12 лет назад 17 июля 2006 в 2:52 89

У многих пользователей windows xp живет своей собственной жизнью, и их мало интересует, какие скрытые процессы в ней запущены. А между тем есть ли смысл в фоновой программе или сервисе, если вы его не используете? Зачем тратить на него процессорное время и память? Может, стоит поинтересоваться, не запущен ли на вашем пк новый троян или spyware? Как вообще разобраться, что именно грузит систему на 100%?

Стандартное средство для контроля за запущенными программами – Task Manager (Диспетчер задач Windows). Он хорош только тем, что всегда под рукой и его легко запустить комбинацией клавиш Ctrl-Alt-Del – это порой является единственным вариантом (например, если намертво повисла оболочка системы). Но информации он дает самый минимум – и в окне Applications (Приложения), отвечающем за пользовательские программы, и в Processes (Процессы), отображающем в том числе и скрытые сервисы, по каждому процессу можно узнать только имя исполняемого файла, в каком контексте он запущен (то есть с какими правами – пользователя, системы и так далее), сколько потребляет памяти и ресурсов процессора.

Если же вы захотите, например, понять, что же это такое – lsass.exe, то помощи от него не ждите. Еще более сложный вариант: отличить lsass.exe – системный процесс Local Security Authority Subsystem Service от скрывающегося под таким же именем, но в другой папке, вируса Email-Worm.Win32.Mydoom.l. Поэтому для того чтобы получить максимум информации о запущенных программах и при этом полностью их контролировать, придется позаботиться о сторонних диспетчерах задач.

ПРОГРАММЫ
Самой продвинутой программой для контроля за процессами на сегодня является TaskInfo (www.iarsn.com/taskinfo.html). Она выдает массу информации по каждой программе, но нас интересует в первую очередь то, что отображается на вкладке General в правой нижней части ее окна при выделении какого-то процесса. А отображаются там такие полезнейшие вещи, как команда, которой запущен процесс (часто главнейшую роль играет не столько исполняемый файл, сколько аргумент командной строки); путь к исполняемому файлу – так можно выявлять вирусы, притворяющиеся легитимными программами; процесс, который запустил данную программу – также важно для выявления “левого” софта (например, процессы, запущенные Internet Explorer должны привлекать повышенное внимание).

Еще одна удобнейшая функция программы – команда Google Process в контекстном меню процесса. “Отгугленный” с ее помощью непонятный процесс перестанет быть для вас секретом, поскольку именно так запускается интернет-поиск по названию выбранного файла. Несколько проще программа WinTasks Pro (www.liutilities.com/products/wintaskspro), но, возможно, из-за этого она покажется многим удобнее – в одной строке отображается и название программы, и путь к ее файлу на диске, и данные об использовании памяти и процессора.

А чуть ниже – справка по каждому процессу, причем утилита уже знает практически все системные программы, идущий с драйверами сопутствующий софт и даже многие популярные прикладные программы. И она не просто дает вам название, но, самое главное, растолковывает, для чего каждый процесс служит. Описание короткое, но чтобы понять, нужна вам эта программа или нет, его достаточно. Например, в нашей тестовой системе из 46 запущенных процессов программа не распознала только 6 – архиватор PowerArchiver и утилиты, идущие с драйвером SoundMAX.

А вот PuntoSwitcher программа знает, как и софт от Widcomm и ATI. По каждой известной программе WinTasks дает рекомендацию – насколько безопасно ее закрыть. Например, по утилите cli.exe она честно пишет, что поставил ее в систему драйвер ATI Catalyst, служит она для доступа через иконку в системном трее к настройкам драйвера, отключение ее производится по желанию пользователя и вреда не несет.

Немало у программы и других сопутствующих функций – начиная с проверки в интернете обновлений выбранного файла и заканчивая управлением автозагрузкой. Но если поиск обновлений – это действительно интересно, то другие функции конкурирующие программы выполняют лучше. Тот же TaskInfo дает больше информации, а Sysinternals Autoruns (www.sysinternals.com) более продвинут по части управления загрузкой программ и драйверов. Есть, правда, еще одна фича – блокировка приложений, которые вы подозреваете в деструктивной деятельности. Это полезно в том случае, если вы пытаетесь закрыть какого-нибудь шпиона, а он сам собой опять запускается.

ОНЛАЙН-СПРАВОЧНИКИ ПО ПРОЦЕССАМ
Ни одна программа, конечно, не сможет вместить в себя всю информацию по всем встречающимся в природе процессам. Но помимо Google ее может предоставить и специализированная онлайн-энциклопедия – например, такая как www.processlibrary.com. На этом сайте вы можете ввести в стандартное окно поиска имя обнаруженной в автозагрузке непонятной программы (или найти в разбитом по алфавиту каталоге) и получить по ней все, что необходимо для решения ее дальнейшей судьбы (есть информация даже по некоторым dll-библиотекам):

– Имя исполняемого файла (в нашем примере пусть будет lsass.exe).

– Официальное название процесса: Local Security Authority Service.

– Назначение процесса: lsass.exe – системный процесс механизма безопасности Windows, отвечает за локальные политики безопасности и авторизации. Программа важна для стабильной и безопасной работы системы и не может быть закрыта.

– Специальные замечания: lsass.exe может также быть троянским вирусом, позволяющим злоумышленникам получать доступ к вашему ПК, похищать пароли и персональные данные. В этом случае необходимо немедленное удаление. Под именем lsass.exe известен также downloader – программа, загружающая данные (в том числе вирусы и spyware) из интернета на ПК пользователя без его ведома. Также необходимо срочное удаление. В зависимости от того, законное это приложение или вирус, файл располагается в разных директориях.

– Рекомендация: Local Security Authority Service отключать нельзя, он необходим другим программам для корректной работы.

– Разработчик файла: Microsoft Corp.

– Файл является частью программы: Microsoft Windows Operating System.

Далее идут дополнительные данные по процессу: является ли он вирусом, spyware, adware или трояном; сколько использует памяти, является ли системным процессом, прикладной программой, работает ли в фоновом режиме, использует ли сеть и интернет. Информация более чем исчерпывающая, особенно если учесть наличие форума, посвященного исключительно этой проблеме – здесь можно обсудить самые неожиданные ее аспекты. И заглядывайте на первую страничку сайта – там выведен весьма познавательный Топ-5 по процессам, информацию о которых чаще всего запрашивают, по наиболее опасным вирусам (имена их файлов часто очень похожи на названия системных компонентов: scvhost.exe, lsas.exe) и по новым угрозам.

Сайт этот, кстати говоря, занимается продвижением утилиты WinTasks, поэтому вы везде найдете рекламные ссылки, но делу это не мешает. Ограничиваться одним единственным сайтом в случае непонятных программ не стоит. Загляните еще, например, на process.networktechs.com/lsass.exe.php – по нашему lsass.exe здесь приводится информация даже в более доходчивой форме. Также дается рекомендация, как поступать с процессом (ни в коем случае не закрывать в менеджере задач), а также указывается, что с таким же именем, но в других директориях (не в windows\system32) могут быть вирусы.

Не очень большую базу данных можно найти на сайте www.neuber.com/taskmanager/process/index.html – но она ценна тем, что по наиболее популярным процессам приводятся многочисленные (по несколько десятков) высказывания других пользователей: опасен он или нет, что будет, если его отключить. Для каждого системного процесса указывается директория, где он по умолчанию должен находиться – если процесс запущен из другого места, то это, скорее всего, вирус. Приводятся и конкретные названия вирусов, имеющих такое же имя файла, как и запрашиваемый процесс.

ТИПИЧНЫЕ ПРОЦЕССЫ
Посмотрим теперь, какие же процессы встречаются на компьютерах рядовых пользователей. Для примера возьмем свежеустановленную Windows XP SP2, в которой были инсталлированы все необходимые драйверы и Microsoft Office. Диспетчер задач на этой, почти чистой системе показывает наличие в памяти 28 процессов. Разберемся, что же это такое и для чего нужно.

– acs.exe – Atheros Configuration Service (ACS) – сервис для настройки Wi-Fi-адаптера. Отключать не стоит.

– ACU.exe – Atheros Client Utility – утилита настройки Wi-Fi-адаптера, в данной конкретной системе также необходима.

– AGRSMMSG.exe – SoftModem Messaging Applet – процесс, устанавливаемый драйвером модема Agere, необходим ему для работы.

– alg.exe – Application Layer Gateway Service – ключевой компонент Windows Internet Connection Sharing и Windows Firewall, обеспечивает поддержку плагинов, позволяющих сетевым протоколам работать через общий доступ к интернет-подключению и при подключении к Сети с помощью брандмауэра. Соответственно, отключать можно, если вы их не используете.

– ati2evxx.exe – ATI External Event Utility EXE Module, она же – сервис Ati HotKey Poller. Утилита, входящая в состав ATI Catalyst, применяется, например, для распознавания подключения внешнего монитора или телевизора, нажатия “горячих” клавиш. Если это не требуется, можно отключить.

– BTTray.exe – Bluetooth Tray Application – один из компонентов драйверов Bluetooth от Widcomm, необходим для их работы.

– btwdins.exe – Bluetooth Support Server, также необходим для работы драйверов Bluetooth от Widcomm.

– CLI.exe – Command Line Interface application for all ACE Components – утилита из состава ATI Catalyst. Служит для доступа через иконку в системном трее к настройкам драйвера, можно отключить, при запуске Control Center она снова загрузится в память.

– csrss.exe – Client/Server Runtime Server Subsystem – часть подсистемы Win32, исполняющаяся в пользовательском режиме (в то время как Win32.sys исполняется в режиме ядра), отвечает за работу консольных окон, создание и уничтожение потоков и частично за работу 16-разрядной виртуальной среды MS-DOS. Отключать нельзя. Вирус с таким же именем – Nimda.E.

– ctfmon.exe – языковая панель, индикатор, отображающий текущую раскладку клавиатуры и обеспечивающий поддержку альтернативных методов ввода. Если вместо него будете использовать Punto Switcher, то только выиграете. (Раньше индикатором являлся Internat.exe, сейчас под таким именем могут скрываться вирусы.)

– eabservr.exe – Easy Access Buttons – программа Quick Launch Buttons на ноутбуках HP Compaq, отвечает за работу дополнительных кнопок.

– explorer.exe – оболочка системы, отвечающая за формирование Рабочего стола и окон Проводника. Сам процесс можно перезапускать, если что-то подвисло. А можно и вообще отключать, если вы используете другую оболочку. Следует только обратить внимание на путь к файлу – Windows по умолчанию ищет explorer.exe во всех папках подряд (грубо говоря), поэтому если злоумышленник кинет в корень диска С: троян с таким названием, то она его спокойно запустит. Хотя Рабочий стол в таком случае вы уже вряд ли получите.

– lsass.exe – Local Security Authority Service – локальный сервер проверки подлинности, порождающий процесс, ответственный за проверку пользователей в службе Winlogon, отвечает за локальные политики безопасности и авторизации. Не отключать.

– msiexec.exe – компонент Windows Installer, необходим для установки программ, постоянно в памяти обычно не висит, но может в ней остаться после установки какой-то программы или стартовать после перезагрузки ПК для завершения процедуры установки.

– services.exe – Services Control Manager – системный процесс, отвечающий за запуск/остановку сервисов и взаимодействие с ними. Программа жизненно важна для Windows, ее отключать нельзя. Под этим именем может скрываться также множество вирусов (W32/Leave.B, W32.HLLW.Kazping и так далее, но тогда они расположены в папках, отличных от System32). Будьте внимательны, этот процесс не должен запускаться через разделы RUN реестра!

– SMAgent.exe – SoundMAX Service Agent – часть аудиодрайвера, его отключение не сказывается на работе звукового тракта.

– SMax4.exe – SoundMAX Control Center, при его отключении просто пропадает иконка SoundMAX в системном трее.

– SMax4PNP.exe – SMax4PNP MFC Application – необходим для запуска SoundMAX Control Center (Панель управления SoundMAX).

– smss.exe – Session Manager Subsystem – подсистема диспетчера сеансов, ответственная за запуск сеансов пользователей, за запуск процессов Winlogon и Win32 (Csrss.exe) и за установку системных переменных. Отключать нельзя. Пример трояна – Backdoor.IRC.Flood.

– spoolsv.exe – Microsoft Printer Spooler Service – спулер печати, необходим для работы принтера, отвечает за управление заданиями на печать и передачу факсимильных сообщений. Под этим именем любят также скрываться вирусы (Backdoor.Ciadoor.B, VBS.Masscal.Worm и т. д.).

– svchost.exe (6 штук) – Microsoft Service Host Process – каждая из его копий отвечает за работу целого ряда сервисов. Чтобы быстро посмотреть, какие сервисы она запускает, введите в командной строке tasklist /svc. Отключать ненужные сервисы следует в оснастке “Службы” Панели управления. Не должен располагаться в других папках, кроме System32, и прописываться в разделах RUN реестра! Одно из наиболее распространенных имен вирусов!

– SynTPEnh.exe – утилита из состава драйвера тачпада от Synaptics, обеспечивает поддержку расширенных функций тачпада (например, назначение специальных действий на отдельные зоны тачпада).

– System – системный процесс, отвечает за различные базовые функции – большинство системных потоков режима ядра исполняются от имени процесса System. Не ассоциирован с EXE-файлом! Если встретите system.exe – проверьте антивирусом! Если SYSTEM будет грузить процессор на 100%, также проверяйте систему.

– taskmgr.exe – собственно, сам Task Manager.

– wdfmgr.exe – Windows Driver Foundation Manager – входит в состав Microsoft Windows Media Player и Service Pack 2, отвечает за новую модель драйверов, занимается, в частности, проблемами совместимости WMP с другими приложениями и внешними устройствами. Если WMP завис, попробуйте убить этот процесс. Достаточно безболезненно его можно отключить в “Службах”. Обратите внимание на имя файла – при перестановке букв (wdfmrg.exe) получается вирус.

– winlogon.exe – Windows Logon Process – управляет входом пользователей в систему и выходом из нее. Отключать нельзя. Пример вируса с таким названием – W32.Netsky.D.

– wscntfy.exe – Windows Security Centre Notification Process – составная часть Windows Security Center, отвечает за значок в трее. Security Center можно отключить в “Службах”, если вы его не используете.

– Бездействие системы – этот процесс имеет по одному потоку на каждом процессоре, и его единственная задача — учитывать время, в течение которого система не занята другими потоками. В диспетчере задач можно видеть, что этому процессу, как правило, соответствует большая часть процессорного времени (то есть процессор не занят). Отключить нельзя. Разумеется, список этот далеко не полон – все программы, которые могут оказаться в памяти без вашего ведома, перечислить невозможно, но вышеупомянутые сетевые ресурсы помогут разобраться. При просмотре же процессов в своей системе еще раз напоминаю: обязательно обращайте внимание на свойства каждого файла, из какой папки и кем он был запущен. Помните о мимикрии вирусов!

СЕРВИСЫ
О сервисах надо говорить отдельно, поскольку в Task Manager большая их часть никак не отображена. Запустите оснастку “Панель управления” – “Администрирование” – “Службы” и щелкните два раза на заголовке “Состояние”. В результате в верхней части окна окажутся те, которые работают в вашей системе. В нашем случае их оказалось аж 48. Но далеко не все они действительно необходимы, а некоторые даже вредны. Например, какой смысл держать запущенным сервис “Удаленный реестр”? Чтобы какой-то хороший человек из вашей локалки прописал в разделе RUN вашего реестра свой любимый кейлоггер? Сама оснастка “Службы” уже предоставляет пользователю минимальное описание почти всех служб – кое-какие выводы о необходимости того или иного сервиса можно сделать уже по ним. Но лучше, конечно, опять обратиться к внешним источникам – например, программе Advanced Service Control Centre XP (soft.oszone.net/program/656/Advanced_Service_Control_Center_XP_beta).

Запустите ее и нажмите кнопку “Проверить текущее состояние” – у части служб появятся флажки. Это те, которые отключены. Чтобы удобнее было работать, лучше выбрать режим, при котором отображаются только активные службы. Теперь выбирайте первую по счету службу без флажка – Автоматическое обновление (по умолчанию она работает), жмите правую кнопку мыши – “Помощь по службе”. Запустится встроенная справка, из которой мы узнаем следующее.

Автоматическое обновление (Automatic Updates)
Если у вас нет постоянного соединения с интернетом или если вы хотите контролировать все, что делает ваш компьютер, то обновлять программное обеспечение, входящее в состав Windows XP, можно и вручную.
Значение по умолчанию в Windows XP Home: Автоматически.
Значение по умолчанию в Windows XP Pro: Автоматически.
Рекомендуемое значение: Автоматически.
Вход от имени: Локальная система.

Зависимость:
Какие службы нужны для нормального функционирования Автоматического обновления (Automatic Updates):
– Никакие.
Какие службы требуют Автоматическое обновление (Automatic Updates) для нормального функционирования:
– Никакие.

Разжевано, как видите, практически все. Дублировать столь подробные описания здесь нет никакого смысла – даже для активных по умолчанию служб они займут слишком много места. Просто возьмите программу с нашего диска. Скажем лишь о том, что значит “Автоматически”. В Windows XP разным по важности службам по умолчанию заданы различные способы запуска – автоматически, если необходимо, чтобы служба запускалась на старте системы; вручную – служба стартует, только если ее запускает пользователь или какая-то программа, которой она необходима; отключена – служба не стартует, пока пользователь не переключит ее в режим “Вручную” или “Автоматически”. Advanced Service Control Centre XP, таким образом, знает состояние каждой службы по умолчанию. В результате вы получаете практически полную гарантию того, что никакие эксперименты не выведут систему из строя – при небольшом старании вы всегда вернетесь в default-положение. Запоминать, что вы выключали, не нужно.

В окне со списком служб Advanced Service Control Centre XP пока только останавливает службы, не меняя их режим запуска. В результате ваши настройки сохраняются только до перезагрузки ПК, поэтому после того как вы протестируете работоспособность своего выбора, следует вернуться к стандартному средству и выставить выбранные режимы запуска уже там (или воспользоваться неплохой утилитой ServConf (logic.linux8.com)).

Но есть и другой способ – несколько типовых шаблонов настроек уже встроены в программу: “Для всех”, “Игровая”, “Интернет”, “Самая урезанная”. Во встроенной справке приводятся подробные описания каждой – кому они больше подходят и какие службы в них отключены. Самая оптимальная и безглючная, например, “Для всех”, а “Самая урезанная” теоретически должна давать максимальную производительность при минимальном функционале (большого эффекта, кстати, не ждите). Эти шаблоны уже влияют на настройки сервисов, и они сохраняются после перезагрузки ПК (собственно, для их вступления в силу перезагрузка необходима), по крайней мере, до применения следующего шаблона.

Учтите только, Advanced Service Control Centre XP работает исключительно со службами из состава Windows XP – то, что ставят сторонние программы и драйверы, она не видит! Поэтому вернуться в стандартную оснастку “Службы” все же придется – там отображается уже все. Но, как правило, если вы увидите там сервисы сторонних производителей, то отключать их не стоит – они нужны тем программам, которые нужны вам и которые вы сами же и поставили. Хотя и тут не без исключений – тот же ATI HotKey Poller вполне можно отключить.

КАК ОТКЛЮЧАТЬ
После того как вы разобрались, что в вашей системе запускается и для чего, и выявили ненужные для себя процессы, их следует отключить. Простое закрытие процесса в менеджере задач приведет лишь к временной его дезактивации – при следующем старте ОС он снова окажется в памяти. Да и не очень это корректно – убивать процесс прямо в памяти. Например, после принудительного закрытия ctfmon.exe раскладка в Word не будет переключаться вплоть до перезагрузки ПК, несмотря на запущенный Punto.

Отключать ненужные процессы и сервисы проще всего в стандартном msconfig.exe, чуть больше контроля над сервисами дает оснастка “Службы”. Здесь их можно не только отключать, но и устанавливать более безопасный для стабильности системы режим запуска “Вручную”, при котором сервис может быть автоматически запущен, если вдруг понадобится какой-то программе (но не все умеют стартовать сервисы). И, наконец, максимум возможностей дает программа Autoruns (www.sysinternals.com). Она показывает вообще все возможные способы автозагрузки программ, сервисов, драйверов и библиотек, каждую из которых можно включить-выключить одним движением мышки, сняв или поставив соответствующий флажок.