Процессы в windows. Часть 3.
drwtsn32.exe – «Доктор Ватсон для Windows» — это отладчик ошибок, собирающий сведения о компьютере в случае появления ошибок (или сбоев пользовательского режима) в работе программ. sage.exe – системный процесс, не представляющий угроз для безопасности и выполняющий функции обслуживания системы: очистки диска, дефрагментации и т.п. Случается, что сетевой червь W32/Sdbot-NB, который распространяется через сетевые общедоступные ресурсы, использует имя sage.exe для сокрытия своего присутствия в системе. W32/Sdbot-NB копирует себя в системную папку и создает ключ реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Laptop Access = Sage.exe В случае обнаружения подобного файла, необходимо его удалить. cm.exe (Configuration Module) – процесс, эквивалентный службе Trend Micro Management Infrastructure (TMI). Выполняет вспомогательные задачи для TMI. Файл cm.exe расположен в каталоге /program files/trend/common/tmi. Под именем этого процесса может скрываться опасный троян Trojan.Goldun.G, который дает возможность удаленного управления компьютером, кражи паролей и личных данных. В случае обнаружения файла с таким именем в другом каталоге — немедленно его удалите. sessmgr.exe — (Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager) — управляет возможностями удаленного помощника. В общем то, если служба вам не нужна, то можно ее просто выключить. scardsvr.exe — (Модуль поддержки смарт-карт (Smart Card Helper)) — обеспечивает поддержку для старых устройств чтения смарт-карт (без PnP). Если эта служба остановлена, то старые устройства чтения смарт-карт поддерживаться не будут. Если вы такие смарт-карты не используете, то можете отключать эту службу. Некоторые сетевые черви удаляют файл scardsvr.exe, т.к. его отсутствие при некоторых условиях понижает уровень безопасности системы. bootok.exe – исполняемый файл Microsoft, проверяющий аутентификацию и доступность загрузки во время запуска компьютера. При определенных условиях загрузка может стать недоступной из-за политики ключей реестра, установленной в системе. Файл bootok.exe проверяет наличие этих условий. atmadm.exe — Диспетчер вызовов ATM — ATM Call Manager Utility. Отвечает за контроль подключений и адресов, зарегистрированных диспетчером вызовов ATM в сетях с асинхронным режимом передачи (ATM). Команду atmadm можно использовать для вывода статистики входящих и исходящих вызовов ATM-адаптеров. Если вызвать эту команду без параметров, то она покажет статистику состояний активных ATM-подключений. winhlp32.exe – программа для просмотра Microsoft Windows Help File. Открывает файлы на запрос пользователя, касающийся упомянутой темы. Программа никак не влияет на стабильность или безопасность системы, но в любом случае не рекомендуется ее удалять, т.к. она является частью операционной системы. taskman.exe (Windows Task Manager) – содержит основные счетчики для мониторинга аппаратных ресурсов компьютера. Никак не влияет на стабильность или безопасность системы, однако не рекомендуется ее удалять, так как она является частью операционной системы. Сетевые черви W32/Forbot-T, WM97/Ortant-A, W32/Spybot-DS, Трояны Troj/Soromo-A, Troj/Autotroj-C и множество другого злонамеренного софта, используют файл с именем taskman.exe для маскировки своего присутствия в системе. ccapp.exe (Symantec Common Client CC App) – процесс отвечает за автоматическую антивирусную защиту и функции проверки email сообщений в программе Norton AntiVirus. Программа повышает защищенность вашей системы от Интернет угроз. Но так же известно о существовании нескольких сотен сетевых червей, троянов и других видов злонамеренного софта, распространяющихся под этим именем. mmc.exe (Microsoft Management Console) — это основа администрирования и управления системы Windows 2000. Это средство ОС, предоставляющее своим встроенным (интегрированным) компонентам (системным приложениям) удобный для использования графический интерфейс. Сетевые черви W32/Lovgate-F, W32/Oscabot-I, W32/Redplut-A, троян Troj/Kango-A и множество другого злонамеренного софта используют имя mmc.exe для маскировки своего присутствия в системе. rundll32.exe (Microsoft Rundll32) — утилита командной строки, позволяющая запускать некоторые команды-функции, заложенные в DLL-файлах. Сетевые черви W32/Lovgate-AB, W32/Deloder-A, трояны Troj/Lineage-AR, Troj/LegMir-AS и Troj/Delf-AC и множество другого злонамеренного софта используют имя rundll32.exe для маскировки своего присутствия в системе. mstask.exe (Task Scheduler Engine) – служба назначенных заданий. Отвечает за обработку заданий пользователя. В Windows XP файл с таким именем не используется для обработки заданий. Сетевые черви W32/Opaserv-H, W32/Spybot-DS, W32/Antinny-H, трояны Troj/Mkmoose-B, Troj/Delf-AC и множество другого злонамеренного софта используют имя mstask.exe для маскировки своего присутствия в системе. msmsgs.exe – процесс программы MSN Messenger Internet chat, входящей в состав Windows. Процесс также создает иконку в системном трее для быстрого доступа к опциям программы. Сетевые черви W32.HLLW.Spirit, W32.Alcarys.B, W32.Elitper.A@mm, трояны Troj/ZlobDrop-M и Troj/Dloader-LN используют имя msmsgs.exe для маскировки своего присутствия в системе. Autorun.exe — программа, запускающая программу-установщик, когда CD или DVD диск вставляется в дисковод. Существует множество разновидностей программ с таким именем зачастую не представляющих риска для компьютера и данных. Сетевые черви W32.Mydoom.V@mm, W32.Chod.B@mm, W32.Serflog.A и W32.Serflog.B используют имя autorun.exe для маскировки своего присутствия в системе. В этом случае процесс необходимо немедленно завершить, а подозрительный файл — удалить.