На Securitylab появился довольно интересный раздел - http://www.securitylab.ru/processinfo/
Я думаю, что данная информация очень полезена, и в тематике нашего форума.
На Securitylab появился довольно интересный раздел - http://www.securitylab.ru/processinfo/
Я думаю, что данная информация очень полезена, и в тематике нашего форума.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Svchost.exe (Generic Host Process for Win32 Services)
"Svchost.exe" (Generic Host Process for Win32 Services) – системный процесс операционной системы Microsoft Windows, который обрабатывает 32-битные DLL и другие службы.
В процессе загрузки на основании записей в реестре Svchost.exe составляет список служб, которые необходимо запустить. Одновременно могут быть запущены несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe содержит группировку служб, следовательно, отдельные службы могут выполняться в зависимости от того, как и когда был запущен Svchost.exe. Таким образом улучшается контроль и упрощается отладка.
Файл Svchost.exe расположен в папке %SystemRoot%\System32. В других каталогах под именем Svchost.exe может скрываться Троян, вирус или сетевой червь. Наиболее известные злонамеренные программы, скрываются под именем системного процесса Svchost.exe – W32.Welchia.Worm, W32/Jeefo и W32.Assarm@mm. В этом случае злонамеренный процесс должен быть немедленно завершен.
explorer.exe (Windows Explorer)
Графическая оболочка операционной системы Microsoft Windows, включающая меню пуск, рабочий стол, панель инструментов и файловый менеджер. В случае удаления этого процесса, исчезнет из виду графический интерфейс для Windows.
Файл Explorer.exe расположен в папке C:\Windows. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. Наиболее распространенные вирусы, использующие для сокрытия имя Explorer.exe – W32.MyDoom, w32.Codered, BKDR_ZAPCHAST.
smss.exe (Windows NT Session Manager)
Это процесс является подсистемой управления сессиями, которая инициализируется при запуске сессии пользователя в операцинной системе Microsoft Windows. Процесс инициализируется системными потоками и соответствует различной активности, включающих запуск Winlogon и Win32(Csrss.exe) процессов и установке системных переменных. После запуска этих процессов, smss ожидает завершение этих процессов, т.е. при перезагрузке системы. Неожиданное завершение работы этого процесса приведет к зависанию системы.
Файл smss.exe расположен в каталоге c:\windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. Наиболее распространенные вирусы, использующие для сокрытия имя smss.exe – W32.Dalbug.Worm, Adware.DreamAd, Win32. Brontok, Win32 Sober, Win32.Landis и другие.
wuauclt.exe ( Windows Update AutoUpdate Client)
Этот процесс проверяет Web сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.
Файл wuauclt.exe всегда расположен в директории C:\Windows\System32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе.
regsvc.exe (Remote Registry Service)
regsvc.exe – системная служба Microsoft Windows, позволяющая удаленным компьютерам подключаться к локальному реестру. Некоторые локальные программы также используют эту службу для редактирования реестра. В случае если ваш компьютер не подключен к локальной сети то процесс regsvc.exe можно отключить.
Предупреждение! – данный файл отсутствует в операционной системе Windows XP. В случае если вы обнаружили в Windows XP файл regsvc.exe, проверьте принадлежит ли этот файл компании Microsoft.
Файл regsvc.exe всегда расположен в директории C:\Windows\System32. 2. В других каталогах под именем regsvc.exe может скрываться троян, вирус или сетевой червь. Наиболее известные злонамеренные программы, скрываются под именем системного процесса regsvc.exe – Troj/Cloner, Troj/Dropper-BA и шпионская программа Ace Spy. В этом случае злонамеренный процесс должен быть немедленно завершен.
alg.exe (Application Layer Gateway Service)
alg.exe – служба операционной системы Microsoft Windows. Она является ядром для Microsoft Windows Internet Connection sharing и Internet connection firewall. Также эту службу используют некоторые сторонние межсетевые экраны. В случае завершения работы этой службы, у вас пропадет доступ в сеть Интернет до перезагрузки компьютера.
Файл alg.exe всегда расположен в директории C:\Windows\System32. В других каталогах под именем alg.exe может скрываться троян, вирус или сетевой червь. Наиболее известные злонамеренные программы, скрываются под именем системного процесса alg.exe – W32.Petch, сетевой червь Worm.Fagot и шпионская программа Trojan.Ourxin. В этом случае злонамеренный процесс должен быть немедленно завершен.
hh.exe (Microsoft Windows Help)
hh.exe – утилита операционной системы Microsoft Windows, которая вызывается при нажатии клавиши помощи. Процесс не является критическим и его завершение не влияет на стабильность работы системы.
Файл hh.exe всегда расположен в папке /winroot/. В случае, если вы обнаружили файл в любом другом каталоге, он должен быть немедленно удален. В настоящее время известно несколько вирусов (например W32.Dexec), использующих имя hh.exe для скрытия своей активности в системе.
cidaemon.exe (Microsoft Indexing Service)
Процесс в операционных системах Microsoft Windows, который отвечает за индексацию файлов на вашем компьютере для последующего быстрого поиска необходимой информации. В некоторых случаях он может значительно загружать ресурсы центрального процессора. Однако так как процесс всегда запущен с низким приоритетом, он не сильно влияет на снижение производительности системы в целом. В системе могут быть запущены несколько процессов с именем cidaemon.exe – каждый процесс обслуживает отдельный индексный каталог на системе.
Файл всегда расположен в каталоге C:\WINDOWS\system32\cidaemon.exe. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько сетевых червей (VBS.Ypsan и VBS.Spiltron) использующих имя cidaemon.exe для сокрытия своего присутствия в системе.
Internat.exe (loads the different input locales)
Процесс Internat.exe выполняется при запуске и загружает поддержку языковых модулей, указанных пользователем. Загружаемые языковые модули указываются в следующем разделе системного реестра:
[HKEY_USERS.DEFAULTKeyboard LayoutPreload]
Internat.exe загружает значок "EN" в системный трей, позволяя пользователю быстро переключатся между языками. Этот значок исчезает, когда процесс останавливается, дополнительную настройку при этом можно выполнить с помощью панели управления.
Языковые настройки для системы загружаются в следующем разделе реестра:
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload
Эти языки используются системными службами, запущенными под учетной записью Local System или когда пользователь не вошел в систему (например, в диалоговом окне входа в систему).
Файл Internat.exe всегда расположен в каталоге C:\Windows\System32. В случае если вы обнаружили файл с таким именем в другом каталоге, его необходимо немедленно удалить. В настоящее время известно несколько десятков вирусов, использующих имя Internat.exe для скрытия своего присутствия в системе.
dllhost.exe (Microsoft DCOM DLL Host Process)
Программа отвечает за обработку COM+ процессов в Internet Information Services (IIS) и других программах. Например, ее использует .NET Runtime. В системе может быть загружено несколько процессов с именем DLLhost.exe.
Файл с dllhost.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя DLLhost.exe для скрытия своей активности в системе.
Kernel32.dll
Файл Kernel32.dll отвечает за обработку памяти, операций ввода-вывода и прерываний в операционных системах Windows. При запуске Windows, kernel32.dll загружается в защищенную область памяти.
Пользователи часто видят ошибку "invalid page fault" . Это происходит когда программа или приложение пытается получить доступ к защищенной памяти kernel32.dll процесса. Часто такая ошибка вызывается одной определенной программой, но в некоторых случаях ошибка может возникать при запуске нескольких программ.
Файл с Kernel32.dll всегда расположен в папке C:\Windows\ (windows 98/Me) или c:\windows\system32 (Windows XP/2000/2003). В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя Kernel32.dll для скрытия своей активности в системе.
gator - gator.exe
gator.exe – процесс, принадлежащий рекламной программе Claria от Claria Corporation. Этот процесс контролирует активность браузера и посылает собранные данные на сервер автора для последующего анализа. Программа также периодически отображает рекламные окна. Программа представляет высокую угрозу персональным данным и должна быть немедленно удалена с вашего компьютера.
a006.exe (Adware.W32.Claria)
a006*.exe – процесс обслуживающий рекламную программу Claria от Claria Corporation. Этот процесс контролирует активность браузера и посылает данные на сервер Claria для анализа. Также этот процесс периодически отображает рекламный баннер в виде popup окна. Программа представляет высокий риск для безопасности системы и должна быть немедленно удалена.
VERCLSID.EXE
Новый файл в операционной системе Microsoft Windows, устанавливающийся с патчем MS06-015.
Процесс VERCLSID.EXE проверяет расширения оболочки перед тем как они пропишутся в Windows Shell или Windows Explorer. На некоторых компьютерах VERCLSID.EXE перестает отвечать на запросы пользователей. Проблема присутствует в системах, в которых установлены некоторые программы для работы с принтерами, сканерами и фотоаппаратами Hewlett-Packard. Также известно о конфликте с Kerio Personal Firewall. Возможны также конфликты с другими программами.
ДЛя временного решения проблемы рекомендуется выполнить следующие действия:
* Войти на компьютер под административной учетной записью
* Зайти в редактор реестра (пуск-запустить-regedit) и найти ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Shell Extensions\Cached.
* Создать следующий ключ реестра нажав правой клавишей мышки на "Cached" и выбрав создать новое "DWORD" значение реестра. Затем набрать:
{A4DF5659-0801-4A60-9607-1C48695EFDA9} {000214E6-0000-0000-C000-000000000046} 0x401
* Установить значение этого ключа к 1.
* Закрыть редактор реестра.
* Завершить работу процесса Verclsid.exe (используя диспетчер задач) или перезапустить компьютер
spoolsv.exe
spoolsv.exe – отвечает за обработку процессов печати на локальном компьютере в операционных системах Microsoft Windows. В случае завершения процесса spoolsv.exe, локальный пользователь не сможет распечатывать задания на локальном принтере.
Файл spoolsv.exe всегда расположен в C:\Windows\System32 директории. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов (например Backdoor.Ciadoor.B, VBS.Masscal.Worm, Hacktool.Privshell и другие), использующих имя spoolsv.exe для сокрытия своего присутствия в системе.
Ctfmon.exe
Ctfmon.exe управляет технологиями альтернативного ввода данных. Он запускает языковую панель (в Systray) и продолжает работать в фоновом режиме даже после закрытия всех программ пакета Office XP. Кроме того, он запускается каждый раз при загрузке Windows и работает в фоновом режиме, независимо от того, запускались ли программы Office XP.
Программа Ctfmon.exe активирует процессор текстового ввода (TIP) компонента «Альтернативный ввод данных» и языковую панель Microsoft Office. Программа производит мониторинг активных окон и предоставляет поддержку клавиатуры, перевода, распознавания речи и рукописных символов, а также других технологий альтернативного ввода данных. Удалять Ctfmon.exe не рекомендуется, потому что это может вызвать проблемы в работе программ пакета Office XP.
Файл Ctfmon.exe всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов (например W32.Snow.A, Spyware.UltraKeylogger, Trojan.Satiloler и другие), использующих имя spoolsv.exe для сокрытия своего присутствия в системе.
ASPNET_WP.exe (Microsoft asp.net)
Процесс aspnet_wp.exe используется в большинстве служб и программ, использующих технологию ASP.Net. Если вы используете ASP.Net, то процесс всегда должен быть запущен, в противном случае вы можете завершить процесс для освобождения системных ресурсов.
Файл agentsvr.exe всегда расположен в c:\windows\Microsoft.NET\Framework\v1.1.4322. . В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов( например VBS.Spiltron@mm, VBS.Ypsan.E@mm и другие), использующих имя ASPNET_WP.exe для сокрытия своего присутствия в системе.
agentsvr.exe (Microsoft Agent Server)
Процесс agentsvr.exe используется в некоторых мультимедиа приложениях и Web страницах. Программа является ActiveX компонентой и используется программистами для реализации функций анимации, распознавания голоса и преобразования текста в голос (text-to-speech). Завершение работы программы не влияет на стабильность системы.
Файл agentsvr.exe всегда расположен в c:\windows\msagent\. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов( например W32/Bagle-AA, W32/Agobot-RU, W32/Mytob-LC и другие), использующих имя agentsvr.exe для сокрытия своего присутствия в системе.
Actmovie.exe
Actmovie.exe – программа используется операционной системой Microsoft Windows для отображения некоторых типов видео и графических файлов с именем ASF (Activemovie Streaming Format). Программа не является критическим процессом, но ее могут использовать другие приложения (например, хранители экрана). Завершение работы программы не влияет на стабильность системы.
Файл Actmovie.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов, например W32.Gubed, использующих имя Actmovie.exe для сокрытия своего присутствия в системе.
Ваши права в разделе
Ответить с цитированием
