Рrocessinfo от securitylab

[Shu_b]

ccmexec.exe (Systems Management Server Host)

Процесс ccmexec.exe используется системной службой Microsoft Systems Management Server (SMS). Файл отвечает за установку обновлений к различным программам на сетевых компьютерах. Если компьютер находится в корпоративной сети, необходимо уточнить у системного администратора необходимость работы этого процесса на вашем компьютере.

Файл ccmexec.exe всегда расположен в каталоге c:/winnt/system32/ccm/. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время не известно о существовании вирусов, использующих имя ccmexec.exe для сокрытия своего присутствия в системе.

[Shu_b]

csrss.exe

CSRSS.EXE – часть пользовательской Win32 подсистемы. SRSS - сокращение от "client/server run-time subsystem" (клиент/серверная подсистема). csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS.

Файл csrss.exe всегда расположен в каталоге C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько десятков вирусов (например Trojan.Webus, W32.Dalbug.Worm, Spyware.LoverSpy и множество других), использующих имя csrss.exe для сокрытия своего присутствия в системе.

[Shu_b]

WINLOGON.EXE

WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.

Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D и множество других), использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.

[Shu_b]

cisvc.exe

Процесс cisvc.exe (Microsoft Index Service Helper) контролирует использование памяти процессом CIDAEMON.exe и предотвращает проблемы, связанные с нехваткой памяти. Не рекомендуется завершать работу процесса, если вы используете службу индексации на локальном компьютере.

Файл cisvc.exe всегда расположен в каталоге C:\Windows\System32\. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов (например, VBS.Spiltron@mm, VBS.Ypsan.E@mm, W32.HLLW.Gaobot.EE и другие), использующих имя csrss.exe для сокрытия своего присутствия в системе.

[PavelA]

Описание процессов и маскирующихся по них вирусов (на англ.)
http://www.answersthatwork.com

[Shu_b]

Процесс dmadmin.exe отвечает за администрирования логических дисков в операционной системе Microsoft Windows. Процесс запускается каждый раз, когда вы добавляете или изменяете дисковые партиции. Dmadmin является системным файлом Windows и всегда расположен в системном каталоге.

Также имя dmadmin.exe используют несколько программ, не влияющих на безопасность компьютера. В этом случае файл может находится в установочной директории такой программы. В настоящее время известно о трех вирусах, использующих имя dmadmin для сокрытия своего присутствия в системе. Это VBS.Spiltron@mm, VBS.Ypsan.E@mm и VBS.Ypsan.F@mm.

[Shu_b]

cabinet.dll (Microsoft Cabinet File API) - файл обеспечивает API при работе с Cabinet (.cab) файлами. Файл необходим для стабильной работы Windows и его отсутствие может повлиять на работу операционной системы.

Файл всегда расположен в каталоге c:\windows\system32\. В настоящее время известно о существовании нескольких вирусов (W32.Blitzdung@mm, Spyware.CMKeyLogger и Spyware.KGBSp), использующих файл cabinet.dll. В этом случае такой файл должен быть незамедлительно удален.

[Shu_b]

ACCWIZ.EXE (Microsoft Accessibility Wizard Module) процесс, который использует Мастер Специальных Возможностей. Мастер помогает настроить Windows для людей с нарушением зрения, слуха и подвижности.

Файл ACCWIZ.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее не известно о наличии вредоносных программ, использующих имя ACCWIZ.EXE.

[Shu_b]

Append.exe – программа в операционной системе Microsoft Windows, позволяющая пользователю открыть файлы в определенной директории как будто он их открыл в текущей директории.

Файл Append.exe всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть немедленно удален. В настоящее известно о существовании нескольких вирусов, например W32/Agobot-NQ, W32/Ahker-G, W32/Indor-A, Troj/WebMoney-G и других, использующих имя Append.exe для сокрытия своего присутствия в системе.

[Shu_b]

AHUI.EXE (Application Compatibility User Interface) - Пользовательский интерфейс мастера совместимости приложений. Программа позволяет сделать описания выбранного приложения/процесса.

Файл AHUI.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее известно о существовании нескольких вирусов, например Troj/Bankrot-A, использующих имя AHUI.EXE для сокрытия своего присутствия в системе.

[Shu_b]

wmiapsrv.exe (Microsoft WMI Performance Adapter) – адаптер производительности WMI, который собирает информацию о производительности системы. Процесс используется встроенной системой мониторинга производительности в Windows. Завершение работы процесса не влияет на производительность системы.

Файл wmiapsrv.exe всегда расположен в папке c:\windows\system32. В случае если вы обнаружили файл в другом каталоге, его следует немедленно удалить. В настоящее время не известно о существовании злонамеренных программ с именем wmiapsrv.exe.

[Shu_b]

jusched.exe (Sun Java Update Scheduler) – программа для проверки новый версий для Sun JAVA. Программа запускается на вашем компьютере по расписанию. Отключить программу можно в панеле управления во вкладке “java Plug In”, сняв галочку "check for updates automatically".

Программа не влияет на безопасность вашей системы или приватных данных. В настоящее время не известно о существовании злонамеренных программ с именем Jusched.exe.

[Shu_b]

Mdm.exe (Machine Debug Manager) – используется Windows NT Option Pack и Microsoft Developer Studio чтобы обеспечить функции отладки приложений. Программа в старых версиях Windows запускалась с запуском Interner Explorer 4.0. В Windows 2000/XP/2003 программа запускается как системная служба при старте компьютера.

Программа всегда расположена в каталоге %winroot%\system32\. В случае обнаружения файла с таким именем в другом каталоге, он должен быть немедленно удален. Например трояны Backdoor.Binghe и Backdoor.Doly, сетевые черви W32.Petch и VBS.Spiltron@mm, шпионская программа Adware.Findwhatever используют имя Mdm.exe для сокрытия своего присутствия в системе.

[Shu_b]

nvsvc32.exe (NVIDIA Driver Helper Service) – процесс, использующийся драйверами NVIDIA. Процесс не является критическим и может быть остановлен в любое время. Работа этого процесса никак не влияет на работу драйверов для видеокарт.

Файл всегда расположен в c:\windows\system32\. В случае обнаружения файла с таким именем в другом каталоге, он должен быть немедленно удален. В настоящее время известно о существовании нескольких вирусов, распространяющихся под именем nvsvc32.exe

[Matias]

Mdm.exe (Machine Debug Manager)
Программа всегда расположена в каталоге %winroot%\system32\. В случае обнаружения файла с таким именем в другом каталоге, он должен быть немедленно удален.

Информация о местоположении программы неточна. На самом деле программа должна находится в каталоге %programfilescommon%\Microsoft Shared\\MDM.EXE (информация взята с processlibrary.com)

[PavelA]

Можно поспорить В 2000-ке лежит там, где написал Shu_b

[Numb]

Информация о местоположении программы неточна. На самом деле программа должна находится в каталоге %programfilescommon%\Microsoft Shared\\MDM.EXE (информация взята с processlibrary.com)

Насколько я понимаю, в случае, если на машине установлена MS Visual Studio, действительно будет доступен еще mdm.exe по пути: %programfiles%\Common Files\Microsoft Shared\VS[номер версии]Debug.

[PavelA]

Правильно. Он будет в двух местах.

[ed13]

Shu_b, большое спасибо! Очень полезный материал...

[pteza]

у меня зависает комп когда пробую запустить команду (см. пост 15)(Эта команда загружает в плоттер изображения для печати), з после того как в Диспетчере задач выключаю этот процесс, всё приходит в порядок. Значит, это не вирус, описанный в help, а значит делаем что сказано в посте 15. Так?