PDA

Просмотр полной версии : Рrocessinfo от securitylab



Shu_b
20.04.2006, 07:29
На Securitylab появился довольно интересный раздел - http://www.securitylab.ru/processinfo/

Я думаю, что данная информация очень полезена, и в тематике нашего форума.

Shu_b
20.04.2006, 07:30
Svchost.exe (Generic Host Process for Win32 Services)

"Svchost.exe" (Generic Host Process for Win32 Services) – системный процесс операционной системы Microsoft Windows, который обрабатывает 32-битные DLL и другие службы.

В процессе загрузки на основании записей в реестре Svchost.exe составляет список служб, которые необходимо запустить. Одновременно могут быть запущены несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe содержит группировку служб, следовательно, отдельные службы могут выполняться в зависимости от того, как и когда был запущен Svchost.exe. Таким образом улучшается контроль и упрощается отладка.

Файл Svchost.exe расположен в папке %SystemRoot%\System32. В других каталогах под именем Svchost.exe может скрываться Троян, вирус или сетевой червь. Наиболее известные злонамеренные программы, скрываются под именем системного процесса Svchost.exe – W32.Welchia.Worm, W32/Jeefo и [email protected] В этом случае злонамеренный процесс должен быть немедленно завершен.

Shu_b
20.04.2006, 07:31
explorer.exe (Windows Explorer)

Графическая оболочка операционной системы Microsoft Windows, включающая меню пуск, рабочий стол, панель инструментов и файловый менеджер. В случае удаления этого процесса, исчезнет из виду графический интерфейс для Windows.

Файл Explorer.exe расположен в папке C:\Windows. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. Наиболее распространенные вирусы, использующие для сокрытия имя Explorer.exe – W32.MyDoom, w32.Codered, BKDR_ZAPCHAST.

Shu_b
20.04.2006, 07:31
smss.exe (Windows NT Session Manager)

Это процесс является подсистемой управления сессиями, которая инициализируется при запуске сессии пользователя в операцинной системе Microsoft Windows. Процесс инициализируется системными потоками и соответствует различной активности, включающих запуск Winlogon и Win32(Csrss.exe) процессов и установке системных переменных. После запуска этих процессов, smss ожидает завершение этих процессов, т.е. при перезагрузке системы. Неожиданное завершение работы этого процесса приведет к зависанию системы.

Файл smss.exe расположен в каталоге c:\windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. Наиболее распространенные вирусы, использующие для сокрытия имя smss.exe – W32.Dalbug.Worm, Adware.DreamAd, Win32. Brontok, Win32 Sober, Win32.Landis и другие.

Shu_b
20.04.2006, 07:32
wuauclt.exe ( Windows Update AutoUpdate Client)

Этот процесс проверяет Web сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.

Файл wuauclt.exe всегда расположен в директории C:\Windows\System32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе.

Shu_b
20.04.2006, 07:33
regsvc.exe (Remote Registry Service)

regsvc.exe – системная служба Microsoft Windows, позволяющая удаленным компьютерам подключаться к локальному реестру. Некоторые локальные программы также используют эту службу для редактирования реестра. В случае если ваш компьютер не подключен к локальной сети то процесс regsvc.exe можно отключить.

Предупреждение! – данный файл отсутствует в операционной системе Windows XP. В случае если вы обнаружили в Windows XP файл regsvc.exe, проверьте принадлежит ли этот файл компании Microsoft.

Файл regsvc.exe всегда расположен в директории C:\Windows\System32. 2. В других каталогах под именем regsvc.exe может скрываться троян, вирус или сетевой червь. Наиболее известные злонамеренные программы, скрываются под именем системного процесса regsvc.exe – Troj/Cloner, Troj/Dropper-BA и шпионская программа Ace Spy. В этом случае злонамеренный процесс должен быть немедленно завершен.

Shu_b
20.04.2006, 07:34
alg.exe (Application Layer Gateway Service)

alg.exe – служба операционной системы Microsoft Windows. Она является ядром для Microsoft Windows Internet Connection sharing и Internet connection firewall. Также эту службу используют некоторые сторонние межсетевые экраны. В случае завершения работы этой службы, у вас пропадет доступ в сеть Интернет до перезагрузки компьютера.

Файл alg.exe всегда расположен в директории C:\Windows\System32. В других каталогах под именем alg.exe может скрываться троян, вирус или сетевой червь. Наиболее известные злонамеренные программы, скрываются под именем системного процесса alg.exe – W32.Petch, сетевой червь Worm.Fagot и шпионская программа Trojan.Ourxin. В этом случае злонамеренный процесс должен быть немедленно завершен.

Shu_b
20.04.2006, 07:35
hh.exe (Microsoft Windows Help)

hh.exe – утилита операционной системы Microsoft Windows, которая вызывается при нажатии клавиши помощи. Процесс не является критическим и его завершение не влияет на стабильность работы системы.

Файл hh.exe всегда расположен в папке /winroot/. В случае, если вы обнаружили файл в любом другом каталоге, он должен быть немедленно удален. В настоящее время известно несколько вирусов (например W32.Dexec), использующих имя hh.exe для скрытия своей активности в системе.

Shu_b
20.04.2006, 07:36
cidaemon.exe (Microsoft Indexing Service)

Процесс в операционных системах Microsoft Windows, который отвечает за индексацию файлов на вашем компьютере для последующего быстрого поиска необходимой информации. В некоторых случаях он может значительно загружать ресурсы центрального процессора. Однако так как процесс всегда запущен с низким приоритетом, он не сильно влияет на снижение производительности системы в целом. В системе могут быть запущены несколько процессов с именем cidaemon.exe – каждый процесс обслуживает отдельный индексный каталог на системе.

Файл всегда расположен в каталоге C:\WINDOWS\system32\cidaemon.exe. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько сетевых червей (VBS.Ypsan и VBS.Spiltron) использующих имя cidaemon.exe для сокрытия своего присутствия в системе.

Shu_b
20.04.2006, 07:37
Internat.exe (loads the different input locales)

Процесс Internat.exe выполняется при запуске и загружает поддержку языковых модулей, указанных пользователем. Загружаемые языковые модули указываются в следующем разделе системного реестра:

[HKEY_USERS.DEFAULTKeyboard LayoutPreload]

Internat.exe загружает значок "EN" в системный трей, позволяя пользователю быстро переключатся между языками. Этот значок исчезает, когда процесс останавливается, дополнительную настройку при этом можно выполнить с помощью панели управления.
Языковые настройки для системы загружаются в следующем разделе реестра:

HKEY_USERS\.DEFAULT\Keyboard Layout\Preload

Эти языки используются системными службами, запущенными под учетной записью Local System или когда пользователь не вошел в систему (например, в диалоговом окне входа в систему).

Файл Internat.exe всегда расположен в каталоге C:\Windows\System32. В случае если вы обнаружили файл с таким именем в другом каталоге, его необходимо немедленно удалить. В настоящее время известно несколько десятков вирусов, использующих имя Internat.exe для скрытия своего присутствия в системе.

Shu_b
20.04.2006, 07:38
dllhost.exe (Microsoft DCOM DLL Host Process)

Программа отвечает за обработку COM+ процессов в Internet Information Services (IIS) и других программах. Например, ее использует .NET Runtime. В системе может быть загружено несколько процессов с именем DLLhost.exe.

Файл с dllhost.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя DLLhost.exe для скрытия своей активности в системе.

Shu_b
20.04.2006, 07:38
Kernel32.dll

Файл Kernel32.dll отвечает за обработку памяти, операций ввода-вывода и прерываний в операционных системах Windows. При запуске Windows, kernel32.dll загружается в защищенную область памяти.

Пользователи часто видят ошибку "invalid page fault" . Это происходит когда программа или приложение пытается получить доступ к защищенной памяти kernel32.dll процесса. Часто такая ошибка вызывается одной определенной программой, но в некоторых случаях ошибка может возникать при запуске нескольких программ.

Файл с Kernel32.dll всегда расположен в папке C:\Windows\ (windows 98/Me) или c:\windows\system32 (Windows XP/2000/2003). В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя Kernel32.dll для скрытия своей активности в системе.

Shu_b
20.04.2006, 07:39
gator - gator.exe

gator.exe – процесс, принадлежащий рекламной программе Claria от Claria Corporation. Этот процесс контролирует активность браузера и посылает собранные данные на сервер автора для последующего анализа. Программа также периодически отображает рекламные окна. Программа представляет высокую угрозу персональным данным и должна быть немедленно удалена с вашего компьютера.

Shu_b
20.04.2006, 07:40
a006.exe (Adware.W32.Claria)

a006*.exe – процесс обслуживающий рекламную программу Claria от Claria Corporation. Этот процесс контролирует активность браузера и посылает данные на сервер Claria для анализа. Также этот процесс периодически отображает рекламный баннер в виде popup окна. Программа представляет высокий риск для безопасности системы и должна быть немедленно удалена.

Shu_b
20.04.2006, 07:41
VERCLSID.EXE

Новый файл в операционной системе Microsoft Windows, устанавливающийся с патчем MS06-015.

Процесс VERCLSID.EXE проверяет расширения оболочки перед тем как они пропишутся в Windows Shell или Windows Explorer. На некоторых компьютерах VERCLSID.EXE перестает отвечать на запросы пользователей. Проблема присутствует в системах, в которых установлены некоторые программы для работы с принтерами, сканерами и фотоаппаратами Hewlett-Packard. Также известно о конфликте с Kerio Personal Firewall. Возможны также конфликты с другими программами.

ДЛя временного решения проблемы рекомендуется выполнить следующие действия:

* Войти на компьютер под административной учетной записью
* Зайти в редактор реестра (пуск-запустить-regedit) и найти ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Shell Extensions\Cached.
* Создать следующий ключ реестра нажав правой клавишей мышки на "Cached" и выбрав создать новое "DWORD" значение реестра. Затем набрать:

{A4DF5659-0801-4A60-9607-1C48695EFDA9} {000214E6-0000-0000-C000-000000000046} 0x401
* Установить значение этого ключа к 1.
* Закрыть редактор реестра.
* Завершить работу процесса Verclsid.exe (используя диспетчер задач) или перезапустить компьютер

Shu_b
21.04.2006, 10:35
spoolsv.exe

spoolsv.exe – отвечает за обработку процессов печати на локальном компьютере в операционных системах Microsoft Windows. В случае завершения процесса spoolsv.exe, локальный пользователь не сможет распечатывать задания на локальном принтере.

Файл spoolsv.exe всегда расположен в C:\Windows\System32 директории. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов (например Backdoor.Ciadoor.B, VBS.Masscal.Worm, Hacktool.Privshell и другие), использующих имя spoolsv.exe для сокрытия своего присутствия в системе.

Shu_b
21.04.2006, 10:35
Ctfmon.exe

Ctfmon.exe управляет технологиями альтернативного ввода данных. Он запускает языковую панель (в Systray) и продолжает работать в фоновом режиме даже после закрытия всех программ пакета Office XP. Кроме того, он запускается каждый раз при загрузке Windows и работает в фоновом режиме, независимо от того, запускались ли программы Office XP.

Программа Ctfmon.exe активирует процессор текстового ввода (TIP) компонента «Альтернативный ввод данных» и языковую панель Microsoft Office. Программа производит мониторинг активных окон и предоставляет поддержку клавиатуры, перевода, распознавания речи и рукописных символов, а также других технологий альтернативного ввода данных. Удалять Ctfmon.exe не рекомендуется, потому что это может вызвать проблемы в работе программ пакета Office XP.

Файл Ctfmon.exe всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов (например W32.Snow.A, Spyware.UltraKeylogger, Trojan.Satiloler и другие), использующих имя spoolsv.exe для сокрытия своего присутствия в системе.

Shu_b
21.04.2006, 10:36
ASPNET_WP.exe (Microsoft asp.net)

Процесс aspnet_wp.exe используется в большинстве служб и программ, использующих технологию ASP.Net. Если вы используете ASP.Net, то процесс всегда должен быть запущен, в противном случае вы можете завершить процесс для освобождения системных ресурсов.

Файл agentsvr.exe всегда расположен в c:\windows\Microsoft.NET\Framework\v1.1.4322. . В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов( например [email protected], [email protected] и другие), использующих имя ASPNET_WP.exe для сокрытия своего присутствия в системе.

Shu_b
21.04.2006, 10:38
agentsvr.exe (Microsoft Agent Server)

Процесс agentsvr.exe используется в некоторых мультимедиа приложениях и Web страницах. Программа является ActiveX компонентой и используется программистами для реализации функций анимации, распознавания голоса и преобразования текста в голос (text-to-speech). Завершение работы программы не влияет на стабильность системы.

Файл agentsvr.exe всегда расположен в c:\windows\msagent\. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов( например W32/Bagle-AA, W32/Agobot-RU, W32/Mytob-LC и другие), использующих имя agentsvr.exe для сокрытия своего присутствия в системе.

Shu_b
21.04.2006, 10:39
Actmovie.exe

Actmovie.exe – программа используется операционной системой Microsoft Windows для отображения некоторых типов видео и графических файлов с именем ASF (Activemovie Streaming Format). Программа не является критическим процессом, но ее могут использовать другие приложения (например, хранители экрана). Завершение работы программы не влияет на стабильность системы.

Файл Actmovie.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов, например W32.Gubed, использующих имя Actmovie.exe для сокрытия своего присутствия в системе.

Shu_b
24.04.2006, 08:00
ccmexec.exe (Systems Management Server Host)

Процесс ccmexec.exe используется системной службой Microsoft Systems Management Server (SMS). Файл отвечает за установку обновлений к различным программам на сетевых компьютерах. Если компьютер находится в корпоративной сети, необходимо уточнить у системного администратора необходимость работы этого процесса на вашем компьютере.

Файл ccmexec.exe всегда расположен в каталоге c:/winnt/system32/ccm/. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время не известно о существовании вирусов, использующих имя ccmexec.exe для сокрытия своего присутствия в системе.

Shu_b
24.04.2006, 08:01
csrss.exe

CSRSS.EXE – часть пользовательской Win32 подсистемы. SRSS - сокращение от "client/server run-time subsystem" (клиент/серверная подсистема). csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS.

Файл csrss.exe всегда расположен в каталоге C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько десятков вирусов (например Trojan.Webus, W32.Dalbug.Worm, Spyware.LoverSpy и множество других), использующих имя csrss.exe для сокрытия своего присутствия в системе.

Shu_b
24.04.2006, 08:01
WINLOGON.EXE

WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.

Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов (например [email protected], Spyware.CMKeyLogger, W32/Netsky-D и множество других), использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.

Shu_b
24.04.2006, 09:38
cisvc.exe

Процесс cisvc.exe (Microsoft Index Service Helper) контролирует использование памяти процессом CIDAEMON.exe и предотвращает проблемы, связанные с нехваткой памяти. Не рекомендуется завершать работу процесса, если вы используете службу индексации на локальном компьютере.

Файл cisvc.exe всегда расположен в каталоге C:\Windows\System32\. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов (например, [email protected], [email protected], W32.HLLW.Gaobot.EE и другие), использующих имя csrss.exe для сокрытия своего присутствия в системе.

PavelA
24.04.2006, 15:41
Описание процессов и маскирующихся по них вирусов (на англ.)
http://www.answersthatwork.com

Shu_b
03.05.2006, 09:47
Процесс dmadmin.exe отвечает за администрирования логических дисков в операционной системе Microsoft Windows. Процесс запускается каждый раз, когда вы добавляете или изменяете дисковые партиции. Dmadmin является системным файлом Windows и всегда расположен в системном каталоге.

Также имя dmadmin.exe используют несколько программ, не влияющих на безопасность компьютера. В этом случае файл может находится в установочной директории такой программы. В настоящее время известно о трех вирусах, использующих имя dmadmin для сокрытия своего присутствия в системе. Это [email protected], [email protected] и [email protected]

Shu_b
03.05.2006, 09:48
cabinet.dll (Microsoft Cabinet File API) - файл обеспечивает API при работе с Cabinet (.cab) файлами. Файл необходим для стабильной работы Windows и его отсутствие может повлиять на работу операционной системы.

Файл всегда расположен в каталоге c:\windows\system32\. В настоящее время известно о существовании нескольких вирусов ([email protected], Spyware.CMKeyLogger и Spyware.KGBSp), использующих файл cabinet.dll. В этом случае такой файл должен быть незамедлительно удален.

Shu_b
03.05.2006, 09:49
ACCWIZ.EXE (Microsoft Accessibility Wizard Module) процесс, который использует Мастер Специальных Возможностей. Мастер помогает настроить Windows для людей с нарушением зрения, слуха и подвижности.

Файл ACCWIZ.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее не известно о наличии вредоносных программ, использующих имя ACCWIZ.EXE.

Shu_b
03.05.2006, 09:50
Append.exe – программа в операционной системе Microsoft Windows, позволяющая пользователю открыть файлы в определенной директории как будто он их открыл в текущей директории.

Файл Append.exe всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть немедленно удален. В настоящее известно о существовании нескольких вирусов, например W32/Agobot-NQ, W32/Ahker-G, W32/Indor-A, Troj/WebMoney-G и других, использующих имя Append.exe для сокрытия своего присутствия в системе.

Shu_b
03.05.2006, 09:50
AHUI.EXE (Application Compatibility User Interface) - Пользовательский интерфейс мастера совместимости приложений. Программа позволяет сделать описания выбранного приложения/процесса.

Файл AHUI.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее известно о существовании нескольких вирусов, например Troj/Bankrot-A, использующих имя AHUI.EXE для сокрытия своего присутствия в системе.

Shu_b
03.05.2006, 09:51
wmiapsrv.exe (Microsoft WMI Performance Adapter) – адаптер производительности WMI, который собирает информацию о производительности системы. Процесс используется встроенной системой мониторинга производительности в Windows. Завершение работы процесса не влияет на производительность системы.

Файл wmiapsrv.exe всегда расположен в папке c:\windows\system32. В случае если вы обнаружили файл в другом каталоге, его следует немедленно удалить. В настоящее время не известно о существовании злонамеренных программ с именем wmiapsrv.exe.

Shu_b
03.05.2006, 09:52
jusched.exe (Sun Java Update Scheduler) – программа для проверки новый версий для Sun JAVA. Программа запускается на вашем компьютере по расписанию. Отключить программу можно в панеле управления во вкладке “java Plug In”, сняв галочку "check for updates automatically".

Программа не влияет на безопасность вашей системы или приватных данных. В настоящее время не известно о существовании злонамеренных программ с именем Jusched.exe.

Shu_b
03.05.2006, 09:53
Mdm.exe (Machine Debug Manager) – используется Windows NT Option Pack и Microsoft Developer Studio чтобы обеспечить функции отладки приложений. Программа в старых версиях Windows запускалась с запуском Interner Explorer 4.0. В Windows 2000/XP/2003 программа запускается как системная служба при старте компьютера.

Программа всегда расположена в каталоге %winroot%\system32\. В случае обнаружения файла с таким именем в другом каталоге, он должен быть немедленно удален. Например трояны Backdoor.Binghe и Backdoor.Doly, сетевые черви W32.Petch и [email protected], шпионская программа Adware.Findwhatever используют имя Mdm.exe для сокрытия своего присутствия в системе.

Shu_b
03.05.2006, 09:54
nvsvc32.exe (NVIDIA Driver Helper Service) – процесс, использующийся драйверами NVIDIA. Процесс не является критическим и может быть остановлен в любое время. Работа этого процесса никак не влияет на работу драйверов для видеокарт.

Файл всегда расположен в c:\windows\system32\. В случае обнаружения файла с таким именем в другом каталоге, он должен быть немедленно удален. В настоящее время известно о существовании нескольких вирусов, распространяющихся под именем nvsvc32.exe

Matias
19.03.2008, 16:48
Mdm.exe (Machine Debug Manager)
Программа всегда расположена в каталоге %winroot%\system32\. В случае обнаружения файла с таким именем в другом каталоге, он должен быть немедленно удален.
Информация о местоположении программы неточна. На самом деле программа должна находится в каталоге %programfilescommon%\Microsoft Shared\\MDM.EXE (информация взята с processlibrary.com)

PavelA
19.03.2008, 17:29
Можно поспорить ;) В 2000-ке лежит там, где написал Shu_b

Numb
19.03.2008, 18:31
Информация о местоположении программы неточна. На самом деле программа должна находится в каталоге %programfilescommon%\Microsoft Shared\\MDM.EXE (информация взята с processlibrary.com)
Насколько я понимаю, в случае, если на машине установлена MS Visual Studio, действительно будет доступен еще mdm.exe по пути: %programfiles%\Common Files\Microsoft Shared\VS[номер версии]Debug.

PavelA
19.03.2008, 18:49
Правильно. Он будет в двух местах.

ed13
20.03.2008, 01:39
Shu_b, большое спасибо! Очень полезный материал...

pteza
07.07.2010, 19:13
у меня зависает комп когда пробую запустить команду (см. пост 15)(Эта команда загружает в плоттер изображения для печати), з после того как в Диспетчере задач выключаю этот процесс, всё приходит в порядок. Значит, это не вирус, описанный в help, а значит делаем что сказано в посте 15. Так?

pteza
08.07.2010, 21:09
Делаем как в посте 15. Однако после 4 пункта появляется сообщение:"Редактор реестра не удается переименовать "новый параметр #1" Параметр с заданным именем уже существует. Введите другое имя и повторите попытку". Поэтому я не могу установить значение ключа 1.(пункт 5). Как тогда надо сделать. Комп зависает по-прежнему, когда есть попытка открыть этот процесс.

pig
08.07.2010, 21:58
Значит, надо не создавать новый параметр, а редактировать существующий.