. Написана на C++.
Инсталляция :
После запуска троянец копирует свое тело в системный каталог Windows под именем "csrcs.exe":
%System%\csrcs.exe
Далее файлу присваиваются атрибуты "скрытый" и "только чтение".
Также троянец копирует свое тело во все доступные на запись сетевые ресурсы под случайно сгенерированным именем.
Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылки на свой исполняемый файл в ключах автозапуска системного реестра:
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"csrcs" = "%System%\csrcs.exe"
Код:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe"
Деструктивная активность
Троянец изменяет значения параметров следующих ключей системного реестра:
Код:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "1"
Таким образом, троянец отключает отображение скрытых файлов и папок.
Также троянец содержит встроенного IRC бота, который позволяет злоумышленнику получить полный доступ к компьютеру пользователя.
По завершению своей работы троянец создает файл командного интерпретатора "suicide.bat" во временном каталоге текущего пользователя Windows: %Temp%\suicide.bat
В данный файл троянец записывает код для удаления оригинального тела троянца и самого файла командного интерпретатора.
Далее файл "%Temp%\suicide.bat" запускается на выполнение.
В случае обнаружения подобного файла, он должен быть немедленно удален.
drwtsn32.exe
drwtsn32.exe – Программа «Доктор Ватсон для Windows» — это отладчик ошибок, выполняющий сбор сведений о компьютере в случае возникновения ошибок (или сбоев пользовательского режима) в работе программ. Сведения, собранные программой «Доктор Ватсон», могут использоваться специалистами по технической поддержке для анализа причин возникновения ошибок. При обнаружении ошибки программа «Доктор Ватсон» создает текстовый файл (Drwtsn32.log), который можно каким-либо образом отправить специалистам по технической поддержке. Кроме того, программа «Доктор Ватсон» позволяет создать двоичный файл аварийной копии памяти, который программисты могут загружать в отладчик.
В случае возникновения ошибки программ «Доктор Ватсон для Windows» запускается автоматически. Чтобы настроить параметры программы «Доктор Ватсон», выполните следующие действия.
1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. Введите команду drwtsn32 и нажмите кнопку ОК.
По умолчанию файл, создаваемый программой «Доктор Ватсон», имеет имя Drwtsn32.log и сохраняется в следующей папке:
диск:\Documents and Settings\All Users.WINNT\Application Data\Microsoft\Dr Watson
Программа Drwatson.exe представляет собой более старую версию отладчика ошибок, входящего в состав более ранних версий Windows NT. Корпорация Майкрософт рекомендует в Windows XP использовать файл Drwtsn32.exe вместо файла Drwatson.exe.
В настоящее время известно о существовании нескольких злонамеренных программ, использующих Drwtsn32.exe или Drwatson.exe для сокрытия своего присутствия в системе (например BAT.Install.Trojan, W32.Bambo, Backdoor.Assasin). В случае обнаружения такого файла он должен быть немедленно удален.
alcmtr.exe
alcmtr.exe – процесс, который устанавливается совместно с Realtek AC97 аудио устройством и обеспечивает службы мониторинга. alcmtr.exe не является критическим процессом, однако ее завершение может вызвать проблемы с работой звука на системе. Программа прописывается в автозапуске и запускается в момент старта Windows.
В настоящее время неизвестно о наличии злонамеренного ПО, использующего имя alcmtr.exe для сокрытия своего присутствия в системе.
rthdcpl.exe (rthdcpl)
rthdcpl.exe – процесс, использующийся контрольной панелью Realtek HD Audio Control Panel и устанавливающийся с различными звуковыми картами Realtek. rthdcpl.exe не является критическим процессом, однако ее завершение может вызвать проблемы с работой звука на системе. Программа прописывается в автозапуске и запускается в момент старта Windows.
В настоящее время неизвестно о наличии злонамеренного ПО, использующего имя alcmtr.exe для сокрытия своего присутствия в системе.
Nwiz.exe
Nwiz.exe – часть программы NVidia Nview для управления графическим ускорителем. Приложение представляет пользователю доступ к дополнительным возможностям конфигурирования видеокарты. Процесс Nwiz.exe не является критическим и может быть завершен по усмотрению пользователя. Если вы не используете графических карт от Nvidia, вы должны удалить процесс для избежания конфликтов. Если вы обнаружили процесс с таким именем, но у вас никогда небыло nVidia карты, возможно ваш компьютер заражен злонамеренной программой.
Так как этот процесс часто используется системой с установленными графическими адаптерами Nvidia, то часто вирусописатели использует это имя для своих злонамеренных программ. Такие программы имеют такое же имя файла, но расположены в других местах, отличных от %SystemRoot%\System32 или %ProgramFiles%\Nvidia Corporation\nTune. Например:
W32.Agobot.LQ/W32.Gaobot.ZX (%SystemRoot%) – этот троян распространяется по системам со слабыми паролями. Он отключает антивирусные программы и межсетевые экраны, а также закрывает доступ к Web сайтам производителей антивирусов.
Troj/Dloadr-BLP –программа-даунлоадер, которая загружает другие злонамеренные программы в папку %AllUsersProfile%\_qbothome.
В системе обычно запущена одна копия программы от имени системы. Наличие нескольких копий указывает на присутствие злонамеренных программ.
Часто встречающиеся проблемы:
Nwiz.exe has encountered a problem and needs to close (Программа выполнила недопустимую операцию и будет закрыта( - Если эта проблема повторяется, обновите драйвер графического адаптера или переустановите программу nTune.
OFFLB.EXE
OFFLB.EXE (Office Life Boat for Program Recovery) процесс в office 2007, отвечающий за восстановления зависших office программ.
Существуют 2 версии файлов - 12.0.3417.1003 с контрольной суммой 0009D334 и 12.0.4017.1003 с с контрольной суммой 0008C6E9.
В настоящее время не известно о существовании вредоносных программ, использующих имя OFFLB.EXE для сокрытия своего присутствия в системе.
vsmon.exe
vsmon.exe – процесс принадлежащий персональному межсетевому экрану ZoneAlarm. Он используется для контроля интернет трафика и создания предупреждений в зависимости от настроек безопасности пользователя.
Программа необходима для стабильной и безопасной работы компьютера.
В настоящее время известно о существовании множества вирусов (W32/Rbot-FB, W32/Agobot-EI, Troj/LanFilt-J, W32/Ahker-B и другие), использующие имя vsmon.exe для сокрытия своего присутствия в системе. В этом случае, необходимо завершить работу подозрительного процесса и проверить систему на наличие вирусов. Оригинальная версия vsmon.exe может быть завершена только остановкой соответствующей службы и перезапуском компьютера.
wdfmgr.exe
wdfmgr.exe (Windows User Mode Driver Manager ) – процесс, являющийся частью Microsoft Windows Media Player 10 и более поздних версий. Процесс увеличивает стабильность системных драйверов Microsoft Windows.
В настоящее время зарегистрирован 1 сетевой червь W32/Agobot-TB, использующий имя wdfmgr.exe для сокрытия своего присутствия в системе. В этом случае, необходимо завершить работу подозрительного процесса и проверить систему на наличие вирусов.
keygen.exe
keygen.exe – часто с таким именем распространяются генераторы регистрационных ключей к различным программам, которые при запуске устанавливают злонамеренное ПО на целевом компьютере.
В случае обнаружения файла с таким именем он должен быть немедленно удален. В настоящее время известно несколько сотен видов злонамеренного ПО, например Backdoor.W32.Agent, W32/Genky-A, W32/Hagbard-A, W32/Blaxe-A и другие.
winupdate.exe
winupdate.exe – процесс, который используется для маскировки несколькими злонамеренными программами, например сетевым червем WORM_FALSU.A, червями серий W32/Forbot, W32/Spybot, W32/Sdbot, W32/Rbot и другими программами.
В случае обнаружения файла с именем winupdate.exe на системе, необходимо завершить работу подозрительного процесса и удалить файл, а также проверить систему на наличие вирусов.
mom.exe
mom.exe – процесс, принадлежащий ATI catalyst control center начиная с версии 7.2. mom.exe отвечает за работу драйверов видеокарты и не представляет риска безопасности вашей системы.
Также под именем mom.exe распространяется шпионская программа Spyware.Mom, которая периодически делает снимки экрана пользователя. Шпионская программа всегда расположена в каталоге %ProgramFiles%\mom\. В случае обнаружения такого файла он должен быть немедленно удален.
dwm.exe
dwm.exe (Microsoft Desktop Window Manager) – одним из нововведений в Windows Vista является Desktop Window Manager (DWM). Программа отвечает за обработку графических эффектов, типа предпросмотра окон и Aero Glass, без использования ресурсов CPU. Удаление программы dwm.exe увеличивает производительность компьютера, однако делает невозможным использование графических возможностей нового интерфейса Windows Vista.
Файл dwm.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения файла в другом месте, он должен быть немедленно удален. В настоящее время неизвестно о наличии злонамеренного ПО, использующего имя dwm.exe для сокрытия своего присутствия в системе.
ntos.exe
Процесс, который использует вредоносная программа, шифрующая файлы пользователя на зараженном компьютере. Является приложением Windows (PE EXE-файл). Упакована UPX. Размер в пакованом виде — 58368 байт.
После запуска вирус формирует уникальный ключ, предназначенный для шифрования файлов, и сохраняет его в системном реестре:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"WinCode" = "<ключ шифрования>"
Также вредоносная программа добавляет себя в ключ автозапуска системного реестра:
Код:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe"
Значение данного ключа периодически проверяется из системных процессов, в которые внедрился вредоносный код (например, «Winlogon.exe»). В случае если значение ключа меняется (удаляется «%System%\ntos.exe»), то оно автоматически восстанавливается из системного процесса.
Кроме того, внедренный код защищает от модификации, переименования и копирования файл, инсталлированный в системный каталог — «%System%\ntos.exe».
Также вирус создает в системном каталоге Windows скрытый каталог с именем «wsnpoem», в котором находятся два пустых файла — «video.dll» и «audio.dll».Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
Путем добавления любого символа в конец имени вредоносного модуля изменить значение ключа системного реестра. Например:
Код:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"
Перезагрузить компьютер.
Вручную удалить следующий файл из системного каталога Windows:
ntos.exe
startdrv.exe
Процесс, который использует приложение STARTEAK от Compaq Computer. STARTDRV.exe расположен в директории "C:\Program Files" и имеет размер 40960 байт.
Программа не имеет видемых окон. Процесс загружается при загрузке Windows в ключе реестра:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Важно! Известно множество злонамеренных программ, которые скрываются под именем STARTDRV.exe, расположенных в директориях c:\windows, c:\windows\temp\ или c:\windows\system32. В этом случае систему необходимо проверить на наличие вирусов.
runtime2.sys
runtime2.sys – системная служба, которая используется драйвером-руткитом Troj/Rootkit-BI (и другими).
Runtime2.sys устанавливается в качестве системного сервиса с автоматическим запуском при старте системы. Для этого добавляет в реестр следующие записи:
Код:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUNTIME2\
Код:
HKLM\SYSTEM\CurrentControlSet\Services\runtime2
Также записывает ссылку на %Temp%\startdrv.exe в раздел реестра, отвечающий за автозагрузку:
Код:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\startdrv="%Temp%\startdrv.exe"
cmd.exe
cmd.exe - позволяет получить доступ к командной строке Microsoft Windows, также известной как Microsoft DOS. В настоящее время cmd.exe является 32-битным приложением командной строки, которая используется в Windows NT, 2000, и XP и предлагает различные функции для обслуживания компьютера, а также сетевые функции. Программа не является критическим системным процессом.
В настоящее время неизвестно о наличии вредоносного ПО, использующего имя cmd.exe для сокрытия своего присутствия в системе. Однако многие злонамеренные программы блокируют доступ к cmd.exe для усложнения диагностики возникающих проблем.
ashwebsv.exe
ashwebsv.exe – процесс, который используется программой Avast Internet Security Suite, защищающей компьютер от различных интернет угроз. Эта программа важна для стабильной и безопасной работы компьютера.
В настоящее время неизвестно о наличии вредоносного ПО, использующего имя ashwebsv.exe для сокрытия своего присутствия в системе.
reader_sl.exe
reader_sl.exe – процесс, который используется программой Adobe Reader для уменьшения времени загрузки PDF документа. Процесс не является критичным и может быть остановлен, однако в результате возможно увеличение времени загрузки PDF документов.
isass.exe
isass.exe - используется вирусом Optix.Pro который содержит функциональность позволяющую отключать межсетевой экран и другие механизмы локальной защиты. Также процесс содержит встроенный бекдор для удаленного управления зараженным компьютером.
nabagent.exe
nabagent.exe – приложение Norton AntiBot от Symantec. Norton AntiBot Beta ведет постоянный мониторинг потенциально опасных действий в системе, препятствуя проникновению на компьютер нежелательных программ и выявляя уже действующие вирусы.
cli.exe
cli.exe – устанавливается с графическими видеокаратами от компании ATI с драйверами Catalyst. Процесс отвечает за различные настройки графической подсистемы компьютера. Обычно расположен в %programfiles%\ATI Technologies\ATI.ACE\cli.exe. Процесс не является критичным и может быть остановлен без влияния на работу системы.
NTNDIS.EXE
NTNDIS.EXE – процесс, который использующийся злонамеренной программой W32/Rbot-DPG. Программа позволяет удаленному злоумышленнику получить полный контроль над зараженным компьютером через IRC канал.
При первом запуске, программа создает копию в <System>\drivers\ntndis.exe и файл <System>\drivers\ntndis.sys.
Для автоматического запуска создается следующий ключ реестра:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe <System>\drivers\ntndis.exe
ekrn.exe
ekrn.exe - служба антивируса Nod32. При определенных условиях (медленный компьютер, загрузка больших файлов) может использовать значительные ресурсы центрального процесса компьютера
Некоторые троянские программы скрывают свое присутствие в системе, используя имя ekrn.exe.
agrsmmsg.exe
agrsmmsg.exe - процесс, который отвечает за работу программных модемов, позволяя настроить допонительные параметры для таких устройств. Программа не является критически-важным процессом, однако ее отключение рекомендуется только при возникновении проблем.
Внимание! Некоторые вирусы могут маскировать свое присутсвтие на системе, используя для распространения имя agrsmmsg.exe. В случае подозрений рекомендуем использовать антивирусную программу для проверки вашего компьютера.
Avp.exe
avp.exe – процесс, который отвечает за работу набора программ Kaspersky Internet Security. Эта программа используется для защиты компьютера от интернет угроз и ее отключение может понизить защищенность вашего компьютера.
Существует несколько троянских программ, которые могут использовать имя avp.exe для скрытия своего присутствия в системе. В случае подозрений рекомендуем использовать антивирусную программу для проверки вашего компьютера.
Часто ошибки, связанные с работой avp.exe, вызываются деструктивными версиями вирусов, заразивших целевой комьютер. В этом случае необходимо использовать альтернативные методы обнаружения вредоносного кода на уязвимой системе.
hkcmd.exe
hkcmd.exe - является Intel Hotkey Command Module. Программа устанавливается с графическими картами Intel и обеспечивает поддержку различных горячих клавиш для быстрого изменения графических характеристик комьпютера.
Этот процесс не является системно важным процессом и может быть завершен. Чтобы отключить Intel Hotkey Command Module, откройте в контрольной панеле свойства дисплея и отключите горячие клавиши.
Авторы вирусов и злонамеренных программ часто используют имя hkcmd.exe для скрытия своего присутствия на системе. Обычно в этом случае файл расположен в месте, отличном от %SystemRoot%\System32. Например:
W32/Sdbot-DGR (%SystemRoot%)
Этот червь распространяется через сетевые диски и KaZaA и может взаимодействовать с удаленным сервером через HTTP протокол.
W32/Pahatia-A (%SystemRoot%)
Червь распространяется через переностные диски (типа флеш дисков), и потенциально может уничтожать критические системные процессы.
Возможные проблемы с Hkcmd.exe:
Hkcmd.exe аварийно завершает работу после установки Windows XP SP2 - в этом случае просто переустановите драйвера чипсета Intel и драйвера графической карты.
Hkcmd.exe пытается подключиться к microsoft.com - Это свойство процесса. Вы можете заблокировать его как написано выше, если вам не нравится такое поведение.
Hkcmd.exe использует 100% ресурсов центрального процессора - может быть связано с неправильной установкой драйверов. Переустановите драйвера. Если не помогло, отключите процесс как описано выше.
igfxtray.exe
Igfxtray.exe – программа которая висит в панели задач для интегрированной графики Intel. Программа устанавливается с драйверами для интегрированной графии Intel и используется для различных настроек через иконку в панели задач.
Программа не является критично важным процессом. Если вам не хочется чтобы она работала, вы можете безопасно ее удалить или отключить. Однако в этом случае вы не сможете изменять настройки дисплея в панели задач.
Часто авторы вирусов и других злонамеренных программ используют имя Igfxtray.exe. В этом случае файл обычно расположен вне папки %SystemRoot%\System32. Пример известных вирусов, распространяющихся под именем igfxtray.exe:
Troj/PAdmin-A –этот троян позволяет получить полный контроль над уязвимой системой.
Troj/Hale-A (%SystemRoot%\System32\Qossrv, %SystemRoot%\System32\dhcp) – эта троянская программа распространяется через RPC DCOM уязвимость в Windows XP.
Известные проблемы:
Igfxtray.exe аварийно завершает работу при завершении работы Windows – это известная проблема. Попробуйте установить последнию версию драйвера или отключить апллет в панеле задач Windows.
Igfxtray.exe пытается подключится к ресурсам в сети интернет – если такое происходит, то вы заражены одним из вирусом описанных выше. Немедленно проверьте компьютер на наличие вирусов.
Svchost.exe
Svchost.exe (Generic Host Process for Win32 Services) – системный процесс операционной системы Microsoft Windows, который обрабатывает 32-битные DLL и другие службы.
В процессе загрузки на основании записей в реестре Svchost.exe составляет список служб, которые необходимо запустить. Одновременно могут быть запущены несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe содержит группировку служб, следовательно, отдельные службы могут выполняться в зависимости от того, как и когда был запущен Svchost.exe. Таким образом, улучшается контроль и упрощается отладка.
Внимание : Так как svchost запущен на всех Windows компьютерах, это имя чаще всего используется злонамеренными программами и вирусами, которые скрывают свое присутствие среди легитимных служб. Распознать их достаточно просто, большинство их них расположены вне папки %SystemRoot%\System32 или скрывают себя под похожими именами, типа svch0st.exe или scvhost.exe.
Lsass.exe
Lsass.exe – исходя из определения Microsoft, Local Security Authentication Server. Процесс отвечает за проверку попыток входа в систему на ваш комьютер. Если произошел успешный вход системе, процесс создает маркер доступа пользователя и, в дальнейшем использует его для запуска оболочки (explorer.exe). Все процессы, которые запускает пользователь, также будут соответствовать этому маркер.
Этот процесс является критическим для работы Windows и его работа не может быть завершена через диспечер задач. lsass.exe всегда выполняется с правами SYSTEM.
При заражении трояном или при получении полного доступа к данному сервису система полностью «обезоруживается» — злоумышленник может получить полные права для доступа к целевому компьютеру. Поэтому способ шифрования и способ передачи данных для авторизации между компонентами не документируется. К тому же пароль передаётся не в чистом виде, а в виде хеша, который сравнивается с хешем реального пароля.
Так как процесс выполняется всегда на всех NT версиях Windows, он часто используется авторами вирусов и шпионских программ для сокрытия своего присутствия на системе.
Злонамеренные файлы могут иметь такое же имя, но будут расположены в отличной от %SystemRoot%\System32 директории. Если вам удается завершить процесс с таким именем в диспечере задач, это означает, что он не является легитимным. Также никогда не может быть более одной копии процесса в памяти компьютера.
Наиболее известные ошибки с lsass.exe:
Сообщение об ошибке
"lsass.exe. system error" – эта ошибка вызывается сетевым червем Sasser. Эта ошибка также может заблокировать вам вход в систему. Попытайтесь по возможности загрузится в безопасном режиме и проксанировать компьютер на наличие вирусов. После удаления вируса, восстановите Windows с помощью установочного диска.
Процесс использует 100% ресурсов CPU – в некоторых случаях процесс может использовать дополнительные ресурсы центрального процессора. Обычно это происходит на старых, необновленных версиях Windows. Установите последние обновления на компьютере.
В случае если файл lsass.exe был удален, при загрузке Windows отобразит черное окно без приглашения входа в систему.
mshta.exe
mshta.exe - Microsoft HTML Application Host. Программа используется для запуска HTML файлов (.hta файлы). Выполнение этого процесса не критично для операционной системы. Однако, если вы удалите этот файл, это может оказать влияние на стабильную работу Windows. Если запущенное HTML приложение зависло или работает нестабильно, его можно безопасно уничтожить через диспечер задач.
Некоторые злонамеренные файлы имеют такое имя, но расположены вне %SystemRoot%\System32 директории. Другие злонамеренные программы используют похожие имена файла, отличающегося на одну букву или цифру. Например W32/Mimail-S (C:\ms.hta, запускается под легитимным mshta.exe) – является почтовым червем, который отображает диалоговое окно для ввода информации об кредитной карты.
На системе может быть запущено несколько процессов mshta.exe для любого пользователя. Наличие нескольких экземпляров программы памяти не должно вызвать проблем. Но так как Microsoft HTML Application Host может запускать любые .hta приложения, то система может быть заражена .hta скриптом, который будет запущен внутри летимного процесса mshta.exe. В этом случае необходимо более подробно исследовать запущенный процесс mshta.exe.
Известные проблемы:
mshta.exe использует 100% CPU- возможно на компьютере установлена вредоносная программа или вирус. Так как процесс может выполнить любой .hta файл, факт запуска легитимного процесса не означает что вам известно что он выполняет.
Антивирус McAfee может предупреждать об потенциально небезопасной активности при использовании панели управления – скорее всего это ошибка в антивирусной программе. Однако вы должны убедится что на системе не запущены подозрительные .hta скрипты.
mshta.exe - ошибка приложения , Инструкция по адресу "ххххххххххх" обратилась к памяти по адресу "уууууууууу". Память не может быть "written". Эта ошибка может возникнуть при работе злонамеренной программы или ошибочно написанного .hta файла. Попробуйте отключить функцию "Предотвращение выполнения данных" (DEP) для mshta.exe в панеле управления системой.
realsched.exe
realsched.exe – часть RealPlayer от RealNetworks, Inc. Программа запускается отдельно от RealOne Player, и отвечает за автообновление и выполнение определенных задач с заданным интервалом времени. Программа может также устанавливаться с различными кодеками или другими сторонними программами. "realsched.exe" не является частью Windows и прекращение ее работы не повлияет на стабильность системы.
Некоторые злонамеренные программы могут скрывать свое присуствие на системе под именем realsched.exe.
alg.exe
alg.exe – служба операционной системы Microsoft Windows. Она является ядром для Microsoft Windows Internet Connection sharing и Internet connection firewall. Также эту службу используют некоторые сторонние межсетевые экраны. В случае завершения работы этой службы, у вас пропадет доступ в сеть Интернет до перезагрузки компьютера. Также служба часто используется сторонними программами, например межсетевыми экранами.
Файл Alg.exе всегда запускается от имени LOCAL SERVICE. Процесс, запущенный от имени другого пользователя может означать о наличии злонамеренных программ на вашем комьпютере.
Файл alg.exe всегда расположен в директории C:\Windows\System32. В других каталогах под именем alg.exe может скрываться троян, вирус или сетевой червь.
Services.exe
Services.exe - Windows Services Control Manager. Процесс отвечает за запуск, остановку и управления системными службами. Services.exe автоматически запускает службы во время загрузки и останавливает все службы при выключении Windows.
Процесс является критическим для функционирования операционной системы. При попытке завершить работу процесса Services.exe в диспечере задач, Windows будет автоматически перегружен из-за критической ошибки в течении 1 минуты.
services.exe всегда запускается под пользователем SYSTEM. Процесс с таким же именем под другим пользователем сигнализирует о заражении компьютера злонамеренной программой.
Iexplore.exe
Iexplore.exe – процесс браузера Microsoft Internet Explorer. Процесс не является критическим и может быть безопасно завершен. Однако завершая работу процесса, одно или несколько окон Internet Explorer будет закрыто и все данные будут потеряны.
Iexplore.exe запущен всегда под текущим пользователем и никогда не может быть запущен под системой. Так как браузер используется во всех версиях Windows, вирусописатели часто скрывают свои программы, выдавая их за Internet Explorer.
Обычно злонамеренные файлы с именем Iexplore.exe расположены в месте, отлично от %ProgramFiles%\Internet Explorer или имеют имя файла, похожее на Iexplore.exe
Обычно в системе запущено несколько процессов одновременно. Однако если вы обнаружили процесс с именем Iexplore.exe, а у вас не запущен браузер Internet Explorer, это может свидетельствовать о заражении системы злонамеренным ПО.
Известные проблемы:
Internet Explorer использует 100% ресурсов CPU
Это может свидетельствовать о заражении шпионскими программами. Проверьте вашу систему.
Проблема может быть связана с некорекным дополнением к браузеру. Удалите недавно установленные настройки к браузеру.
Userinit.exe
Userinit.exe - является частью операционных систем Windows, отвечая за процесс загрузки системы. На нем лежит задача восстановления сетевых подключений и запуска оболочки.
Процесс является критическим для функционировании операционной системы. Не пытайтесь отключить его. Удаление файла приведет к невозможности загрузки операционной системы и потребует переустановку операционной системы.
Возможные опасности с Userinit.exe:
Так как процесс отвечает за загрузку операционной системы, часто вирусописатели и распространители шпионского ПО скрывают свои программы в этом процессе. Например злонамеренные файлы могут иметь такое же имя, но быть расположены вне директории %SystemRoot%\System32. Другие злонамеренные программы могут использовать похоже имя файла. Примеры наиболее известных вирусов, маскирующихся под процесс Userinit.exe
Внимание: Этот процесс никогда не виден в диспечере задач, за исключением нескольких секунд после входа в систему. Присутствие такого процесса в диспечере задач означает что компьютер заражен злонамеренным ПО.
Cthelper.exe
Cthelper.exe – драйвера для Creative SoundBlaster. Они используются сторонними программами, предоставляя разработчикам возможность создавать дополнения и использовать дополнительные возможности звуковой карты.
Этот процесс не критичен для функционирования операционной системы, и может быть безопасно уничтожен. Однако в этом случае часть программ не сможет использовать вашу звуковую карту, в т.ч. большинство аудио и видео кодеков.
crss.exe
Процесс
crss.exe зарегистрирован в черве W32.AGOBOT.GH. Вирус crss.exe распространяется через электронные сообщения, рассылаемые с помощью встроенной SMTP службы. Вредоносная программа запускается, когда пользователь открывает прикрепленный файл, зараженный вирусом.
Злоумышленники могут использовать данный вирус для получения удаленного доступа к целевым системам, а также для кражи конфиденциальных данных, таких как номера кредитных карт и учетные данные.
Наличие данного процесса говорит о высокой вероятности того, что система заражена вирусом.
Вредоносный файл crss.exe может располагаться в различных каталогах системы. Чаще всего эта программа располагается здесь:
Код:
%System%\crss.exe
%System%\dllcache\crss.exe
%Temp%\crss.exe
%Temp%\csrss.exe
%Windir%\crss.exe
%Windir%\system\crss.exe
conhost.exe
Этот процесс исправляет ошибку Drug and Drop в коммандной строке, которая была в Vista.
Conhost.exe находится между cmd.exe CSRSS. Вот это теперь и позволяет в Windows 7 применять в полном объеме темы оформления к окну коммандной строки и пользоваться технологией Drug and Drop.
Никогда не удалять или останавливать этот процесс.
dwm.exe
Этот процесс расшифровывается как Desktop Window Manager (DWM - dwm.exe) и отвечает за эффекты Aero ( обрабатывает графические объекты и прорисовывает окошки).
Файл dwm.exe всегда расположен в папке \Windows\System32. Если вы обнаружили его в другом месте, немедленно удалите его - это вирус.
dwm.exe занимает около 30-50MB памяти в среднем, в зависимости от того, сколько у вас открытых окон.
Отключение Aero и переход на Стандартную тему оформления не выключит процесс, он просто станет меньше потреблять оперативной памяти, но по прежнему будет управлять графической частью окон.
iphlpsvc
Этот процесс службы IP Helper. Если эта служба остановлена, компьютер будет иметь подключение только по протоколу IPv6, если он подключен к родной сети IPv6.
Если вы подключены к сети IPv4, не отключайте этот процесс, так как вы потеряете связь.
jusched.exe
Это планировщик обновлений Java.Он проверяет один раз в месяц на сайте произвдителя обновления Java.
Этот процесс можно безболезненно остановить, если вам не нужны обновления java. Также вы можете изменить расписание проверки обновлений.
lsm.exe
Этот процесс является менеджером локальных сессий, его роль заключается в управлении соединениями сервера терминала с машиной.
Процесс располагается в папке \Windows\System32\. Не удаляйте и не останавливайте этот процесс.
MsMpEng.exe
Этот процесс запускает
Microsoft Security Essentials или защитник Windows (Windows Defender).
Этот процесс необходим для запуска MSE или Windows Defender, но может быть остановлен, если нужно, но помните что вы лишаете свою систему дополнительной защиты от вредоносных программ.
SearchIndexer.exe
Этот процесс запускает функцию поиска Windows.
Вы можете отключить этот процесс без каких-либо проблем, но поиск не будет работать.
sidebar.exe
Этот процесс запускает Windows SideBar (Боковая панель Windows или гаджеты рабочего стола).
Остановка этого процесса завершит работу боковой панели, но негативных последствий никаких не будет.
spoolsv.exe
Это служба печати запускает и контролирует задания печати и факсов. Он дает возможность использовать фоновую печать.
Остановка этого процесса запретит печать.
System Idle Process (Бездействие системы)
Когда ваш компьютер не выполняет никаких длительных операций, IDLE Process показывает насколько процентов свободен процессор.
Никогда не останавливать или удалять этот процесс.
taskhost.exe
Этот процесс запускает библиотеки в группах.
Если он работает в \Windows\System32\ директории, то оставьте его в покое. Если не там, то это 100% вирус.
wininit.exe
Процесс
(wininit.exe) Windows Start-Up Application принадлежит программе Microsoft Windows Operating System от Microsoft Corporation .
wininit.exe находится в папке C:\Windows\System32. Это системный процесс Windows.
Приложение не видно пользователям. Это файл, подписанный Microsoft. wininit.exe способен записывать ввод данных, манипулировать другими программами.
WININIT.EXE является необходимым процессом для Windows. Его роль заключается в выполнении в фоновом режиме некоторых наиболее важных служб и программ, таких как (SCM), Subsystem (LSASS) и Session Manager (МНК), без которых система не работает. Поэтому обрубать процесс не рекомендуется.
Также под именем Winnit.exe может скрываться, вирус W32/Rbot-AOM. После заражения системы, он подключается к IRC-серверу, где он ожидает получения команд. Кроме того, создаёт записи в реестре (Run, RunOnce, RunServices, RunServicesOnce), чтобы запускаться автоматически каждый раз, запускается зараженная система..
Если вы обнаружили winnit.exe на вашей системе, проверьтесь с помощью надежного антивируса для очистки всех вредоносных файлов.
processinfo - Процессы и их описание
Комбинированный вид
