Программы, сервисы, процессы в Windows XP
Для многих пользователей Windows XP живёт своей собственной жизнью, и их мало интересует, какие скрытые процессы в ней запущены. А между тем, есть ли смысл в фоновой программе или сервисе, если вы его не используете? Зачем тратить на него процессорное время и память? Не стоит ли поинтересоваться, не запущен ли на вашем ПК новый троян или spyware? Как вообще разобраться, что это грузит систему на 100%?
Стандартное средство для контроля за запущенными программами — Task Manager (Диспетчер задач Windows) — хорош только тем, что всегда под рукой, и его легко запустить комбинацией клавиш CTRL-ALT-DEL, что порой является единственным вариантом, если, например, намертво повисла оболочка системы.
Посмотрим теперь, какие же процессы встречаются на компьютерах рядовых пользователей. Для примера возьмём свежеустановленную Windows XP SP2, в которой были инсталлированы все необходимые драйверы и Microsoft Office. Диспетчер задач на этой, почти чистой системе показывает наличие в памяти 28 процессов ( у меня не свежеустановленный и поэтому процессов в два раза больше, не берите их во внимание) разберёмся, что же это такое и для чего нужно:
Типичные процессы:
acs.exe
Atheros Configuration Service (ACS) — сервис для настройки Wi-Fi-адаптера. Отключать не стоит.
ACU.exe
Atheros Client Utility, утилита настройки Wi-Fi-адаптера, в данной конкретной системе также необходима.
AGRSMMSG.exe
SoftModem Messaging Applet — процесс, устанавливаемый драйвером модема Agere, необходим ему для работы.
alg.exe
Application Layer Gateway Service, ключевой компонент Windows Internet Connection Sharing и Windows Firewall, обеспечивает поддержку плагинов, позволяющих сетевым протоколам работать через общий доступ к интернет-подключению и при подключении к Сети с помощью брандмауэра. Соответственно, отключать можно, если вы их не используете.
ati2evxx.exe
ATI External Event Utility EXE Module, она же — сервис Ati HotKey Poller, утилита, входящая в состав ATI Catalyst, применяется, например, для распознавания подключения внешнего монитора или телевизора, нажатия горячих клавиш. Если это не требуется, можно отключить.
BTTray.exe
Bluetooth Tray Application — один из компонентов драйверов Bluetooth от Widcomm, необходим для их работы
btwdins.exe
Bluetooth Support Server, также необходим для работы драйверов Bluetooth от Widcomm.
CLI.exe
Command Line Interface application for all ACE Components, утилита из состава ATI Catalyst, служит она для доступа через иконку в системном трее к настройкам драйвера, можно отключить, при запуске Control Center она снова загрузится в память.
csrss.exe
Client/Server Runtime Server Subsystem, часть подсистемы Win32, исполняющаяся в пользовательском режиме (в то время как Win32.sys исполняется в режиме ядра), отвечает за работу консольных окон, создание и уничтожение потоков и частично за работу 16-разрядной виртуальной среды MS-DOS. Отключать нельзя. Вирус с таким же именем — Nimda.E.
ctfmon.exe
языковая панель, индиктор, отображающий текущую раскладку клавиатуры и обеспечивающий поддержку альтернативных методов ввода. Если вместо него будете использовать Punto Switcher, то только выиграете. (Раньше индикатором являлся Internat.exe, сейчас под таким именем могут скрываться вирусы.)
eabservr.exe
Easy Access Buttons, программа Quick Launch Buttons на ноутбуках HP Compaq, отвечает за работу дополнительных кнопок.
explorer.exe
оболочка системы, отвечающая за формирование Рабочего стола и окон Проводника. Сам процесс можно перезапускать, если что-то подвисло. А можно и вообще отключать, если вы используете другую оболочку. Следует только обратить внимание на путь к файлу — Windows по умолчанию ищет explorer.exe во всех папках подряд (грубо говоря), поэтому если злоумышленник кинет в корень диска С: трояна с таким названием, то она его спокойно запустит. Хотя Рабочий стол в таком случае вы уже вряд ли получите…
lsass.exe
Local Security Authority Service, локальный сервер проверки подлинности, порождающий процесс, ответственный за проверку пользователей в службе Winlogon, отвечает за локальные политики безопасности и авторизации. Не отключать.
msiexec.exe
компонент Windows Installer, необходим для установки программ, постоянно в памяти обычно не висит, но может в ней остаться после установки какой-то программы или стартовать после перезагрузки ПК для завершения процедуры установки.
services.exe
Services Control Manager, системный процесс, отвечающий за запуск/остановку сервисов и взаимодействие с ними. Программа жизненно важна для Windows, её отключать нельзя. Под этим именем может скрываться также множество вирусов (W32/Leave.B, W32.HLLW.Kazping и так далее, но тогда они расположены в папках, отличных от System32) — будьте внимательны, этот процесс не должен запускаться через разделы RUN реестра!
SMAgent.exe
SoundMAX Service Agent, часть аудио-драйвера, его отключение не сказывается на работе звукового тракта.
SMax4.exe
SoundMAX Control Center, при его отключении просто пропадает иконка SoundMAX в системном трее.
SMax4PNP.exe
SMax4PNP MFC Application, необходим для запуска SoundMAX Control Center (Панель управления SoundMAX).
smss.exe
Session Manager Subsystem, подсистема диспетчера сеансов, ответственная за запуск сеансов пользователей, за запуск процессов Winlogon и Win32 (Csrss.exe) и за установку системных переменных. Отключать нельзя. Пример трояна — Backdoor.IRC.Flood.
spoolsv.exe
Microsoft Printer Spooler Service, спулер печати, необходим для работы принтера, отвечает за управление заданиями на печать и передачу факсимильных сообщений. Под этим именем любят также скрываться вирусы (Backdoor.Ciadoor.B, VBS.Masscal.Worm и т. д.)
svchost.exe (6 штук)
Microsoft Service Host Process, каждая из его копий отвечает за работу целого ряда сервисов, чтобы быстро посмотреть, какие сервисы она запускает, введите в командной строке tasklist /svc. Отключать ненужные сервисы следует в оснастке «Службы» Панели управления. Не должен располагаться в других папках, кроме System32 и прописываться в разделах RUN реестра! Одно из наиболее распространенных имён вирусов!
SynTPEnh.exe
утилита из состава драйвера тачпада от Synaptics, обеспечивает поддержку расширенных функций тачпада (например, назначение специальных действий на отдельные зоны тачпада)
System
системный процесс, отвечает за различные базовые функции — большинство системных потоков режима ядра исполняются от имени процесса System. Не ассоциирован с exe-файлом! Если встретите system.exe — проверьте антивирусом! Если SYSTEM будет грузить процессор на 100%, также проверяйте систему.
taskmgr.exe
собственно, сам Task Manager.
wdfmgr.exe
Windows Driver Foundation Manager, входит в состав Microsoft Windows Media Player и Service Pack 2, отвечает за новую модель драйверов, занимается, в частности, проблемами совместимости WMP с другими приложениями и внешними устройствами. Если WMP завис, попробуйте убить этот процесс. Достаточно безболезненно можно отключить в «Службах». Обратите внимание на имя файла — при перестановке букв (wdfmrg.exe) получается уже вирус.
winlogon.exe
Windows Logon Process, управляет входом пользователей в систему и выходом из неё. Отключать нельзя. Пример вируса с таким названием — W32.Netsky.D.
wscntfy.exe
Windows Security Centre Notification Process, составная часть Windows Security Center, отвечает за значок в трее. Security Center можно отключить в «Службах», если вы его не используете.
Как отключать:
После того как вы разобрались, что в вашей системе запускается и для чего, и выявили ненужные для себя процессы, их следует отключить — простое закрытие процесса в менеджере задач приведёт лишь к временной его дезактивации — при следующем старте ОС он снова окажется в памяти. Да и не очень это корректно — убивать процесс прямо в памяти. Например, после принудительного закрытия ctfmon.exe раскладка в Word не будет переключаться вплоть до перезагрузки ПК, несмотря на запущенный Punto.
Отключать ненужные процессы и сервисы проще всего в стандартном msconfig.exe, чуть больше контроля над сервисами дает оснастка «Службы». Здесь их можно не только отключать, но и устанавливать более безопасный для стабильности системы режим запуска «Вручную», при котором сервис может быть автоматически запущен, если вдруг понадобится какой-то программе (но не все умеют стартовать сервисы). И, наконец, максимум возможностей даёт программа Autoruns — она показывает вообще все возможные способы автозагрузки программ, сервисов, драйверов и библиотек, каждую из которых включить-выключить можно одним движением мышки, сняв или поставив соответствующий флажок.