Отже системні процеси, призначення системних процесів виконання певних завдань на комп\’ютері. У будь-якої програми або служби є свій процес, а у деяких декілька. Наприклад процес самої програми і процес перевірки оновлень цієї програми. Кожен з цих процесів споживає певну кількість системних ресурсів. Якщо процес споживає більше ніж йому може дати комп\’ютер, то останній починає виснути іноді намертво.
Також процесами може керувати вірус, особливо тими що вантажать систему. Переглянути список запущених процесів на комп\’ютері ви можете в диспетчері завдань викликавши його клавішами Ctrl + Alt + Del . В диспетчері завдань також можна подивитися завантаження центрального процесора і оперативної пам\’яті певним процесом або додатком.
Процеси операційної системи
winlogon.exe – Є системним процесом, цей процес не можна завершити, він відповідає за вхід і вихід користувача в систему. Файл що відповідає за цей процес перебуває в папці C: \\ Windows \\ System32. Деякі віруси можуть клонувати цей процес, якщо ви бачите файл winlogon.exe в якому-небудь іншому місці, проведіть сканування системи в безпечному режимі .
sms.exe – Цей системний процес відповідає за запуск сеансу користувача, а також за процеси winlogon і win32. У разі якщо деякі з процесів завершуються аварійно, smss.exe дає команду системі припинити відповідати на їх запити. Деякі з вірусів можуть використовувати процес sms.exe для приховання свого перебування в системі, наприклад W32.Dalbug.Worm, Win32. Brontok, Win32.Landis, Adware.DreamAd Win32 Sober.
explorer.exe – Процес відповідальний за провідник, тобто за все що пов\’язано з робочим столом меню пуск і папками користувача. Цей процес не можна завершувати в іншому випадку пропаде робочий стіл і ви не зможете нікуди зайти. Якщо таке трапилося, запустити процес можна запустивши програму виконати, клавішами Win + R , далі набравши у вікні команду explorer.exe. Аналогічні дії можна зробити викликавши диспетчер задач клавішами Ctrl + Alt + Del Вкладка файл / нове завдання / виконати. Процес explorer.exe може конфліктувати з деякими файлами та програмами. При появі проблем, якщо процес вилітає або вантажить систему рекомендується перевірити систему на віруси , а також виявити методом тику (завершуючи сторонні процеси не мають відношення до системи), з яким процесом конфліктує провідник. Таким процесом може виявитися одна з недавно встановлених програм.
alg.exe – Системний процес відповідає службу операційної системи Windows а саме а саме за доступ до інтернету і функціональність брандмауера windows, цю службу можуть використовувати також деякі міжмережеві екрани. Завершувати процес alg.exe не рекомендується, із завершенням цього процесу пропаде доступ в інтернет. Деякі віруси можуть ховатися за цим процесом, такі як мережевий черв\’як Worm.Fagot, W32.Petch, і їм подібні.
spoolsv.exe – Процес відповідальний за службу spooler, яка в свою чергу відповідає за управління завданнями на друк, а також передачу факсимільних повідомлень. Є деякі віруси які благополучно маскуються під виглядом цього процесу. Ось деякі приклади цих процесів: spool.exe, spools.exe, spoolsrv.exe, spoolmgr.exe, spool16.exe, spool32.exe, spooll32.exe. При виявленні таких процесів у себе в системі, негайно їх завершуйте і скануйте систему в безпечному режимі.
svchost.exe – Є системним процесом, цей процес призначений для служб які запускаються з динамічно завантажуваних бібліотек (DLL). Одночасно може бути запущено кілька процесів svchost.exe, не лякайтеся, залежно від того які служби запущені. Системна папка файлу svchost знаходиться в директорії C: \\ Windows \\ System32, при виявленні цього файлу в іншій директорії може ховатися вірус або мережевий черв\’як. Найбільш відомі віруси маскуються під процес svchost, це W32.Welchia.Worm, W32/Jeefo і W32.Assarm @ mm.
ctfmon.exe – Процес який управляє технологією альтернативного вводу даних. Цей процес запускає мовну панель при старті системи. Процес працює навіть якщо закриті всі програми, його призначення підтримка клавіатури, переклад, а також розпізнавання мови і рукописних символів. Цей процес використовують віруси Trojan.Satiloler, Spyware.UltraKeylogger, W32.Snow. A для свого приховування в системі. Директорія розташування процесу C: \\ Windows \\ System32, при виявленні його в іншій папці є ймовірність зараження системи.
csrss.exe – Процес клієнт серверної-підсистеми. Процес відповідає за роботу консольних додатків і є менеджером потоків в windows. Завершити цей процес неможливо так як завершення цього процесу веде до аварійної перезавантаження комп\’ютера. Є віруси які використовують ім\’я даного процесу для приховування присутності в системі. Оригінальний файл процесу зберігається в папці System32. На серверних машинах кількість цих процесів може доходити до декількох десятків.
Lsass.exe – Це процес перевірки справжності локальний сервер, він ініціює процес, який відповідає за перевірку користувачів у службі Winlogon. Неможливо завершити цей процес за допомогою диспетчера задач. Перевірка справжності виробляється бібліотекою Msgina.dll, яка використовується за вмовчанням. У разі успішної перевірки процес Lsass створює маркер доступу для користувача, цей маркер використовується під час запуску початкової користувацької оболонки. Процеси, які запускає користувач, отримують у спадок цей маркер.
wuauclt.exe – Процес який відповідає за перевірку наявностей поновлення встановленої операційної системи са сайті Microsoft. Завершення процесу wuauclt.exe ніяк не впливає на працездатність Windows. Зверніть увагу на що розташування файлу ініціюючого процес wuauclt.exe знаходиться в директорії C: \\ Windows \\ System32. Якщо файл процесу знаходиться в директорії відмінній від вказаної, проскануйте комп\’ютер на наявність вірусів. Щоб запобігти появі процесу wuauclt.exe в диспечер завдань, спробуйте відключити автоматичну перевірку оновлень операційної системи.
hkcmd.exe – Процес графічних карт Intel (Intel Hotkey Command Module). Цей процес призначений для забезпечення управління за допомогою гарячих клавіш, настройками відео карти. Завершення процесу ніяк не впливає на працездатність системи. Так само ви його можете відключити в панелі налаштувань відеокарти. Деякі вірусні програми такі як: W32/Pahatia-A, W32/Sdbot-DGR маскуються під цей процес для приховування свого знаходження в системі. При виявленні процесу hkcmd.exe в директорії відмінною від C: \\ Windows \\ System32, негайно проскануйте комп\’ютер новітнім антивірусним ПЗ в безпечному режимі.
