Программы, сервисы, процессы в Windows XP
Процессуарий
Для многих пользователей Windows XP живёт своей собственной жизнью, и их мало интересует, какие скрытые процессы в ней запущены. А между тем, есть ли смысл в фоновой программе или сервисе, если вы его не используете? Зачем тратить на него процессорное время и память? Не стоит ли поинтересоваться, не запущен ли на вашем ПК новый троян или spyware? Как вообще разобраться, что это грузит систему на 100%?
Стандартное средство для контроля за запущенными программами — Task Manager (Диспетчер задач Windows) — хорош только тем, что всегда под рукой, и его легко запустить комбинацией клавиш Ctrl+Alt+Del, что порой является единственным вариантом, если, например, намертво повисла оболочка системы. Но информации он даёт самый минимум — и в окне Applications (Приложения), отвечающем за пользовательские программы, и в Processes (Процессы), отображающем в том числе и скрытые сервисы, по каждому процессу можно узнать только имя исполняемого файла, в каком контексте он запущен (то есть с какими правами — пользователя, системы и так далее), сколько потребляет памяти и ресурсов процессора. Если же вы захотите, например, понять, что же это такое — lsass.exe
, то помощи от него не ждите. Ещё более сложный вариант — отличить lsass.exe
— системный процесс Local Security Authority Subsystem Service — от скрывающегося под таким же именем, но в другой папке, вируса Email-Worm.Win32.Mydoom.l — даже не рассматривается.
Поэтому для того, чтобы получить максимум информации о запущенных программах и получить при этом полный контроль над ними, придется позаботиться о сторонних диспетчерах задач.
Программы
Самой продвинутой программой для контроля за процессами на сегодня является TaskInfo [1]. Она выдаёт массу информации по каждой программе, но нас интересует в первую очередь то, что отображается на вкладке General в правой нижней части её окна при выделении какого-то процесса. А отображаются там такие полезнейшие вещи, как:
- команда, которой запущен процесс
- часто главнейшую роль играет не столько исполняемый файл, сколько аргумент командной строки;
- путь к исполняемому файлу
- так можно выявлять вирусы, притворяющиеся легитимными программами;
- процесс, который запустил данную программу
- также важно для выявления «левого» софта, например, процессы, запущенные Internet Explorer, должны привлекать повышенное внимание.
Ещё одна удобнейшая функция программы — команда Google Process в контекстном меню процесса. «Отгугленный» с ее помощью непонятный процесс перестанет быть для вас секретом, поскольку именно так запускается Интернет-поиск по названию выбранного файла.
Несколько проще программа WinTasks Pro [2], но, возможно, из-за этого она покажется многим удобнее — в одной строке отображается и название программы, и путь к её файлу на диске, и данные об использовании памяти и процессора. А чуть ниже — справка по каждому процессу, причём программа уже знает практически все системные программы, идущий с драйверами сопутствующий софт и даже многие популярные прикладные программы. И она не просто даёт вам название, но, самое главное, растолковывает — для чего каждый процесс служит. Описание короткое, но для того, чтобы понять, нужна вам эта программа или нет, его достаточно. Например, в нашей тестовой системе из 46 запущенных процессов программа не распознала только 6, в частности архиватор PowerArchiver и утилиты, идущие с драйвером SoundMAX. А вот Punto Switcher программа знает, как знает она и софт от Widcomm и ATI. По каждой известной программе WinTasks даёт рекомендацию — насколько безопасно её закрыть, например, по утилите cli.exe
, она честно пишет, что поставил её в систему драйвер ATI Catalyst, что служит она для доступа через иконку в системном трее к настройкам драйвера, что её отключение производится по усмотрению пользователя и вреда не несёт.
Немало у программы и других сопутствующих функций — начиная от проверки в интернете обновлений выбранного файла и заканчивая управлением автозагрузкой. Но если поиск обновлений — это действительно интересно, то другие функции конкурирующие программы выполняют лучше — тот же TaskInfo даёт больше информации, а SysInternals Autoruns [3] более продвинут по части управления загрузкой программ и драйверов. Есть, правда, ещё одна фича — блокировка приложений, которые вы подозреваете в деструктивной деятельности — это полезно в том случае, если вы пытаетесь закрыть какого-нибудь шпиона, а он сам собой опять запускается.
Онлайн-справочники по процессам
Ни одна программа, конечно, не сможет вместить в себя всю информацию по всем встречающимся в природе процессам. Но помимо Google её может предоставить и специализированная онлайн-энциклопедия, например, такая как ProcessLibrary.com [4]. На этом сайте вы можете ввести в стандартное окно поиска имя обнаруженной в автозагрузке непонятной программы (или найти в разбитом по алфавиту каталоге) и получить по ней всё, что необходимо для решения её дальнейшей судьбы (есть информация даже по некоторым dll-библиотекам):
- имя исполняемого файла:
- в нашем примере пусть будет
lsass.exe
- официальное название процесса:
- Local Security Authority Service
- назначение процесса:
lsass.exe
— системный процесс механизма безопасности Windows, отвечает за локальные политики безопасности и авторизации. Программа важна для стабильной и безопасной работы системы и не может быть закрыта.- специальные замечания:
lsass.exe
может также быть процессом, известным как троянский вирус. Этот троян позволяет злоумышленникам получать доступ к вашему ПК, похищать пароли и персональные данные. В этом случае необходимо немедленное удаление. Под именемlsass.exe
известен также downloader — программа, загружающая данные (в том числе вирусы и spyware) из Интернета на ПК пользователя без его ведома. Также необходимо срочное удаление. В зависимости от того, законное это приложение или вирус, файл располагается в разных директориях.- рекомендация:
- Local Security Authority Service отключать нельзя, он необходим другим программам для корректной работы.
- разработчик файла:
- Microsoft Corp.
- файл является частью программы:
- Microsoft Windows Operating System
Далее идут дополнительные данные по процессу: является ли он вирусом, spyware, adware или трояном; сколько использует памяти, является ли системным процессом, является ли прикладной программой, работает ли в фоновом режиме, использует ли сеть и интернет.
Информация более чем исчерпывающая, особенно если учесть наличие форума, посвящённого исключительно этой проблеме — здесь можно обсудить самые неожиданные её аспекты. И заглядывайте на первую страничку сайта — там выведен весьма познавательный Топ-5 по процессам, информацию о которых чаще всего запрашивают, по наиболее опасным вирусам (имена их файлов часто очень похожи на названия системных компонентов: scvhost.exe
, lsas.exe
), по новым угрозам.
Сайт этот, кстати говоря, занимается продвижением утилиты WinTasks, поэтому вы везде найдёте рекламные ссылки, но делу это не мешает.
Но ограничиваться одним единственным сайтом в случае непонятных программ не стоит. Загляните ещё, например, на processlsass.exe
здесь приводится информация даже в более доходчивой форме. Также даётся рекомендация, как поступать с процессом — ни в коем случае не закрывать в менеджере задач, а также указывается, что с таким же именем, но в других директориях (не в windows\
) могут быть вирусы.
Не очень большую базу данных можно найти на сайте www.neuber.com/
Типичные процессы
Посмотрим теперь, какие же процессы встречаются на компьютерах рядовых пользователей. Для примера возьмём свежеустановленную Windows XP SP2, в которой были инсталлированы все необходимые драйверы и Microsoft Office. Диспетчер задач на этой, почти чистой системе показывает наличие в памяти 28 процессов, разберёмся, что же это такое и для чего нужно:
acs.exe
- Atheros Configuration Service (ACS) — сервис для настройки Wi-Fi-адаптера. Отключать не стоит.
ACU.exe
- Atheros Client Utility, утилита настройки Wi-Fi-адаптера, в данной конкретной системе также необходима.
AGRSMMSG.exe
- SoftModem Messaging Applet — процесс, устанавливаемый драйвером модема Agere, необходим ему для работы.
alg.exe
- Application Layer Gateway Service, ключевой компонент Windows Internet Connection Sharing и Windows Firewall, обеспечивает поддержку плагинов, позволяющих сетевым протоколам работать через общий доступ к интернет-подключению и при подключении к Сети с помощью брандмауэра. Соответственно, отключать можно, если вы их не используете.
ati2evxx.exe
- ATI External Event Utility EXE Module, она же — сервис Ati HotKey Poller, утилита, входящая в состав ATI Catalyst, применяется, например, для распознавания подключения внешнего монитора или телевизора, нажатия горячих клавиш. Если это не требуется, можно отключить.
BTTray.exe
- Bluetooth Tray Application — один из компонентов драйверов Bluetooth от Widcomm, необходим для их работы
btwdins.exe
- Bluetooth Support Server, также необходим для работы драйверов Bluetooth от Widcomm.
CLI.exe
- Command Line Interface application for all ACE Components, утилита из состава ATI Catalyst, служит она для доступа через иконку в системном трее к настройкам драйвера, можно отключить, при запуске Control Center она снова загрузится в память.
csrss.exe
- Client/Server Runtime Server Subsystem, часть подсистемы Win32, исполняющаяся в пользовательском режиме (в то время как
Win32.sys
исполняется в режиме ядра), отвечает за работу консольных окон, создание и уничтожение потоков и частично за работу 16-разрядной виртуальной среды MS-DOS. Отключать нельзя. Вирус с таким же именем — Nimda.E. ctfmon.exe
- языковая панель, индикатор, отображающий текущую раскладку клавиатуры и обеспечивающий поддержку альтернативных методов ввода. Если вместо него будете использовать Punto Switcher, то только выиграете. (Раньше индикатором являлся Internat.exe, сейчас под таким именем могут скрываться вирусы.)
eabservr.exe
- Easy Access Buttons, программа Quick Launch Buttons на ноутбуках HP Compaq, отвечает за работу дополнительных кнопок.
explorer.exe
- оболочка системы, отвечающая за формирование Рабочего стола и окон Проводника. Сам процесс можно перезапускать, если что-то подвисло. А можно и вообще отключать, если вы используете другую оболочку. Следует только обратить внимание на путь к файлу — Windows по умолчанию ищет explorer.exe во всех папках подряд (грубо говоря), поэтому если злоумышленник кинет в корень диска С: трояна с таким названием, то она его спокойно запустит. Хотя Рабочий стол в таком случае вы уже вряд ли получите…
lsass.exe
- Local Security Authority Service, локальный сервер проверки подлинности, порождающий процесс, ответственный за проверку пользователей в службе Winlogon, отвечает за локальные политики безопасности и авторизации. Не отключать.
msiexec.exe
- компонент Windows Installer, необходим для установки программ, постоянно в памяти обычно не висит, но может в ней остаться после установки какой-то программы или стартовать после перезагрузки ПК для завершения процедуры установки.
services.exe
- Services Control Manager, системный процесс, отвечающий за запуск/
остановку сервисов и взаимодействие с ними. Программа жизненно важна для Windows, её отключать нельзя. Под этим именем может скрываться также множество вирусов (W32/Leave.B, W32.HLLW.Kazping и так далее, но тогда они расположены в папках, отличных от System32
) — будьте внимательны, этот процесс не должен запускаться через разделыRUN
реестра! SMAgent.exe
- SoundMAX Service Agent, часть аудиодрайвера, его отключение не сказывается на работе звукового тракта.
SMax4.exe
- SoundMAX Control Center, при его отключении просто пропадает иконка SoundMAX в системном трее.
SMax4PNP.exe
- SMax4PNP MFC Application, необходим для запуска SoundMAX Control Center (Панель управления SoundMAX).
smss.exe
- Session Manager Subsystem, подсистема диспетчера сеансов, ответственная за запуск сеансов пользователей, за запуск процессов Winlogon и Win32 (
Csrss.exe
) и за установку системных переменных. Отключать нельзя. Пример трояна — Backdoor.IRC.Flood. spoolsv.exe
- Microsoft Printer Spooler Service, спулер печати, необходим для работы принтера, отвечает за управление заданиями на печать и передачу факсимильных сообщений. Под этим именем любят также скрываться вирусы (Backdoor.Ciadoor.B, VBS.Masscal.Worm и т. д.)
svchost.exe
(6 штук)- Microsoft Service Host Process, каждая из его копий отвечает за работу целого ряда сервисов, чтобы быстро посмотреть, какие сервисы она запускает, введите в командной строке
tasklist /svc
. Отключать ненужные сервисы следует в оснастке «Службы» Панели управления. Не должен располагаться в других папках, кромеSystem32
, и прописываться в разделахRUN
реестра! Одно из наиболее распространённых имён вирусов! SynTPEnh.exe
- утилита из состава драйвера тачпада от Synaptics, обеспечивает поддержку расширенных функций тачпада (например, назначение специальных действий на отдельные зоны тачпада)
- System
- системный процесс, отвечает за различные базовые функции — большинство системных потоков режима ядра исполняются от имени процесса System. Не ассоциирован с exe-файлом! Если встретите
system.exe
— проверьте антивирусом! Если SYSTEM будет грузить процессор на 100%, также проверяйте систему. taskmgr.exe
- собственно, сам Task Manager.
wdfmgr.exe
- Windows Driver Foundation Manager, входит в состав Microsoft Windows Media Player и Service Pack 2, отвечает за новую модель драйверов, занимается, в частности, проблемами совместимости WMP с другими приложениями и внешними устройствами. Если WMP завис, попробуйте убить этот процесс. Достаточно безболезненно можно отключить в «Службах». Обратите внимание на имя файла — при перестановке букв (
wdfmrg.exe
) получается уже вирус. winlogon.exe
- Windows Logon Process, управляет входом пользователей в систему и выходом из неё. Отключать нельзя. Пример вируса с таким названием — W32.Netsky.D.
wscntfy.exe
- Windows Security Centre Notification Process, составная часть Windows Security Center, отвечает за значок в трее. Security Center можно отключить в «Службах», если вы его не используете.
- Бездействие системы
- этот процесс имеет по одному потоку на каждом процессоре и его единственная задача — учитывать время, в течение которого система не занята другими потоками. В диспетчере задач можно видеть, что этому процессу, как правило, соответствует большая часть процессорного времени (то есть процессор не занят). Отключить нельзя.
Разумеется, список этот далеко не полон — все программы, которые могут оказаться в памяти без вашего ведома, перечислить невозможно, но вышеупомянутые сетевые ресурсы помогут разобраться. При просмотре же процессов в своей системе, ещё раз напоминаю, обязательно обращайте внимание на свойства каждого файла, из какой папки и кем он был запущен. Помните о мимикрии вирусов!
Сервисы
О сервисах надо говорить отдельно, поскольку в Task Manager большая их часть никак не отображена. Запустите оснастку «Панель управления» → «Администрирование → «Службы» и щёлкните два раза на заголовке «Состояние» — в результате в верхней части окна окажутся те, которые работают в вашей системе. В нашем случае их оказалось аж 48. Но далеко не все из них действительно необходимы, а некоторые даже вредны. Например, какой смысл держать запущенным сервис «Удаленный реестр»? Чтобы какой-то хороший человек из вашей локалки прописал в разделе RUN
вашего реестра свой любимый кейлоггер?
Сама оснастка «Службы» уже предоставляет пользователю минимальное описание почти всех служб — кое-какие выводы по нужности того или иного сервиса можно сделать уже по ним, но лучше, конечно, опять обратиться к внешним источникам, например, программе Advanced Service Control Centre XP [7].
Запустите её и нажмите кнопку «Проверить текущее состояние» — у части служб появятся флажки. Это те, которые отключены. Чтобы удобнее было работать, лучше выбрать режим, при котором отображаются только активные службы. Теперь выбирайте первую по счёту службу без флажка — «Автоматическое обновление» (по умолчанию она работает), жмите правую кнопку мыши → «Помощь по службе». Запустится встроенная справка, из которой мы узнаем:
- Автоматическое обновление (Automatic Updates)
- Если у вас нет постоянного соединения с Интернетом, или если вы хотите контролировать всё, что делает ваш компьютер, то обновлять программное обеспечение, входящее в состав Windows XP, можно и вручную.
- Значение по умолчанию в Windows XP Home:
- Автоматически
- Значение по умолчанию в Windows XP Pro:
- Автоматически
- Рекомендуемое значение:
- Автоматически
- Вход от имени:
- Локальная система
- Зависимость:
- Какие службы нужны для нормального функционирования Автоматического обновления (Automatic Updates):
- Никакие
- Какие службы требуют Автоматическое обновление (Automatic Updates) для нормального функционирования:
- Никакие
Разжёвано, как видите, практически всё, дублировать столь подробные описания здесь нет никакого смысла — даже для активных по умолчанию служб они займут слишком много места.
Единственное, стоит сказать о том, что значит «Автоматически». В Windows XP разным по важности службам по умолчанию заданы различные способы запуска.
- Автоматически
- Если необходимо, чтобы служба запускалась на старте системы
- Вручную
- служба стартует только если ее запускает пользователь или какая-то программа, которой она необходима
- Отключена
- Служба не стартует, пока пользователь не переключит её в режим Вручную или Автоматически.
Advanced Service Control Centre XP, таким образом, знает состояние каждой службы по умолчанию, в результате вы получаете практически полную гарантию, что никакие эксперименты не выведут систему из строя — при небольшом старании вы всегда вернётесь в default-положение. Запоминать, что вы выключали, не нужно.
В окне со списком служб Advanced Service Control Centre XP пока только останавливает службы, не меняя режим их запуска, в результате ваши настройки сохраняются только до перезагрузки ПК, поэтому после того, как вы протестируете работоспособность своего выбора, следует вернуться к стандартному средству и выставить выбранные режимы запуска уже там (или воспользоваться неплохой утилитой ServConf [8]).
Но есть и другой способ — несколько типовых шаблонов настроек уже встроены в программу:
- «Для всех»,
- «Игровая»,
- «Интернет»,
- «Самая урезанная».
Во встроенной справке приводятся подробные описания каждой — кому они больше подходят и какие службы в них отключены. Самая оптимальная и безглючная, например, — «Для всех», а «Самая урезанная» теоретически должна давать максимальную производительность при минимальной функциональности (большого эффекта, кстати, не ждите). Эти шаблоны уже влияют на настройки сервисов, и они сохраняются после перезагрузки ПК (собственно, для вступления их в силу перезагрузка необходима), по крайней мере, до применения следующего шаблона.
Учтите только, Advanced Service Control Centre XP работает исключительно со службами из состава Windows XP — то, что ставят сторонние программы и драйверы, она не видит! Поэтому вернуться в стандартную оснастку «Службы» всё же придётся — там отображается уже всё. Но, как правило, если вы увидите там сервисы сторонних проивзодителей, то отключать их не стоит — они нужны тем программам, которые нужны вам, и которые вы же сами и поставили. Хотя, и тут не без исключений — тот же ATI HotKey Poller вполне можно отключить.
Как отключать
После того как вы разобрались, что в вашей системе запускается и для чего, и выявили ненужные для себя процессы, их следует отключить — простое закрытие процесса в менеджере задач приведёт лишь к временной его дезактивации — при следующем старте ОС он снова окажется в памяти. Да и не очень это корректно — убивать процесс прямо в памяти. Например, после принудительного закрытия ctfmon.exe
раскладка в Word не будет переключаться вплоть до перезагрузки ПК, несмотря на запущенный Punto.
Отключать ненужные процессы и сервисы проще всего в стандартном msconfig.exe
, чуть больше контроля над сервисами дает оснастка «Службы». Здесь их можно не только отключать, но и устанавливать более безопасный для стабильности системы режим запуска «Вручную», при котором сервис может быть автоматически запущен, если вдруг понадобится какой-то программе (но не все умеют стартовать сервисы). И, наконец, максимум возможностей даёт программа Autoruns [3] — она показывает вообще все возможные способы автозагрузки программ, сервисов, драйверов и библиотек, каждую из которых включить-выключить можно одним движением мышки, сняв или поставив соответствующий флажок.