Данный список процессов далеко не полон Все программы, которые могут оказаться в памяти без вашего ведома, перечислить невозможно. Однако ниже описаные сетевые ресурсы помогут Вам в этом разобраться. При просмотре же процессов в своей системе, обязательно обращайте внимание на свойства каждого файла, из какой папки и кем он был запущен. Помните о вирусах!
acs.exe Atheros Configuration Service (ACS) — сервис для настройки Wi-Fi-адаптера. Отключать не стоит.
ACU.exe Atheros Client Utility, утилита настройки Wi-Fi-адаптера, в данной конкретной системе также необходима.
AGRSMMSG.exe SoftModem Messaging Applet — процесс, устанавливаемый драйвером модема Agere, необходим ему для работы.
alcmtr.exe alcmtr.exe – процесс, устанавливающийся совместно с аудиоустройствами Realtek AC97 и обеспечивающий службы мониторинга. Процесс alcmtr.exe не является критическим, однако его завершение может вызвать проблемы с работой звука на системе. Программа прописывается в автозапуске и запускается в момент старта Windows. Вредоносного ПО, использующего имя alcmtr.exe для сокрытия своего присутствия в системе, пока не замечено.
alg.exe Расположение - Windows\System32 Процесс alg.exe (Application Layer Gateway Service) – служба операционной системы Microsoft Windows. Она является ядром для работы общего доступа к Интернету и Брандмауэра Windows. Также эту службу используют некоторые сторонние межсетевые экраны. В случае завершения работы этой службы, у вас пропадет доступ в сеть Интернет до перезагрузки компьютера. Соответственно, отключать можно, если вы их не используете.
Расположение alg.exe в других каталогах, говорит о наличии у Вас в системе трояна, вируса или сетевого червя. Наиболее известные вредоносные программы, скрывающиеся под именем системного процесса alg.exe – W32.Petch, сетевой червь Worm.Fagot и шпионская программа Trojan.Ourxin. Злонамеренный процесс должен быть немедленно завершен.
ati2evxx.exe ATI External Event Utility EXE Module — сервис Ati HotKey Poller, утилита, входящая в состав ATI Catalyst. Применяется, например, для распознавания подключения внешнего монитора или телевизора, нажатия горячих клавиш. Если это не требуется, можно отключить.
BTTray.exe Bluetooth Tray Application — один из компонентов драйверов Bluetooth от Widcomm, необходим для их работы
btwdins.exe Bluetooth Support Server, также необходим для работы драйверов Bluetooth от Widcomm.
CLI.exe Command Line Interface application for all ACE Components, утилита из состава ATI Catalyst, служит она для доступа через иконку в системном трее к настройкам драйвера, можно отключить, при запуске Control Center она снова загрузится в память.
csrss.exe Расположение - Windows\System32 CSRSS.exe - client server runtime system service - критический системный процесс. СSRSS - сокращение от "client/server run-time subsystem" (клиент/серверная подсистема). csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS. Он относиться к подсистеме Win32 пользовательского режима (WIN32.SYS же относиться к ядру Kernel) и должен всегда выполняться. Просто в CSRSS еще год назад была обнаружена уязвимость, связанная с переполнением буфера. Этой уязвимостью и пользуются вирусы.
В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько десятков вирусов (например Trojan.Webus, W32.Dalbug.Worm, Spyware.LoverSpy и множество других), использующих имя csrss.exe для сокрытия своего присутствия в системе.
ctfmon.exe Ctfmon - языковая панель, индиктор, отображающий текущую раскладку клавиатуры и обеспечивающий поддержку альтернативных методов ввода. Если вместо него будете использовать Punto Switcher, то только выиграете. (Раньше индикатором являлся Internat.exe, сейчас под таким именем могут скрываться вирусы). Удалять Ctfmon.exe не рекомендуется, потому что это может вызвать проблемы в работе программ пакета Office. Однако, удаление файла Ctfmon.exe из программы настройки системы MSConfig не приводит к его отключению. Удаление процесса ctfmon.exe описано на странице поддержки Microsoft.
dit.exe Расположение - Windows\System32 Процесс dit.exe - безопасный системный процесс, отвечающий за присвоение иконок и пометок Flash-дискам.
Вирусы и вредоносные процессы могут намеренно носить имена безопасных приложений и системных сервисов. Проверьте, что dit.exe находится в системной папке. Некоторые вирусы называют себя dit.exe; при подозрении проверьтесь обновленным антивирусом.
dumprep.exe Расположение - windows/system32 Отвечает за создание дампа памяти в случае критической ошибки (синего экрана смерти). Запись дампа и запуск этого процесса можно отключить, для этого нужно нажать правой кнопкой мышки по значку "Мой компьютер" - вкладка "Дополнительно" - "Загрузка и восстановление" - кнопка "Параметры" - "Запись отладочной информации" - "Отсутствует".
Файл dumprep.exe находится в папке. Вирусы, трояны и шпионские программы могут имитировать системный процесс. Нахождение такого файла в другой папке, требует его удаления и немедленного антивирусного сканирования.
eabservr.exe Easy Access Buttons, программа Quick Launch Buttons на ноутбуках HP Compaq, отвечает за работу дополнительных кнопок.
explorer.exe оболочка системы, отвечающая за формирование Рабочего стола и окон Проводника. Сам процесс можно перезапускать, если что-то подвисло. А можно и вообще отключать, если вы используете другую оболочку. Следует только обратить внимание на путь к файлу — Windows по умолчанию ищет explorer.exe во всех папках подряд (грубо говоря), поэтому если злоумышленник кинет в корень диска С: трояна с таким названием, то она его спокойно запустит. Хотя Рабочий стол в таком случае вы уже вряд ли получите…
hkcmd.exe Расположение - %SystemRoot%\System32 Процесс hkcmd.exe (Intel Hotkey Command Module). Программа устанавливается с графическими картами Intel и обеспечивает поддержку различных горячих клавиш для быстрого изменения графических характеристик компьютера.
Этот процесс не является системно важным процессом и может быть завершен. Чтобы отключить Intel Hotkey Command Module, откройте в контрольной панеле свойства дисплея и отключите горячие клавиши.
Имя hkcmd.exe часто используется авторами вирусов и вредоносных программ для скрытия своего присутствия на системе. Тогда файл будет располагаться в месте, отличном от %SystemRoot%\System32. Например:
W32/Sdbot-DGR - в директории (%SystemRoot%) Этот червь распространяется через сетевые диски и KaZaA и может взаимодействовать с удаленным сервером через HTTP протокол.
W32/Pahatia-A - в директории (%SystemRoot%) Червь распространяется через переносные диски (типа флеш-дисков), и потенциально может уничтожать критические системные процессы.
igfxpers.exe Расположение - Windows\System32 Программа является утилитой для видеокарт Intel и появляется в системном лотке рядом с часами.
Вирусы могут маскироваться под эту программу. Если расположение или работа этого файла вызывает сомнения, рекомендуем проверить компьютер антивирусом.
INTERNAT.EXE Загружает различные выбранные пользователем языки ввода, показывает на панели задач значок >, который позволяет переключать языки ввода. С помощью панели управления возможно без использования данного процесса безо всяких проблем переключать раскладку клавиатуры.
isass.exe isass.exe - это вирус, маскирующийся под системный процесс LSASS.EXE (обратите внимание: первая буква "правильного процесса" - L, а вирусного - I; в нижнем регистре их можно спутать).
Немедленно остановите процесс и проведите антивирусное сканирование системы, перезагрузившись в безопасном режиме.
issch.exe Это приложение InstallShield Update Service, отвечающее за обновление стандартного инсталлятора InstallShield. Он не является опасным в работе.
ituneshelper.exe Процесс iTunesHelper.exe устанавливается вместе с программой iTunes и тслеживает подключаемые к системе плеера iPod и запускает iTunes для работы с ними. Данный процесс можно отключить из системы, но программа iTunes, скорее всего, восстановит его автозапуск.
jqs.exe Процесс Java Quick Starter (JQS) - сокращает время первоначального запуска для большинства апплетов и приложений Java. JQS по умолчанию включен в операционных системах Windows XP и Windows 2000 (в Windows Vista имеются собственные механизмы предварительной загрузки). Для ускорения загрузки в фоновом режиме запускается процесс jqs.exe.
Если вы не пользуетесь приложениями Java, рекомендуется отключить этот процесс.
Процедура отключения jqs.exe: В "Панели управления" дважды щелкните на "Панели управления Java"; В панели управления Java выбираем вкладку "Advanced" (Дополнительно); Прокрутите список до элемента "Miscellaneous" (Разное) и разверните его; Снимите флажок для Java Quick Starter; Нажмите кнопку "ОК" и перезагрузите систему.
jusched.exe jusched.exe (Sun Java Update Scheduler) – служит для проверки новой версий для Sun JAVA. Программа запускается на вашем компьютере по расписанию. Отключить программу можно в панеле управления во вкладке "java Plug In", сняв галочку "check for updates automatically".
Lsass.exe Lsass.exe (Local Security Authority Service) - системный процесс Windows или локальный сервер проверки подлинности, порождающий процесс, ответственный за проверку пользователей в службе Winlogon. Не отключать. Процесс проверки производится такими библиотеками, как Msgina.dll, используемая по умолчанию. В случае успеха процесс Lsass порождает маркер доступа пользователя, который затем используется для запуска начальной пользовательской оболочки. Процессы, запускаемые пользователем, наследуют этот маркер. Процесс LSASS нельзя завершить из диспетчера задач.
Некоторые вирусы маскируются под процесс lsass.exe, заменяя в своем названии первую строчную L на прописную I, выглядящую похоже. Такие процессы необходимо остановить и произвести вирусное сканирование в безопасном режиме. В случае, если система сообщает о неожиданном завершении процесса lsass, компьютер, вероятно, был подвержен атаке сетевого червя. Необходимо провести вирусное сканирование и установить брандмауэр.
mdm.exe Расположение - WINDOWS\system32\ Mdm.exe (Machine Debug Manager) – используется для обеспечения функции отладки приложений. В Windows 2000/XP/2003 программа запускается как системная служба при старте компьютера. Обнаружение файла с таким именем в другом каталоге, требует его немедленного удаления.
MSTASK.EXE Отвечает за службу планирования Schedule, которая предназначена для запуска различных приложений в определённое пользователем время.
patch.exe Процесс patch.exe - Trend Micro Pc-Cillin Auto-Updater, система обновления антивируса Pc-Cillin. Если у вас не установлен данный антивирус, процесс patch.exe может быть другим ПО или вирусом. Рекомендуем проверить систему с помощью антивирусного сканирования. Если установлен - следует оставить его активным.
pds.exe Процесс pds.exe - Ping discovery service - составная часть ПО LanDesk. Если компьютер находится в сети, рекомендуется оставить этот процесс активным, в противном случае его можно завершить. Этот процесс не является опасным.
pnkbstra.exe и pnkbstrb.exe Процессы pnkbstra.exe, pnkbstrb.exe и PnkBstrK.exe отвечают за работу PunkBuster - системы обнаружения нечестных игроков в онлайн-играх.
rthdcpl.exe rthdcpl.exe – процесс, использующийся контрольной панелью Realtek HD Audio Control Panel и устанавливающийся с различными звуковыми картами Realtek. rthdcpl.exe не является критическим процессом, однако его завершение может вызвать проблемы с работой звука на системе. Программа прописывается в автозапуске и запускается в момент старта Windows.
Вредоносного ПО, использующего имя rthdcpl.exe для сокрытия своего присутствия в системе, пока не обнаружено.
RapportMgmtService.exe Расположение - в подпапках C:\Program Files Размеры файла для Windows XP 664,808 байт (35% всех случаев), 648,424 байт, 972,008 байт, 967,912 байт, 955,624 байт. Процесс использует порт, чтобы присоединится к сети или интернету. Может менять поведение других программ или манипулировать другими программами. RapportMgmtService.exe способен записывать ввод данных, мониторить приложения. Поэтому технический рейтинг надежности 66% опасности. Приложение не видно пользователям. Это файл, подписанный Verisign. Сертифицировано надежной компанией. Это не системный процесс Windows. Некоторые вредоносные программы маскируют себя как RapportMgmtService.exe, особенно, если они находятся в каталоге c:\windows или c:\windows\system32.
RapportService.exe Расположение - в подпапках C:\Program Files Размеры файла для Windows XP 1,135,848 байт (21% всех случаев), 1,758,440 байт, 1,422,568 байт, 959,720 байт, 980,200 байт, 972,008 байт, 1,438,952 байт, 1,119,464 байт, 1,434,856 байт. Процесс использует порт, чтобы присоединится к сети или интернету. RapportService.exe способен записывать ввод данных, мониторить приложения, манипулировать другими программами. Поэтому технический рейтинг надежности 57% опасности. Приложение не видно пользователям. Это файл, подписанный Verisign. У файла поставлена цифровая подпись. Это не файл Windows. Может менять поведение других программ или манипулировать другими программами. Некоторые вредоносные программы маскируют себя как RapportService.exe, особенно, если они находятся в каталоге c:\windows или c:\windows\system32.
rundll32.exe Расположение - Windows\System32 rundll32.exe (Microsoft Rundll32) - утилита командной строки позволяющая запускать некоторые команды-функции, заложенные в DLL-файлах. Данная утилита была разработана для внутреннего пользования программистами Microsoft.
Обнаруженный файл с таким именем не в системном каталоге должен быть немедленно удален. Имя rundll32.exe очень часто используют сетевые черви W32/Lovgate-AB, W32/Deloder-A, трояны Troj/Lineage-AR, Troj/LegMir-AS и Troj/Delf-AC и множество других вредоносных программ для сокрытия своего присутствия в системе.
Есть вероятность, что rundll32 используется для запуска вредоносного программного обеспечения. В случае подозрений на это, следует проверить систему качественным антивирусным ПО.
services.exe Services Control Manager, системный процесс, отвечающий за запуск/остановку сервисов и взаимодействие с ними. Программа жизненно важна для Windows, её отключать нельзя. Под этим именем может скрываться также множество вирусов (W32/Leave.B, W32.HLLW.Kazping и так далее, но тогда они расположены в папках, отличных от System32) — будьте внимательны, этот процесс не должен запускаться через разделы RUN реестра!
SMAgent.exe SoundMAX Service Agent, часть аудио-драйвера, его отключение не сказывается на работе звукового тракта.
SMax4.exe SoundMAX Control Center, при его отключении просто пропадает иконка SoundMAX в системном трее.
SMax4PNP.exe SMax4PNP MFC Application, необходим для запуска SoundMAX Control Center (Панель управления SoundMAX).
Smss.exe Расположение - windows\System32 Smss.exe (Session Manager Subsystem) - подсистема диспетчера сеансов, ответственная за запуск сеансов пользователей, за запуск процессов Winlogon и Win32 (Csrss.exe) и за установку системных переменных. После запуска данных процессов процесс Smss ожидает их завершения. При "нормальном" завершении процессов система корректно завершает работу. Если процессы завершаются аварийно, процесс Smss.exe заставляет систему прекратить отвечать на запросы. Этот процесс нельзя завершить из менеджера задач.
В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. Наиболее распространенные вирусы, маскирующиеся в системе под именем smss.exe – троян Backdoor.IRC.Flood, W32.Dalbug.Worm, Adware.DreamAd, Win32. Brontok, Win32 Sober, Win32.Landis и другие.
spoolsv.exe Microsoft Printer Spooler Service, спулер печати, необходим для работы принтера, отвечает за управление заданиями на печать и передачу факсимильных сообщений. Под этим именем любят также скрываться вирусы (Backdoor.Ciadoor.B, VBS.Masscal.Worm и т. д.) Для перезапуска процесса печати выполните команду "Пуск" - Выполнить - services.msc, найдите службу "Диспетчер очереди печати" и перезапустите его из контекстного меню (нажатие правой кнопкой мыши по названию службы). В случае обнаружения таких процессов - spool.exe, spool16.exe, spool32.exe, spools.exe, spoolsrv.exe, SpoolMgr.exe, spooll32.exe - немедленно остановите процесс и проведите антивирусное сканирование системы, перезагрузившись в безопасном режиме.
svchost.exe Расположение - windows\System32 Svchost.exe - это процесс, запускающий сервисы (службы) Windows, являющиеся динамическими библиотеками DLL. Для каждой такой службы запускается отдельная копия Svchost; поэтому обычно запущено несколько копий.
В Windows Vista можно определить, к какой службе относится определенная копия Svchost. Для этого нужно открыть Диспетчер задач (нажав ctrl+alt+del и выбрав "Запустить диспетчер задач"), во вкладке "процессы" нажать правой кнопкой на интересующую вас копию svchost и выбрать пункт "перейти к службам".
Чтобы понять, что "скрывается" за каждой копией файла svchost.exe, используйте утилиту tlist.exe с параметром –s (сама утилита входит в состав Resource Kit Support Tools) Чтобы просмотреть список служб, запущенных с помощью Svchost, сделайте следующее: Нажмите на панели задач Windows кнопку "Пуск" и выберите пункт "Выполнить". В поле "Открыть" введите команду "CMD" и нажмите клавишу "ВВОД". Введите команду "Tasklist /SVC" и нажмите клавишу "ВВОД".
Команда "Tasklist" выводит список активных процессов. "Параметр /SVC" используется для вывода списка активных служб в каждом процессе. Для получения дополнительных сведений о процессе введите следующую команду и нажмите клавишу "ВВОД": Tasklist /FI "PID eq идентификатор_процесса" (кавычки обязательны)
Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог. (например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn. Так же, Svchost.exe может быть вирусом Jefo, который заражает исполяемые модули программ, то есть exe файлы (очень заразная вещь). Определить есть он или нет, можно заглянув в папку \Windows или \Winnt этого файла там быть не должно, если он есть, значит на 100% это вирус.
SynTPEnh.exe утилита из состава драйвера тачпада от Synaptics. Обеспечивает поддержку расширенных функций тачпада (например, назначение специальных действий на отдельные зоны тачпада).
System Системный процесс, отвечает за различные базовые функции — большинство системных потоков режима ядра исполняются от имени процесса System. Не ассоциирован с exe-файлом! Если встретите system.exe — проверьте антивирусом! Если SYSTEM будет грузить процессор на 100%, также проверяйте систему.
SYSTEM IDLE PROCESS Этот процесс выполняется на любом компьютере. Нужен он, правда, всего лишь для мониторинга процессорных ресурсов, не используемых другими программами.
TASKMGR.EXE Процесс диспетчера задач, закрывать который крайне не рекомендуется.
wdfmgr.exe Windows Driver Foundation Manager, входит в состав Microsoft Windows Media Player и Service Pack 2, отвечает за новую модель драйверов, занимается, в частности, проблемами совместимости WMP с другими приложениями и внешними устройствами. Если WMP завис, попробуйте убить этот процесс. Достаточно безболезненно можно отключить в "Службах". Обратите внимание на имя файла — при перестановке букв (wdfmrg.exe) получается уже вирус.
winlogon.exe Расположение - windows/system32 Windows Logon Process, управляет входом пользователей в систему и выходом из неё. Процесс нельзя завершить из диспетчера задач. Winlogon активируется только при нажатии клавиш CTRL+ALT+DEL, после чего появляется окно "Безопасность Windows".
Вирусы, трояны и шпионские программы могут имитировать системный процесс. Если вы увидите такой файл в другой папке, проведите антивирусное сканирование. Пример вируса с таким названием — W32.Netsky.D.
WINMGTM.EXE Основной компонент клиентской службы Windows. Процесс запускается одновременно с первыми клиентскими приложениями и выполняется при любом запросе служб. В Windows XP процесс запускается как клиент процесса Svchost. по материалам журнала NetWork
wmiprvse.exe Расположение - WINDOWS\System32\Wbem Процесс wmiprvse.exe — компонент Инструментария управления Windows (Windows Management Instrumentation). Если он в другой директории - вероятно, вы имеете дело с вирусом, маскирующимся под системный файл. Иногда wmiprvse.exe может занимать большое количество процессорного времени. Часто это связано с сервисом HPTLBXFX.exe, поставляющимся с принтерами и МФУ Hewlett-Packard. Рекомендуется обновить драйверы принтера или отключить сервис.
wscntfy.exe Windows Security Centre Notification Process, составная часть Windows Security Center, отвечает за значок в трее. Security Center можно отключить в "Службах", если вы его не используете. Бездействие системы этот процесс имеет по одному потоку на каждом процессоре и его единственная задача — учитывать время, в течение которого система не занята другими потоками. В диспетчере задач можно видеть, что этому процессу, как правило, соответствует большая часть процессорного времени (то есть процессор не занят). Отключить нельзя.
wuauclt.exe Расположение - C:\Windows\System32 Процесс wuauclt.exe проверяет наличие последних обновлений для ОС Windows с Web-сайт Microsoft. Завершив работу процесса, Вы не сможете устанавливать новые обновления безопасности Microsoft Windows. Запущен процесс wuauclt.exe, расположенный в другой директории, показывает о наличии вируса в системе. Такой процесс должен быть немедленно удален.
Имя файла wuauclt.exe используют для сокрытия своего присутствия в системе всего несколько вирусов и сетевых червей.
