Компьютерные процессы - Разное - Каталог статей - Вирусология, взгляд из Delphi
Понедельник, 05.12.2016, 23:42 Приветствую вас Гость | Группа "Гости" 


Меню сайта

Категории раздела
Delphi [94]
Программирование
HTML [2]
Теги и примеры
Bat Скрипты [21]
Различные скрипты
Разное [7]
Всё что не вошло в основные разделы

Администрация
000000 dolphin

Помощь проекту

R106276538945
Z160640024212

Яндекс деньги
410011190732605

Недавние темы

Опрос
Каким ICQ клиентом вы пользуетесь?
Всего ответов: 509

Главная » Статьи » Разное

Компьютерные процессы
Данный список процессов далеко не полон
Все программы, которые могут оказаться в памяти без вашего ведома, перечислить невозможно. Однако ниже описаные сетевые ресурсы помогут Вам в этом разобраться. При просмотре же процессов в своей системе, обязательно обращайте внимание на свойства каждого файла, из какой папки и кем он был запущен. Помните о вирусах!


acs.exe
Atheros Configuration Service (ACS) — сервис для настройки Wi-Fi-адаптера. Отключать не стоит.


ACU.exe
Atheros Client Utility, утилита настройки Wi-Fi-адаптера, в данной конкретной системе также необходима.


AGRSMMSG.exe
SoftModem Messaging Applet — процесс, устанавливаемый драйвером модема Agere, необходим ему для работы.


alcmtr.exe
alcmtr.exe – процесс, устанавливающийся совместно с аудиоустройствами Realtek AC97 и обеспечивающий службы мониторинга. Процесс alcmtr.exe не является критическим, однако его завершение может вызвать проблемы с работой звука на системе.
Программа прописывается в автозапуске и запускается в момент старта Windows.
Вредоносного ПО, использующего имя alcmtr.exe для сокрытия своего присутствия в системе, пока не замечено.


alg.exe
Расположение - Windows\System32
Процесс alg.exe (Application Layer Gateway Service) – служба операционной системы Microsoft Windows. Она является ядром для работы общего доступа к Интернету и Брандмауэра Windows. Также эту службу используют некоторые сторонние межсетевые экраны. В случае завершения работы этой службы, у вас пропадет доступ в сеть Интернет до перезагрузки компьютера. Соответственно, отключать можно, если вы их не используете.

Расположение alg.exe в других каталогах, говорит о наличии у Вас в системе трояна, вируса или сетевого червя. Наиболее известные вредоносные программы, скрывающиеся под именем системного процесса alg.exe – W32.Petch, сетевой червь Worm.Fagot и шпионская программа Trojan.Ourxin. Злонамеренный процесс должен быть немедленно завершен.


ati2evxx.exe
ATI External Event Utility EXE Module — сервис Ati HotKey Poller, утилита, входящая в состав ATI Catalyst. Применяется, например, для распознавания подключения внешнего монитора или телевизора, нажатия горячих клавиш. Если это не требуется, можно отключить.


BTTray.exe
Bluetooth Tray Application — один из компонентов драйверов Bluetooth от Widcomm, необходим для их работы


btwdins.exe
Bluetooth Support Server, также необходим для работы драйверов Bluetooth от Widcomm.


CLI.exe
Command Line Interface application for all ACE Components, утилита из состава ATI Catalyst, служит она для доступа через иконку в системном трее к настройкам драйвера, можно отключить, при запуске Control Center она снова загрузится в память.


csrss.exe
Расположение - Windows\System32
CSRSS.exe - client server runtime system service - критический системный процесс.
СSRSS - сокращение от "client/server run-time subsystem" (клиент/серверная подсистема). csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS. Он относиться к подсистеме Win32 пользовательского режима (WIN32.SYS же относиться к ядру Kernel) и должен всегда выполняться. Просто в CSRSS еще год назад была обнаружена уязвимость, связанная с переполнением буфера. Этой уязвимостью и пользуются вирусы.

В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько десятков вирусов (например Trojan.Webus, W32.Dalbug.Worm, Spyware.LoverSpy и множество других), использующих имя csrss.exe для сокрытия своего присутствия в системе.


ctfmon.exe
Ctfmon - языковая панель, индиктор, отображающий текущую раскладку клавиатуры и обеспечивающий поддержку альтернативных методов ввода. Если вместо него будете использовать Punto Switcher, то только выиграете. (Раньше индикатором являлся Internat.exe, сейчас под таким именем могут скрываться вирусы). Удалять Ctfmon.exe не рекомендуется, потому что это может вызвать проблемы в работе программ пакета Office. Однако, удаление файла Ctfmon.exe из программы настройки системы MSConfig не приводит к его отключению. Удаление процесса ctfmon.exe описано на странице поддержки Microsoft.


dit.exe
Расположение - Windows\System32
Процесс dit.exe - безопасный системный процесс, отвечающий за присвоение иконок и пометок Flash-дискам.

Вирусы и вредоносные процессы могут намеренно носить имена безопасных приложений и системных сервисов. Проверьте, что dit.exe находится в системной папке. Некоторые вирусы называют себя dit.exe; при подозрении проверьтесь обновленным антивирусом.


dumprep.exe
Расположение - windows/system32
Отвечает за создание дампа памяти в случае критической ошибки (синего экрана смерти). Запись дампа и запуск этого процесса можно отключить, для этого нужно нажать правой кнопкой мышки по значку "Мой компьютер" - вкладка "Дополнительно" - "Загрузка и восстановление" - кнопка "Параметры" - "Запись отладочной информации" - "Отсутствует".

Файл dumprep.exe находится в папке. Вирусы, трояны и шпионские программы могут имитировать системный процесс. Нахождение такого файла в другой папке, требует его удаления и немедленного антивирусного сканирования.


eabservr.exe
Easy Access Buttons, программа Quick Launch Buttons на ноутбуках HP Compaq, отвечает за работу дополнительных кнопок.


explorer.exe
оболочка системы, отвечающая за формирование Рабочего стола и окон Проводника. Сам процесс можно перезапускать, если что-то подвисло. А можно и вообще отключать, если вы используете другую оболочку. Следует только обратить внимание на путь к файлу — Windows по умолчанию ищет explorer.exe во всех папках подряд (грубо говоря), поэтому если злоумышленник кинет в корень диска С: трояна с таким названием, то она его спокойно запустит. Хотя Рабочий стол в таком случае вы уже вряд ли получите…


hkcmd.exe
Расположение - %SystemRoot%\System32
Процесс hkcmd.exe (Intel Hotkey Command Module). Программа устанавливается с графическими картами Intel и обеспечивает поддержку различных горячих клавиш для быстрого изменения графических характеристик компьютера.

Этот процесс не является системно важным процессом и может быть завершен. Чтобы отключить Intel Hotkey Command Module, откройте в контрольной панеле свойства дисплея и отключите горячие клавиши.

Имя hkcmd.exe часто используется авторами вирусов и вредоносных программ для скрытия своего присутствия на системе. Тогда файл будет располагаться в месте, отличном от %SystemRoot%\System32. Например:

W32/Sdbot-DGR - в директории (%SystemRoot%)
Этот червь распространяется через сетевые диски и KaZaA и может взаимодействовать с удаленным сервером через HTTP протокол.

W32/Pahatia-A - в директории (%SystemRoot%)
Червь распространяется через переносные диски (типа флеш-дисков), и потенциально может уничтожать критические системные процессы.


igfxpers.exe
Расположение - Windows\System32
Программа является утилитой для видеокарт Intel и появляется в системном лотке рядом с часами.

Вирусы могут маскироваться под эту программу. Если расположение или работа этого файла вызывает сомнения, рекомендуем проверить компьютер антивирусом.


INTERNAT.EXE
Загружает различные выбранные пользователем языки ввода, показывает на панели задач значок >, который позволяет переключать языки ввода. С помощью панели управления возможно без использования данного процесса безо всяких проблем переключать раскладку клавиатуры.


isass.exe
isass.exe - это вирус, маскирующийся под системный процесс LSASS.EXE (обратите внимание: первая буква "правильного процесса" - L, а вирусного - I; в нижнем регистре их можно спутать).

Немедленно остановите процесс и проведите антивирусное сканирование системы, перезагрузившись в безопасном режиме.


issch.exe
Это приложение InstallShield Update Service, отвечающее за обновление стандартного инсталлятора InstallShield. Он не является опасным в работе.


ituneshelper.exe
Процесс iTunesHelper.exe устанавливается вместе с программой iTunes и тслеживает подключаемые к системе плеера iPod и запускает iTunes для работы с ними.
Данный процесс можно отключить из системы, но программа iTunes, скорее всего, восстановит его автозапуск.


jqs.exe
Процесс Java Quick Starter (JQS) - сокращает время первоначального запуска для большинства апплетов и приложений Java. JQS по умолчанию включен в операционных системах Windows XP и Windows 2000 (в Windows Vista имеются собственные механизмы предварительной загрузки). Для ускорения загрузки в фоновом режиме запускается процесс jqs.exe.

Если вы не пользуетесь приложениями Java, рекомендуется отключить этот процесс.

Процедура отключения jqs.exe:
В "Панели управления" дважды щелкните на "Панели управления Java";
В панели управления Java выбираем вкладку "Advanced" (Дополнительно);
Прокрутите список до элемента "Miscellaneous" (Разное) и разверните его;
Снимите флажок для Java Quick Starter;
Нажмите кнопку "ОК" и перезагрузите систему.



jusched.exe
jusched.exe (Sun Java Update Scheduler) – служит для проверки новой версий для Sun JAVA. Программа запускается на вашем компьютере по расписанию. Отключить программу можно в панеле управления во вкладке "java Plug In", сняв галочку "check for updates automatically".


Lsass.exe
Lsass.exe (Local Security Authority Service) - системный процесс Windows или локальный сервер проверки подлинности, порождающий процесс, ответственный за проверку пользователей в службе Winlogon. Не отключать.
Процесс проверки производится такими библиотеками, как Msgina.dll, используемая по умолчанию. В случае успеха процесс Lsass порождает маркер доступа пользователя, который затем используется для запуска начальной пользовательской оболочки. Процессы, запускаемые пользователем, наследуют этот маркер.
Процесс LSASS нельзя завершить из диспетчера задач.

Некоторые вирусы маскируются под процесс lsass.exe, заменяя в своем названии первую строчную L на прописную I, выглядящую похоже. Такие процессы необходимо остановить и произвести вирусное сканирование в безопасном режиме.
В случае, если система сообщает о неожиданном завершении процесса lsass, компьютер, вероятно, был подвержен атаке сетевого червя. Необходимо провести вирусное сканирование и установить брандмауэр.


mdm.exe
Расположение - WINDOWS\system32\
Mdm.exe (Machine Debug Manager) – используется для обеспечения функции отладки приложений. В Windows 2000/XP/2003 программа запускается как системная служба при старте компьютера.
Обнаружение файла с таким именем в другом каталоге, требует его немедленного удаления.


MSTASK.EXE
Отвечает за службу планирования Schedule, которая предназначена для запуска различных приложений в определённое пользователем время.


patch.exe
Процесс patch.exe - Trend Micro Pc-Cillin Auto-Updater, система обновления антивируса Pc-Cillin. Если у вас не установлен данный антивирус, процесс patch.exe может быть другим ПО или вирусом. Рекомендуем проверить систему с помощью антивирусного сканирования. Если установлен - следует оставить его активным.


pds.exe
Процесс pds.exe - Ping discovery service - составная часть ПО LanDesk. Если компьютер находится в сети, рекомендуется оставить этот процесс активным, в противном случае его можно завершить. Этот процесс не является опасным.


pnkbstra.exe и pnkbstrb.exe
Процессы pnkbstra.exe, pnkbstrb.exe и PnkBstrK.exe отвечают за работу PunkBuster - системы обнаружения нечестных игроков в онлайн-играх.


rthdcpl.exe
rthdcpl.exe – процесс, использующийся контрольной панелью Realtek HD Audio Control Panel и устанавливающийся с различными звуковыми картами Realtek. rthdcpl.exe не является критическим процессом, однако его завершение может вызвать проблемы с работой звука на системе. Программа прописывается в автозапуске и запускается в момент старта Windows.

Вредоносного ПО, использующего имя rthdcpl.exe для сокрытия своего присутствия в системе, пока не обнаружено.


RapportMgmtService.exe
Расположение - в подпапках C:\Program Files
Размеры файла для Windows XP 664,808 байт (35% всех случаев), 648,424 байт, 972,008 байт, 967,912 байт, 955,624 байт.
Процесс использует порт, чтобы присоединится к сети или интернету. Может менять поведение других программ или манипулировать другими программами. RapportMgmtService.exe способен записывать ввод данных, мониторить приложения. Поэтому технический рейтинг надежности 66% опасности.
Приложение не видно пользователям. Это файл, подписанный Verisign. Сертифицировано надежной компанией. Это не системный процесс Windows.
Некоторые вредоносные программы маскируют себя как RapportMgmtService.exe, особенно, если они находятся в каталоге c:\windows или c:\windows\system32.


RapportService.exe
Расположение - в подпапках C:\Program Files
Размеры файла для Windows XP 1,135,848 байт (21% всех случаев), 1,758,440 байт, 1,422,568 байт, 959,720 байт, 980,200 байт, 972,008 байт, 1,438,952 байт, 1,119,464 байт, 1,434,856 байт.
Процесс использует порт, чтобы присоединится к сети или интернету. RapportService.exe способен записывать ввод данных, мониторить приложения, манипулировать другими программами. Поэтому технический рейтинг надежности 57% опасности.
Приложение не видно пользователям. Это файл, подписанный Verisign. У файла поставлена цифровая подпись. Это не файл Windows. Может менять поведение других программ или манипулировать другими программами.
Некоторые вредоносные программы маскируют себя как RapportService.exe, особенно, если они находятся в каталоге c:\windows или c:\windows\system32.


rundll32.exe
Расположение - Windows\System32
rundll32.exe (Microsoft Rundll32) - утилита командной строки позволяющая запускать некоторые команды-функции, заложенные в DLL-файлах. Данная утилита была разработана для внутреннего пользования программистами Microsoft.

Обнаруженный файл с таким именем не в системном каталоге должен быть немедленно удален.
Имя rundll32.exe очень часто используют сетевые черви W32/Lovgate-AB, W32/Deloder-A, трояны Troj/Lineage-AR, Troj/LegMir-AS и Troj/Delf-AC и множество других вредоносных программ для сокрытия своего присутствия в системе.

Есть вероятность, что rundll32 используется для запуска вредоносного программного обеспечения. В случае подозрений на это, следует проверить систему качественным антивирусным ПО.


services.exe
Services Control Manager, системный процесс, отвечающий за запуск/остановку сервисов и взаимодействие с ними. Программа жизненно важна для Windows, её отключать нельзя. Под этим именем может скрываться также множество вирусов (W32/Leave.B, W32.HLLW.Kazping и так далее, но тогда они расположены в папках, отличных от System32) — будьте внимательны, этот процесс не должен запускаться через разделы RUN реестра!


SMAgent.exe
SoundMAX Service Agent, часть аудио-драйвера, его отключение не сказывается на работе звукового тракта.


SMax4.exe
SoundMAX Control Center, при его отключении просто пропадает иконка SoundMAX в системном трее.


SMax4PNP.exe
SMax4PNP MFC Application, необходим для запуска SoundMAX Control Center (Панель управления SoundMAX).


Smss.exe
Расположение - windows\System32
Smss.exe (Session Manager Subsystem) - подсистема диспетчера сеансов, ответственная за запуск сеансов пользователей, за запуск процессов Winlogon и Win32 (Csrss.exe) и за установку системных переменных. После запуска данных процессов процесс Smss ожидает их завершения. При "нормальном" завершении процессов система корректно завершает работу. Если процессы завершаются аварийно, процесс Smss.exe заставляет систему прекратить отвечать на запросы. Этот процесс нельзя завершить из менеджера задач.

В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. Наиболее распространенные вирусы, маскирующиеся в системе под именем smss.exe – троян Backdoor.IRC.Flood, W32.Dalbug.Worm, Adware.DreamAd, Win32. Brontok, Win32 Sober, Win32.Landis и другие.


spoolsv.exe
Microsoft Printer Spooler Service, спулер печати, необходим для работы принтера, отвечает за управление заданиями на печать и передачу факсимильных сообщений. Под этим именем любят также скрываться вирусы (Backdoor.Ciadoor.B, VBS.Masscal.Worm и т. д.)
Для перезапуска процесса печати выполните команду "Пуск" - Выполнить - services.msc, найдите службу "Диспетчер очереди печати" и перезапустите его из контекстного меню (нажатие правой кнопкой мыши по названию службы).
В случае обнаружения таких процессов - spool.exe, spool16.exe, spool32.exe, spools.exe, spoolsrv.exe, SpoolMgr.exe, spooll32.exe - немедленно остановите процесс и проведите антивирусное сканирование системы, перезагрузившись в безопасном режиме.


svchost.exe
Расположение - windows\System32
Svchost.exe - это процесс, запускающий сервисы (службы) Windows, являющиеся динамическими библиотеками DLL.
Для каждой такой службы запускается отдельная копия Svchost; поэтому обычно запущено несколько копий.

В Windows Vista можно определить, к какой службе относится определенная копия Svchost. Для этого нужно открыть Диспетчер задач (нажав ctrl+alt+del и выбрав "Запустить диспетчер задач"), во вкладке "процессы" нажать правой кнопкой на интересующую вас копию svchost и выбрать пункт "перейти к службам".

Чтобы понять, что "скрывается" за каждой копией файла svchost.exe, используйте утилиту tlist.exe с параметром –s (сама утилита входит в состав Resource Kit Support Tools)
Чтобы просмотреть список служб, запущенных с помощью Svchost, сделайте следующее:
Нажмите на панели задач Windows кнопку "Пуск" и выберите пункт "Выполнить".
В поле "Открыть" введите команду "CMD" и нажмите клавишу "ВВОД".
Введите команду "Tasklist /SVC" и нажмите клавишу "ВВОД".


Команда "Tasklist" выводит список активных процессов. "Параметр /SVC" используется для вывода списка активных служб в каждом процессе. Для получения дополнительных сведений о процессе введите следующую команду и нажмите клавишу "ВВОД":
Tasklist /FI "PID eq идентификатор_процесса" (кавычки обязательны)

Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог. (например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn.
Так же, Svchost.exe может быть вирусом Jefo, который заражает исполяемые модули программ, то есть exe файлы (очень заразная вещь). Определить есть он или нет, можно заглянув в папку \Windows или \Winnt этого файла там быть не должно, если он есть, значит на 100% это вирус.


SynTPEnh.exe
утилита из состава драйвера тачпада от Synaptics. Обеспечивает поддержку расширенных функций тачпада (например, назначение специальных действий на отдельные зоны тачпада).


System
Системный процесс, отвечает за различные базовые функции — большинство системных потоков режима ядра исполняются от имени процесса System. Не ассоциирован с exe-файлом! Если встретите system.exe — проверьте антивирусом! Если SYSTEM будет грузить процессор на 100%, также проверяйте систему.


SYSTEM IDLE PROCESS
Этот процесс выполняется на любом компьютере. Нужен он, правда, всего лишь для мониторинга процессорных ресурсов, не используемых другими программами.


TASKMGR.EXE
Процесс диспетчера задач, закрывать который крайне не рекомендуется.


wdfmgr.exe
Windows Driver Foundation Manager, входит в состав Microsoft Windows Media Player и Service Pack 2, отвечает за новую модель драйверов, занимается, в частности, проблемами совместимости WMP с другими приложениями и внешними устройствами. Если WMP завис, попробуйте убить этот процесс. Достаточно безболезненно можно отключить в "Службах". Обратите внимание на имя файла — при перестановке букв (wdfmrg.exe) получается уже вирус.


winlogon.exe
Расположение - windows/system32
Windows Logon Process, управляет входом пользователей в систему и выходом из неё. Процесс нельзя завершить из диспетчера задач. Winlogon активируется только при нажатии клавиш CTRL+ALT+DEL, после чего появляется окно "Безопасность Windows".

Вирусы, трояны и шпионские программы могут имитировать системный процесс. Если вы увидите такой файл в другой папке, проведите антивирусное сканирование. Пример вируса с таким названием — W32.Netsky.D.


WINMGTM.EXE
Основной компонент клиентской службы Windows. Процесс запускается одновременно с первыми клиентскими приложениями и выполняется при любом запросе служб. В Windows XP процесс запускается как клиент процесса Svchost.
по материалам журнала NetWork


wmiprvse.exe
Расположение - WINDOWS\System32\Wbem
Процесс wmiprvse.exe — компонент Инструментария управления Windows (Windows Management Instrumentation). Если он в другой директории - вероятно, вы имеете дело с вирусом, маскирующимся под системный файл.
Иногда wmiprvse.exe может занимать большое количество процессорного времени. Часто это связано с сервисом HPTLBXFX.exe, поставляющимся с принтерами и МФУ Hewlett-Packard. Рекомендуется обновить драйверы принтера или отключить сервис.


wscntfy.exe
Windows Security Centre Notification Process, составная часть Windows Security Center, отвечает за значок в трее. Security Center можно отключить в "Службах", если вы его не используете.
Бездействие системы
этот процесс имеет по одному потоку на каждом процессоре и его единственная задача — учитывать время, в течение которого система не занята другими потоками. В диспетчере задач можно видеть, что этому процессу, как правило, соответствует большая часть процессорного времени (то есть процессор не занят). Отключить нельзя.


wuauclt.exe
Расположение - C:\Windows\System32
Процесс wuauclt.exe проверяет наличие последних обновлений для ОС Windows с Web-сайт Microsoft. Завершив работу процесса, Вы не сможете устанавливать новые обновления безопасности Microsoft Windows.
Запущен процесс wuauclt.exe, расположенный в другой директории, показывает о наличии вируса в системе. Такой процесс должен быть немедленно удален.

Имя файла wuauclt.exe используют для сокрытия своего присутствия в системе всего несколько вирусов и сетевых червей.
Категория: Разное | Добавил: dolphin (24.06.2013)
Просмотров: 2416 | Рейтинг: 5.0/2

Всего комментариев: 0
avatar
Профиль


Логин:
Пароль:

Поиск

Наша кнопка

Вирусология, взгляд из Delphi



Статистика
HSDN :: Рейтинг сайтов WOlist.ru - каталог качественных сайтов Рунета Яндекс.Метрика Счетчик тИЦ и PR
Статистика материалов
Файлов: 364
Форум: 1128/7979
Коментариев: 759
Новостей: 27

Статистика пользователей
Всего: 409
За неделю: 2
Вчера: 0
Сегодня: 0
Всего онлайн: 1
Гостей: 1
Пользователей: 0

delfcode.ru © 2008 - 2016 Хостинг от uCoz