Программы, сервисы, процессы в Windows XP
Процессуарий

Для многих пользователей Windows XP живёт своей собственной жизнью, и их мало интересует, какие скрытые процессы в ней запущены. А между тем, есть ли смысл в фоновой программе или сервисе, если вы его не используете? Зачем тратить на него процессорное время и память? Не стоит ли поинтересоваться, не запущен ли на вашем ПК новый троян или spyware? Как вообще разобраться, что это грузит систему на 100%?

Стандартное средство для контроля за запущенными программами — Task Manager (Диспетчер задач Windows) — хорош только тем, что всегда под рукой, и его легко запустить комбинацией клавиш CTRL-ALT-DEL, что порой является единственным вариантом, если, например, намертво повисла оболочка системы. Но информации он даёт самый минимум — и в окне Applications (Приложения), отвечающем за пользовательские программы, и в Processes (Процессы), отображающем в том числе и скрытые сервисы, по каждому процессу можно узнать только имя исполняемого файла, в каком контексте он запущен (то есть с какими правами — пользователя, системы и так далее), сколько потребляет памяти и ресурсов процессора. Если же вы захотите, например, понять, что же это такое — lsass.exe, то помощи от него не ждите. Ещё более сложный вариант — отличить lsass.exe — системный процесс Local Security Authority Subsystem Service — от скрывающегося под таким же именем, но в другой папке, вируса Email-Worm.Win32.Mydoom.l — даже не рассматривается.

Поэтому для того, чтобы получить максимум информации о запущенных программах и получить при этом полный контроль над ними, придется позаботиться о сторонних диспетчерах задач.

Программы

Самой продвинутой программой для контроля за процессами на сегодня является TaskInfo [1]. Она выдаёт массу информации по каждой программе, но нас интересует в первую очередь то, что отображается на вкладке General в правой нижней части её окна при выделении какого-то процесса. А отображаются там такие полезнейшие вещи, как:

команда, которой запущен процесс
часто главнейшую роль играет не столько исполняемый файл, сколько аргумент командной строки;
путь к исполняемому файлу
так можно выявлять вирусы, притворяющиеся легитимными программами;
процесс, который запустил данную программу
также важно для выявления «левого» софта, например, процессы, запущенные Internet Explorer, должны привлекать повышенное внимание.

Ещё одна удобнейшая функция программы — команда Google Process в контекстном меню процесса. «Отгугленный» с ее помощью непонятный процесс перестанет быть для вас секретом, поскольку именно так запускается Интернет-поиск по названию выбранного файла.

Несколько проще программа WinTasks Pro [2], но, возможно, из-за этого она покажется многим удобнее — в одной строке отображается и название программы, и путь к её файлу на диске, и данные об использовании памяти и процессора. А чуть ниже — справка по каждому процессу, причём программа уже знает практически все системные программы, идущий с драйверами сопутствующий софт и даже многие популярные прикладные программы. И она не просто даёт вам название, но, самое главное, растолковывает — для чего каждый процесс служит. Описание короткое, но для того, чтобы понять, нужна вам эта программа или нет, его достаточно. Например, в нашей тестовой системе из 46 запущенных процессов программа не распознала только 6, в частности архиватор PowerArchiver и утилиты, идущие с драйвером SoundMAX. А вот PuntoSwitcher программа знает, как знает она и софт от Widcomm и ATI. По каждой известной программе WinTasks даёт рекомендацию — насколько безопасно её закрыть, например, по утилите cli.exe, она честно пишет, что поставил её в систему драйвер ATI Catalyst, что служит она для доступа через иконку в системном трее к настройкам драйвера, что её отключение производится по усмотрению пользователя и вреда не несёт.

Немало у программы и других сопутствующих функций — начиная от проверки в интернете обновлений выбранного файла и заканчивая управлением автозагрузкой. Но если поиск обновлений — это действительно интересно, то другие функции конкурирующие программы выполняют лучше — тот же TaskInfo даёт больше информации, а SysInternals Autoruns [3] более продвинут по части управления загрузкой программ и драйверов. Есть, правда, ещё одна фича — блокировка приложений, которые вы подозреваете в деструктивной деятельности — это полезно в том случае, если вы пытаетесь закрыть какого-нибудь шпиона, а он сам собой опять запускается.

Онлайн-справочники по процессам

Ни одна программа, конечно, не сможет вместить в себя всю информацию по всем встречающимся в природе процессам. Но помимо Google её может предоставить и специализированная онлайн-энциклопедия, например, такая как ProcessLibrary.com [4]. На этом сайте вы можете ввести в стандартное окно поиска имя обнаруженной в автозагрузке непонятной программы (или найти в разбитом по алфавиту каталоге) и получить по ней всё, что необходимо для решения её дальнейшей судьбы (есть информация даже по некоторым dll-библиотекам):

имя исполняемого файла:
в нашем примере пусть будет lsass.exe
официальное название процесса:
Local Security Authority Service
назначение процесса:
lsass.exe — системный процесс механизма безопасности Windows, отвечает за локальные политики безопасности и авторизации. Программа важна для стабильной и безопасной работы системы и не может быть закрыта.
специальные замечания:
lsass.exe может также быть процессом, известным как троянский вирус. Этот троян позволяет злоумышленникам получать доступ к вашему ПК, похищать пароли и персональные данные. В этом случае необходимо немедленное удаление. Под именем lsass.exe известен также downloader — программа, загружающая данные (в том числе вирусы и spyware) из Интернета на ПК пользователя без его ведома. Также необходимо срочное удаление. В зависимости от того, законное это приложение или вирус, файл располагается в разных директориях.
рекомендация:
Local Security Authority Service отключать нельзя, он необходим другим программам для корректной работы.
разработчик файла:
Microsoft Corp.
файл является частью программы:
Microsoft Windows Operating System

Далее идут дополнительные данные по процессу: является ли он вирусом, spyware, adware или трояном; сколько использует памяти, является ли системным процессом, является ли прикладной программой, работает ли в фоновом режиме, использует ли сеть и интернет.

Информация более чем исчерпывающая, особенно если учесть наличие форума, посвящённого исключительно этой проблеме — здесь можно обсудить самые неожиданные её аспекты. И заглядывайте на первую страничку сайта — там выведен весьма познавательный Топ-5 по процессам, информацию о которых чаще всего запрашивают, по наиболее опасным вирусам (имена их файлов часто очень похожи на названия системных компонентов: scvhost.exe, lsas.exe), по новым угрозам.

Сайт этот, кстати говоря, занимается продвижением утилиты WinTasks, поэтому вы везде найдёте рекламные ссылки, но делу это не мешает.

Но ограничиваться одним единственным сайтом в случае непонятных программ не стоит. Загляните ещё, например, на process.networktechs.com/lsass.exe.php [5] — по нашему lsass.exe здесь приводится информация даже в более доходчивой форме. Также даётся рекомендация, как поступать с процессом — ни в коем случае не закрывать в менеджере задач, а также указывается, что с таким же именем, но в других директориях (не в windows\system32) могут быть вирусы.

Не очень большую базу данных можно найти на сайте www.neuber.com/taskmanager/process/ [6] — но она ценна тем, что по наиболее популярным процессам приводятся многочисленные (по нескольку десятков мнений) высказывания других пользователей: опасен он или нет, что будет, если его отключить. По каждому системному процессу приводится директория, где он по умолчанию должен находиться — если процесс запущен из другого места, то это, скорее всего, вирус. Приводятся и конкретные названия вирусов, имеющих такое же имя файла, как и запрашиваемый процесс.

Типичные процессы

Посмотрим теперь, какие же процессы встречаются на компьютерах рядовых пользователей. Для примера возьмём свежеустановленную Windows XP SP2, в которой были инсталлированы все необходимые драйверы и Microsoft Office. Диспетчер задач на этой, почти чистой системе показывает наличие в памяти 28 процессов, разберёмся, что же это такое и для чего нужно:

acs.exe
Atheros Configuration Service (ACS) — сервис для настройки Wi-Fi-адаптера. Отключать не стоит.
ACU.exe
Atheros Client Utility, утилита настройки Wi-Fi-адаптера, в данной конкретной системе также необходима.
AGRSMMSG.exe
SoftModem Messaging Applet — процесс, устанавливаемый драйвером модема Agere, необходим ему для работы.
alg.exe
Application Layer Gateway Service, ключевой компонент Windows Internet Connection Sharing и Windows Firewall, обеспечивает поддержку плагинов, позволяющих сетевым протоколам работать через общий доступ к интернет-подключению и при подключении к Сети с помощью брандмауэра. Соответственно, отключать можно, если вы их не используете.
ati2evxx.exe
ATI External Event Utility EXE Module, она же — сервис Ati HotKey Poller, утилита, входящая в состав ATI Catalyst, применяется, например, для распознавания подключения внешнего монитора или телевизора, нажатия горячих клавиш. Если это не требуется, можно отключить.
BTTray.exe
Bluetooth Tray Application — один из компонентов драйверов Bluetooth от Widcomm, необходим для их работы
btwdins.exe
Bluetooth Support Server, также необходим для работы драйверов Bluetooth от Widcomm.
CLI.exe
Command Line Interface application for all ACE Components, утилита из состава ATI Catalyst, служит она для доступа через иконку в системном трее к настройкам драйвера, можно отключить, при запуске Control Center она снова загрузится в память.
csrss.exe
Client/Server Runtime Server Subsystem, часть подсистемы Win32, исполняющаяся в пользовательском режиме (в то время как Win32.sys исполняется в режиме ядра), отвечает за работу консольных окон, создание и уничтожение потоков и частично за работу 16-разрядной виртуальной среды MS-DOS. Отключать нельзя. Вирус с таким же именем — Nimda.E.
ctfmon.exe
языковая панель, индиктор, отображающий текущую раскладку клавиатуры и обеспечивающий поддержку альтернативных методов ввода. Если вместо него будете использовать Punto Switcher, то только выиграете. (Раньше индикатором являлся Internat.exe, сейчас под таким именем могут скрываться вирусы.)
eabservr.exe
Easy Access Buttons, программа Quick Launch Buttons на ноутбуках HP Compaq, отвечает за работу дополнительных кнопок.
explorer.exe
оболочка системы, отвечающая за формирование Рабочего стола и окон Проводника. Сам процесс можно перезапускать, если что-то подвисло. А можно и вообще отключать, если вы используете другую оболочку. Следует только обратить внимание на путь к файлу — Windows по умолчанию ищет explorer.exe во всех папках подряд (грубо говоря), поэтому если злоумышленник кинет в корень диска С: трояна с таким названием, то она его спокойно запустит. Хотя Рабочий стол в таком случае вы уже вряд ли получите…
lsass.exe
Local Security Authority Service, локальный сервер проверки подлинности, порождающий процесс, ответственный за проверку пользователей в службе Winlogon, отвечает за локальные политики безопасности и авторизации. Не отключать.
msiexec.exe
компонент Windows Installer, необходим для установки программ, постоянно в памяти обычно не висит, но может в ней остаться после установки какой-то программы или стартовать после перезагрузки ПК для завершения процедуры установки.
services.exe
Services Control Manager, системный процесс, отвечающий за запуск/остановку сервисов и взаимодействие с ними. Программа жизненно важна для Windows, её отключать нельзя. Под этим именем может скрываться также множество вирусов (W32/Leave.B, W32.HLLW.Kazping и так далее, но тогда они расположены в папках, отличных от System32) — будьте внимательны, этот процесс не должен запускаться через разделы RUN реестра!
SMAgent.exe
SoundMAX Service Agent, часть аудио-драйвера, его отключение не сказывается на работе звукового тракта.
SMax4.exe
SoundMAX Control Center, при его отключении просто пропадает иконка SoundMAX в системном трее.
SMax4PNP.exe
SMax4PNP MFC Application, необходим для запуска SoundMAX Control Center (Панель управления SoundMAX).
smss.exe
Session Manager Subsystem, подсистема диспетчера сеансов, ответственная за запуск сеансов пользователей, за запуск процессов Winlogon и Win32 (Csrss.exe) и за установку системных переменных. Отключать нельзя. Пример трояна — Backdoor.IRC.Flood.
spoolsv.exe
Microsoft Printer Spooler Service, спулер печати, необходим для работы принтера, отвечает за управление заданиями на печать и передачу факсимильных сообщений. Под этим именем любят также скрываться вирусы (Backdoor.Ciadoor.B, VBS.Masscal.Worm и т. д.)
svchost.exe (6 штук)
Microsoft Service Host Process, каждая из его копий отвечает за работу целого ряда сервисов, чтобы быстро посмотреть, какие сервисы она запускает, введите в командной строке tasklist /svc. Отключать ненужные сервисы следует в оснастке «Службы» Панели управления. Не должен располагаться в других папках, кроме System32 и прописываться в разделах RUN реестра! Одно из наиболее распространенных имён вирусов!
SynTPEnh.exe
утилита из состава драйвера тачпада от Synaptics, обеспечивает поддержку расширенных функций тачпада (например, назначение специальных действий на отдельные зоны тачпада)
System
системный процесс, отвечает за различные базовые функции — большинство системных потоков режима ядра исполняются от имени процесса System. Не ассоциирован с exe-файлом! Если встретите system.exe — проверьте антивирусом! Если SYSTEM будет грузить процессор на 100%, также проверяйте систему.
taskmgr.exe
собственно, сам Task Manager.
wdfmgr.exe
Windows Driver Foundation Manager, входит в состав Microsoft Windows Media Player и Service Pack 2, отвечает за новую модель драйверов, занимается, в частности, проблемами совместимости WMP с другими приложениями и внешними устройствами. Если WMP завис, попробуйте убить этот процесс. Достаточно безболезненно можно отключить в «Службах». Обратите внимание на имя файла — при перестановке букв (wdfmrg.exe) получается уже вирус.
winlogon.exe
Windows Logon Process, управляет входом пользователей в систему и выходом из неё. Отключать нельзя. Пример вируса с таким названием — W32.Netsky.D.
wscntfy.exe
Windows Security Centre Notification Process, составная часть Windows Security Center, отвечает за значок в трее. Security Center можно отключить в «Службах», если вы его не используете.
Бездействие системы
этот процесс имеет по одному потоку на каждом процессоре и его единственная задача — учитывать время, в течение которого система не занята другими потоками. В диспетчере задач можно видеть, что этому процессу, как правило, соответствует большая часть процессорного времени (то есть процессор не занят). Отключить нельзя.

Разумеется, список этот далеко не полон — все программы, которые могут оказаться в памяти без вашего ведома, перечислить невозможно, но вышеупомянутые сетевые ресурсы помогут разобраться. При просмотре же процессов в своей системе, ещё раз напоминаю, обязательно обращайте внимание на свойства каждого файла, из какой папки и кем он был запущен. Помните о мимикрии вирусов!

Сервисы

О сервисах надо говорить отдельно, поскольку в Task Manager большая их часть никак не отображена. Запустите оснастку «Панель управления» → «Администрирование → «Службы» и щёлкните два раза на заголовке «Состояние» — в результате в верхней части окна окажутся те, которые работают в вашей системе. В нашем случае их оказалось аж 48. Но далеко не все из них действительно необходимы, а некоторые даже вредны. Например, какой смысл держать запущенным сервис «Удаленный реестр»? Чтобы какой-то хороший человек из вашей локалки прописал в разделе RUN вашего реестра свой любимый кейлоггер?

Сама оснастка «Службы» уже предоставляет пользователю минимальное описание почти всех служб — кое-какие выводы по нужности того или иного сервиса можно сделать уже по ним, но лучше, конечно, опять обратиться к внешним источникам, например, программе Advanced Service Control Centre XP [7].

Запустите её и нажмите кнопку «Проверить текущее состояние» — у части служб появятся флажки. Это те, которые отключены. Чтобы удобнее было работать, лучше выбрать режим, при котором отображаются только активные службы. Теперь выбирайте первую по счёту службу без флажка — Автоматическое обновление (по умолчанию она работает), жмите правую кнопку мыши → «Помощь по службе». Запустится встроенная справка, из которой мы узнаем:

Автоматическое обновление (Automatic Updates)
Если у вас нет постоянного соединения с Интернетом, или если вы хотите контролировать всё, что делает ваш компьютер, то обновлять программное обеспечение, входящее в состав Windows XP, можно и вручную.
Значение по умолчанию в Windows XP Home:
Автоматически
Значение по умолчанию в Windows XP Pro:
Автоматически
Рекомендуемое значение:
Автоматически
Вход от имени:
Локальная система
Зависимость:
Какие службы нужны для нормального функционирования Автоматического обновления (Automatic Updates):
Никакие
Какие службы требуют Автоматическое обновление (Automatic Updates) для нормального функционирования:
Никакие

Разжёвано, как видите, практически всё, дублировать столь подробные описания здесь нет никакого смысла — даже для активных по умолчанию служб они займут слишком много места.

Единственное, стоит сказать о том, что значит «Автоматически». В Windows XP разным по важности службам по умолчанию заданы различные способы запуска.

Автоматически
Если необходимо, чтобы служба запускалась на старте системы
Вручную
служба стартует только если ее запускает пользователь или какая-то программа, которой она необходима
Отключена
Служба не стартует, пока пользователь не переключит ее в режим Вручную или Автоматически.

Advanced Service Control Centre XP, таким образом, знает состояние каждой службы по умолчанию, в результате вы получаете практически полную гарантию, что никакие эксперименты не выведут систему из строя — при небольшом старании вы всегда вернётесь в default-положение. Запоминать, что вы выключали, не нужно.

В окне со списком служб Advanced Service Control Centre XP пока только останавливает службы, не меняя режим их запуска, в результате ваши настройки сохраняются только до перезагрузки ПК, поэтому после того, как вы протестируете работоспособность своего выбора, следует вернуться к стандартному средству и выставить выбранные режимы запуска уже там (или воспользоваться неплохой утилитой ServConf [8]).

Но есть и другой способ — несколько типовых шаблонов настроек уже встроены в программу:

  • «Для всех»,
  • «Игровая»,
  • «Интернет»,
  • «Самая урезанная».

Во встроенной справке приводятся подробные описания каждой — кому они больше подходят и какие службы в них отключены. Самая оптимальная и безглючная, например, — «Для всех», а «Самая урезанная» теоретически должна давать максимальную производительность при минимальном функционале (большого эффекта, кстати, не ждите). Эти шаблоны уже влияют на настройки сервисов, и они сохраняются после перезагрузки ПК (собственно, для вступления их в силу перезагрузка необходима), по крайней мере, до применения следующего шаблона.

Учтите только, Advanced Service Control Centre XP работает исключительно со службами из состава Windows XP — то, что ставят сторонние программы и драйверы, она не видит! Поэтому вернуться в стандартную оснастку «Службы» всё же придётся — там отображается уже всё. Но, как правило, если вы увидите там сервисы сторонних проивзодителей, то отключать их не стоит — они нужны тем программам, которые нужны вам, и которые вы же сами и поставили. Хотя, и тут не без исключений — тот же ATI HotKey Poller вполне можно отключить.

Как отключать

После того как вы разобрались, что в вашей системе запускается и для чего, и выявили ненужные для себя процессы, их следует отключить — простое закрытие процесса в менеджере задач приведёт лишь к временной его дезактивации — при следующем старте ОС он снова окажется в памяти. Да и не очень это корректно — убивать процесс прямо в памяти. Например, после принудительного закрытия ctfmon.exe раскладка в Word не будет переключаться вплоть до перезагрузки ПК, несмотря на запущенный Punto.

Отключать ненужные процессы и сервисы проще всего в стандартном msconfig.exe, чуть больше контроля над сервисами дает оснастка «Службы». Здесь их можно не только отключать, но и устанавливать более безопасный для стабильности системы режим запуска «Вручную», при котором сервис может быть автоматически запущен, если вдруг понадобится какой-то программе (но не все умеют стартовать сервисы). И, наконец, максимум возможностей даёт программа Autoruns [3] — она показывает вообще все возможные способы автозагрузки программ, сервисов, драйверов и библиотек, каждую из которых включить-выключить можно одним движением мышки, сняв или поставив соответствующий флажок.




Темы