Как получить подробные сведения о процессах в Windows 7. Виндовс процессы


Процессы Windows что это?

Добро пожаловать на сайт «Что за процесс?», здесь описаны процессы Windows, их рейтинг надёжности, часто встречающиеся проблемы, а также рекомендации и советы по работе с файлами процессов. База процессов windows и файлов exe на сайте постоянно обновляется и я надеюсь что здесь Вы найдёте интересующую Вас информацию. Для поиска интересующего Вас процесса, Вы можете воспользоваться алфавитным указателем, либо формой поиска.Процессы WindowsДиспетчер задач WindowsКак открыть диспетчер задачКак запустить диспетчер задач через командную строкуДиспетчер задач отключен. Что делать?

Процессы Windows что это?

В операционных системах семейства Windows, процесс является экземпляром компьютерной программы, которая выполняется. Он содержит код программы и ее текущую деятельность. В зависимости от операционной системы, процесс может быть составлен из нескольких потоков выполнения, которые выполняют инструкции одновременно. Компьютерная программа является пассивным набором инструкций, процесс является фактическим исполнением этих инструкций. Несколько процессов могут быть связаны с одной и той же программой, например, открывая несколько окон одной и той же программы, выполняется больше чем один процесс. Обычно процесс Windows состоит из следующих ресурсов:

  • Образ исполняемого машинного кода , связанного с программой.
  • Память (обычно некоторая область виртуальной памяти ), которая включает в себя исполняемый код, данные конкретного процесса (вход и выход), стек вызовов (чтобы отслеживать активные подпрограммы и/или другие события), и куча для хранения данных промежуточных вычислений, генерируемые во время выполнения.
  • Дескрипторы ресурсов операционной системы, выделеные в процессе, и источники данных и стоков.
  • Атрибуты безопасности, такие как владелец процесса и набор разрешений (допустимые операции).
  • Состояние процессора ( контекст ) - содержание регистров, адресация физической памяти и т.д.

Операционная система сохраняет свои процессы разделяет и выделяет ресурсы, необходимые, чтобы они не мешали друг другу и не вызывали системные сбои. Операционная система также обеспечивает механизмы для межпроцессного взаимодействия для того.

Диспетчер задач Windows

Диспетчер задач (Task Manager) является компонентом операционной системы во всех версиях Microsoft Windows начиная с Windows NT 4.0 и Windows 2000. Он позволяет пользователю просматривать каждую из задач, запущенных на компьютере, каждый из процессов, а также общую производительность компьютера. Ниже приведены наглядные примеры Microsoft Windows Task Manager в Windows 2000, Windows 7 и Windows 8.

Диспетчер задач Windows 8

Диспетчер задач Windows 7

Диспетчер задач Windows NT

Как открыть диспетчер задач

Открыть Диспетчер задач Windows — не сложная задача, но иногда вирус отключает комбинацию клавиш Ctrl+Альт+del. Или, может быть, вы просто ищете какое-то разнообразие. Поэтому здесь мы рассмотрим шесть различных способов открыть Диспетчер задач Windows.

1. Комбинация клавиш Ctrl+Alt+Del

Вы, вероятно, наиболее знакомы с этой трёхпальцевой комбинацией (Ctrl+Alt+Del). До Windows Vista, нажав сочетание клавиш Ctrl+Alt+Del сразу приводил к открытию диспетчера задач Windows. Начиная с Windows Vista, сочетание клавиш Ctrl+Alt+Del открывает окно безопасности Windows, которое предоставляет пользователям пять различных вариантов, включая Диспетчер задач Windows.

Комбинация клавиш Ctrl+Alt+Del

2. Щелчок правой кнопкой мыши на панели задач

Пожалуй, самый быстрый способ, чтобы вызвать Диспетчер задач Windows, щелкнув правой кнопкой мыши на панели задач и выбрав пункт Запустить Диспетчер задач или просто Диспетчер задач в зависимости от версии Windows. Это просто два клика и вуаля!

Щелчок правой кнопкой мыши на панели задач

3. Выполнить taskmgr

Часто пользователи спрашивают «Как запустить диспетчер задач через командную строку?». Команда Выполнить(Run) является отличным инструментом для доступа к общим папкам, но вы можете также использовать его для быстрого запуска программ, таких как редактор реестра или командную строку. Нажмите кнопку «Пуск», затем папку «все программы», под стандартные папки выберите команду «Выполнить» (в Windows XP Пуск->Выполнить). Ещё проще запустить окно «Выполнить» можно нажав комбинацию клавиш Windows + R на клавиатуре. В открывшемся окне напишите “taskmgr” и нажмите Enter.

Выполнить taskmgr

Если же Вам всё таки нужно запустить диспетчер задач обязательно через командную строку то в окне «Выполнить» наберите cmd и нажмите Enter. А уже в открывшейся командной строке наберите “taskmgr” и нажмите Enter.

Запустить диспетчер задач через командную строку

4. Сочетание Клавиш Ctrl+Shift+Esc

Еще один быстрый способ чтобы вызвать Диспетчер задач Windows — это сочетание клавиш Ctrl+Shift+Esc. Кроме того, в работе при помощи удаленного рабочего стола, Вы также можете использовать сочетание клавиш Ctrl+Shift+Esc для вызова диспетчера задач локально.

Открыть диспетчер задач с помощью Ctrl+Shift+Esc

5. Открыть диспетчер задач через проводник

Это, безусловно, самый длинный путь открытия диспетчера задач, но бывает что это единственный вариант, тогда это лучше, чем вообще ничего. Откройте проводник Windows и перейдите к C:\Windows\System32. Расположение taskmgr.exe должно быть одинаковым во всех последних версиях Windows. Прокрутите вниз до taskmgr.exe и дважды щелкните по нему.

Открыть диспетчер задач через проводник

6. Создать ярлык на рабочем столе taskmgr.exe

И последний способ в нашем списке — это создание доступного и удобного ярлыка для диспетчера задач на рабочем столе. Щелкните правой кнопкой мыши на рабочем столе и выберите «создать» выберите ярлык. Откроется окно, в нём найдите тот же путь, что и в пункте выше — C:\Windows\System32. Прокрутите вниз, пока вы видите taskmgr.exe выделите его и нажмите кнопку ОК. Нажмите кнопку Далее, введите имя ярлыка и нажмите кнопку Готово.

Ярлык на рабочем столе taskmgr.exe

Диспетчер задач отключен. Что делать?

Иногда бывает что Вы не можете открыть Диспетчер задач. Чаще всего При попытке открыть выходит сообщение Диспетчер задач был отключен администратором.

Диспетчер задач был отключен администратором

Если это так, вы можете связаться с администратором и решить проблему. Но если Вы единственный пользователь компьютера, вы можете попробовать следующую инструкцию.

Сначала откройте редактор реестра и перейдите в следующий раздел:HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\System

Если вы найдете ключ реестра ключ DisableTaskMgr, просто удалите ключ или присвойте ему значение 0.

DisableTaskMgr

Кроме того, вы можете ввести команду gpedit.msc в окне Выполнить (Windows+R), это нужно чтобы открыть групповые политики.

Перейдите к:Конфигурация пользователя->Административные шаблоны->Система->Возможности Ctrl+Alt+Del.

Щелкните правой кнопкой -> Свойства -> выберите не задано > нажмите кнопку «применить» -ОК-выход.

Включить диспетчер задач

Перезагрузите компьютер, должно помочь!

xn-----7kcvh4behjmab4de.xn--p1ai

Процессы Windows. Диспетчер задач

Что такое процессМногим пользователям Windows приходилось слышать о процессах, но не все знают что такое «процессы», для чего они нужны и нужно ли на них вообще обращать внимание. Именно поэтому я запланировал серию заметок, в которых немного расскажу о процессах Windows.

Можно сказать, что процесс — это выполняемая на компьютере программа, но тут нужно кое что прояснить. Дело в том, что программа и процесс — это не одно и тоже. Программа представляет собой некоторый код (набор команд и инструкций), который находится на компьютере в виде файлов. А вот процесс — это некоторый набор ресурсов и данных, которые используются при выполнении программы. То есть упрощенно можно сказать, что процесс — это выполняющаяся программа со всеми необходимыми для ее выполнения ресурсами.

Все запускаемые на компьютере программы выполняются в определенных процессах. Некоторые программы используют системные процессы, то есть процессы, запускаемые операционной системой, некоторые создают собственные. При этом программа может создавать множество собственных процессов или запускать системные, а это означает что количество запущенных на компьютере программ и процессов не будет одинаковым — процессов всегда будет намного больше.

Увидеть весь список запущенных в данный момент на компьютере процессов можно через Диспетчер задач. Для этого нужно вызвать контекстное меню на панели задач и из меню выбрать пункт «Запустить диспетчер задач».

Диспетчер задач

Далее необходимо перейти на вкладку «Процессы».

Процесы Windows

Каждый процесс, запущенный на компьютере, потребляет определенные ресурсы, что и отображается в окне Диспетчера задач. Логично предположить, что чем меньше запущенно процессов, тем лучше, так как они не будут «грузить» компьютер. Но тут не все так просто как кажется...

Windows — это операционная система (ключевое слово здесь — «система»), то есть можно сказать, что это пакет программ, предназначенных для управления компьютером. Системные программы в Windows называют службами и каждая из них решает определенные узконаправленные задачи.

Запущенные на компьютере службы образуют процессы, которые также отображаются в Диспетчере задач. Многие процессы необходимы для работы операционной системы и запускаются автоматически со стартом Windows. Кроме этого некоторые процессы запускаются по умолчанию, но не являются критически важными для работы операционной системы.

Обычно по умолчанию Windows настроена некоторым универсальным (по мнению разработчиков) образом и вполне вероятна ситуация, что запускаемые со стартом Windows процессы вы никогда не будете использовать, а значит они будут просто висеть «мертвым грузом», перетягивая на себя некоторые ресурсы компьютера.

Список запущенных процессов, который вы увидите открыв Диспетчер задач, будет характерен только для вашего компьютера, ведь как вы понимаете, количество и набор процессов зависит от установленных и запущенных на вашем компьютере программ, а также от редакции операционной системы. И тут речь идет не только о версии Windows (например, XP, Vista, 7 или 8), а и о редакции — так у Windows 7 Домашняя набор запущенных процессов будет отличаться от Windows 7 Максимальная и дело тут в том, что эти операционные системы предназначены для разных задач, а значит и список запускаемых со стартом Windows системных служб будет у них отличаться.

Более подробно о некоторых службах и процессах я расскажу в следующих заметках.

pcsecrets.ru

Как найти вирус в списке процессов Windows

Когда в системе что-то не так или просто хочется проконтролировать эффективность установленного на компьютере антивируса, мы обычно нажимаем три заветные клавиши Ctrl, Alt, Del и запускаем Диспетчер задач, надеясь обнаружить вирус в списке процессов. Но в нем мы видим лишь большое количество работающих на компьютере программ, каждая из которых представлена своим процессом. И где же тут скрывается вирус? Ответить на этот вопрос вам поможет наша сегодняшняя статья

Для того чтобы определить, есть вирус в процессах или его там нет, нужно очень внимательно вглядеться в список процессов. В операционной системе Windows Vista в обязательном порядке нажмите кнопочку «Отображать процессы всех пользователей», иначе вы толком ничего и не увидите. Прежде всего, обратите внимание на описание процесса в столбике «Описание». Если описания нет или оно какое-то «корявенькое», это должно вас насторожить. Ведь разработчики программ имеют привычку подписывать свои творения на понятном русском или английском языках. Отметив взглядом процессы с подозрительным описанием, обращаем взор на следующий столбик – «Пользователь». Вирусы обычно запускаются от имени пользователя, реже в виде служб и от имени системы - SYSTEM, LOCAL SERVICE или NETWORK SERVICE.

Итак, найдя процесс с подозрительным описанием, запускаемый от имени пользователя или непонятно от чьего имени, щелкните нему правой кнопкой мышки и в появившемся контекстном меню выберите пункт «Свойства». Откроется окошко со свойствами программы, которая запустила данный процесс. Особое внимание обратите на вкладку «Подробно», где указана информация о разработчике, версии файла и его описание, а также на пункт «Размещение» вкладки «Общие» - здесь указан путь к запущенной программе.

Если путь «Размещение» ведет в каталог Temp, Temporary Internet Files или еще в какое-либо подозрительное место (например, в папку некой программы каталога Program Files, но вы уверены, что такую программу вы не устанавливали), то, ВОЗМОЖНО, данный процесс принадлежит вирусу. Но все это лишь наши догадки, за подробной информацией, конечно же, лучше обратиться к интернету. Неплохие списки процессов есть на сайтах what-process.com http://www.tasklist.org и http://www.processlist.com. Если после всех поисков ваши опасения на счет подозрительного процесса подтвердятся, можете радоваться – на вашем компьютере поселился вирус, троян или другой зловред, которого нужно срочно ликвидировать.

Но окошко со свойствами запустившего процесс файла из Диспетчера задач может и не открыться. Поэтому помимо стандартных средств Windows нужно пользоваться различными полезными утилитами, способными выдать максимум информации о подозрительном процессе. Одну из таких программ – Starter – мы уже рассматривали (http://www.yachaynik.ru/content/view/88/).

В Starter на вкладкее«Процессы» представлена исчерпывающая информация о выделенном процессе: описание программы и имя файла, который запустил процесс, информация о разработчике, список модулей (программных компонентов), задействованных процессом.

Таким образом, нет нужды копаться в свойствах файла, запустившего процесс – всё и так, как на ладони. Тем не менее, это не мешает щелкнуть по подозрительному процессу правой кнопкой мышки и выбрать «Свойства», чтобы получить доскональные сведения о файле процесса в отдельном окошке.

Чтобы попасть в папку программы, который принадлежит процесс, щелкните по названию процесса правой кнопкой мыши и выберите «Проводник в папку процесса».

Но самая удобная опция в Starter – возможность начать поиск информации о процессе прямо из окна программы. Для этого щелкните правой кнопкой мышки по процессу и выберите «Искать в Интернет».

После того, как вы получите полную информацию о файле, запустившем процесс, его разработчике, назначении и мнение о процессе в сети интернет, сможете достаточно точно определить – вирус перед вами или мирная программа-трудяга. Здесь действует тот же принцип, что и в Диспетчере задач. Подозрительны те процессы и модули процессов, для которых не указан разработчик, в описании которых ничего нет либо написано что-то невнятное, процесс или задействованные им модули запускаются из подозрительной папки. Например, Temp, Temporary Internet Files или из папки в Program Files, но вы точно помните, что указанную там программу вы не устанавливали. И, наконец, если в интернете четко сказано, что данный процесс принадлежит вирусу, радуйтесь – зловреду не удалось спрятаться от вас!

Одно из самых распространенных заблуждений начинающих чайников касается процесса svchost.exe. Пишется он именно так и никак иначе: svshost.exe, scvhost.exe, cvshost.exe и другие вариации на эту тему – вирусы, маскирующиеся под хороший процесс, который, кстати, принадлежит службам Windows. Точнее, один процесс svchost.exe может запускать сразу несколько системных служб. Поскольку служб у операционной системы много и все они нужны ей, процессов svchost.exe тоже много.

В Windows XP процессов svchost.exe должно быть не более шести. Пять процессов svchost.exe – нормально, а вот уже семь – стопроцентная гарантия, что на вашем компьютере поселился зловред. В Windows Vista процессов svchost.exe больше шести. У меня, к примеру, их четырнадцать. Но и системных служб в Windows Vista намного больше, чем в предыдущей версии этой ОС.

Узнать, какие именно службы запускаются процессом svchost.exe, вам поможет другая полезная утилита – Process Explorer. Скачать последнюю версию Process Explorer вы можете с официального сайта Microsoft: technet.microsoft.com

Process Explorer выдаст вам описание процесса, запустившую его программу, наименование разработчика и множество полезной технической информации, понятной разве что программистам.

Наведите мышку на имя интересующего вас процесса, и вы увидите путь к файлу, запустившему данный процесс.

А для svchost.exe Process Explorer покажет полный перечень служб, относящихся к выделенному процессу. Один процесс svchost.exe может запускать несколько служб или всего одну.

Чтобы увидеть свойства файла, запустившего процесс, щелкните по интересующему вас процессу правой кнопкой мышки и выберите «Properties» («Свойства»).

Для поиска информации о процессе в интернете при помощи поисковой системы Google, просто щелкните по названию процесса правой кнопкой мыши и выберите «Google».

Как и ранее, подозрения должны вызвать процессы без описания, без наименования разработчика, запускающиеся из временных папок (Temp, Temporary Internet Files) или из папки программы, которую вы не устанавливали, а также идентифицируемые в интернете как вирусы.

И помните, для качественно работы программ Process Explorer и Starter в Windows Vista, их нужно запускать с административными правами: щелкните по исполняемому файлу программы правой кнопкой мышки и выберите «Запуск от имени администратора».

Однако хочется вас разочаровать, только очень глупые вирусы выдают себя в списке процессов. Современные вирусописатели уже давно научились прятать свои творения не только от глаз пользователей, но и от антивирусных программ. Поэтому спасти вас в случае заражения качественно написанной вредоносной программой может лишь хороший антивирус со свежими базами (да и то не факт!), наличие резервной копии со всей вашей информацией и диск с дистрибутивом Windows для переустановки системы. Тем не менее, периодически заглядывать в список процессов все же стоит – мало ли какой scvhost или mouse.exe там притаился.

Источник: yachaynik.ru

www.windxp.com.ru

Процессы Windows

Речь пойдет о процессах в Windows. Разберем что это такое, на что они влияют и с помощью чего их можно контролировать.

В операционной системе «процессом» является экземпляр компьютерной программы, которая запущенна в данный момент. Сама по себе программа является всего лишь набором правил и кода, тогда как процесс является фактическим выполнением всего этого. Задачи одной и той же программы могут выполняться в нескольких процессах и, естественно, каждому активному процессу требуется определенное количество системных ресурсов, и чем больше их одновременно запущенно, тем медленнее начинает работать компьютер.

Многих начинающих пользователей мало интересует, какие скрытые процессы у них работают, а между тем, есть смысл поинтересоваться, не работают ли какие-нибудь фоновые программы и сервисы, в которых нет необходимости и которые при этом впустую расходуют процессорное время и память. Но прежде чем отключать ненужные процессы, чтобы освободить ресурсы компьютера, необходимо научиться разбираться в них, чтобы случайно не затронуть, например, процессы относящиеся к системным, многие из которых запускаются во время старта компьютера и критически необходимы для функционирования операционной системы и других приложений.

Следует также упомянуть, что большинство вирусов для осложнения обнаружения маскируют себя под какой-либо из процессов. Именно по этим причинам важно уметь их опознавать и идентифицировать.

Для того чтобы увидеть весь список активных процессов необходимо открыть «Диспетчер задач» (Task Manager). Сделать это можно тремя распространенными способами:

- комбинация клавиш ctrl + alt + del - комбинация клавиш ctrl +shift + esc или - правый клик мыши на панели задач — пункт «Диспетчер задач».

Находясь в окне диспетчера, выберите вкладку «Процессы».

В открывшемся окне находится несколько столбцов с помощью которых мы и сможем получить первую необходимую информацию о том, какие процессы загружены и сколько ресурсов они потребляют.

1. Имя образа — название процесса 2. Пользователь — от какой учетной записи запущен процесс 3. ЦП — показывает загрузку процессора в процентном соотношении 4. Память — выделенный объем оперативной памяти 5. Описание — краткое описание того какая программа, служба или сервис инициирует данный процесс.

В самом низу окна показывается суммарное количество активных процессов, общая загрузка процессора и оперативной памяти в процентах.

Чтобы отключить ненужный процесс, необходимо выбрать один из них и нажать кнопку «Завершить процесс». Однако простое «Завершение процесса» просто отключит его до следующей перезагрузки Windows. Поэтому, если вы хотите навсегда избавиться от него, необходимо отключить его запуск в самом приложении, которое запускает этот процесс, или отключить активирующую его службу, или убрать из автозагрузки, а может и вовсе удалить ненужное приложение.

Если для получения информации о процессе вам будет недостаточно стандартных столбцов, можно добавить дополнительные. Для этого в главном меню Диспетчера задач нажмите «Вид» и в открывшемся меню выберите пункт «Выбрать/Добавить столбцы».

Выставьте галочки напротив пунктов «ИД процесса (PID)» и «Путь к образу». Нажмите «Ок».

Теперь в столбце ««Путь к образу» вы можете видеть расположение файла, который инициирует запущенный процесс.

А информация столбца «ИД процесса (PID)» будет полезна, если вам понадобится узнать, например, какая служба запускает процесс «Svchost.exe».

Заглянув немного вперед, почему мы выбрали именно его в качестве примера. Это важный системный процесс и нужен для включения и управления различных служб. Путаница у многих пользователей с этим процессом возникает от того что одновременно могут быть запущены несколько его экземпляров, но все от разных служб. И для того чтобы понять, какая именно служба относится к отдельно взятому процессу «Svchost.exe», нам и понадобится его числовой идентификатор — PID. Запомнив число, указанное в этом столбце переходим в «Диспетчере Задач» на вкладку «Службы». Находясь в этом окне, нажмите левой кнопкой мыщи по заголовку столбца «ИД процесса». Список отсортируется и вы без труда сможете найти процесс по PID, посмотрев его описание в соответствующем столбце.

Сведений в этом окне конечно очень мало, однако позволяет примерно понять, какая именно служба запустила «Svchost.exe». Мы уже упоминали этот процесс в статье «svchost.exe — вирус или нет?»

Еще одна возможность увидеть, где располагается файл инициирующий запуск процесса, это нажать правой кнопкой мыши на одном из них и выбрать пункт «Открыть место хранения файла».

Со временем вы научитесь легко опознавать любые процессы. Для того, чтобы немного облегчить вам эту задачу, ниже приводим список наиболее типичных программных и системных процессов, большинство из которых по умолчанию запускаются вместе с операционной системой.

alg.exe — системный процесс. служба, являющаяся одним из компонентов ОС Windows необходимая для доступа к Интеренету и работы Брандмауэра. Если завершить этот процесс то подключение к интернет оборвется до следующей перезагрузки Windows.

ati2evxx.exe — является одним из компонентов драйверов для видеокарт AMD/ATI. Осуществляет работу горячих клавиш. Из-за большой нагрузки на ЦП рекомендуется отключить этот процесс и соответствующую службу.

BTTray.exe — компонент драйвера Bluetooth от Widcomm. Необходим для их работы.

csrss.exe — системный процесс Windows, обеспечивающий работу компонента «клиент/сервер». Не может быть отключен. Наиболее сильно подвержен заражению вирусов.

ctfmon.exe — системный процесс, отвечающий за языковую панель, индикатор, отображающий текущую раскладку клавиатуры и обеспечивающий поддержку других альтернативных методов ввода. Отключение этого процесса есстевстенно не рекомендуется.

dwm.exe — системный процесс Windows. Интегрирован в систему, начиная с Windows Vista и 7. Отвечает за графические эфекты рабочего стола, окон и меню, а также нормальное функционирование интерфейса «Aero».

explorer.exe — критический необходимый системный процесс проводника Windows, отвечающий за отображение рабочего стола и меню, возможность осуществления навигации пользователя. Не стоит его отключать.

issch.exe – процесс, позволяющий выполнять проверку обновлений в фоновом режиме стандартного инсталлятора Windows и других программ.

jusched.exe – процесс планировщика для автоматической проверки обновлений Java компонентов . Отключить автоматический запуск этого процесса можно путем выключения автоматической проверки обновлений в настройках Java (Пуск-Панель управления-Java).

lsass.exe – необходимый системный процесс, отвечающий за работу локального сервера проверки подлинности, политику безопасности и авторизации пользователей. Взаимодействует с службой winlogon. Не может быть завершен.

lsm.exe – системный процесс, управляющий удаленными подключениями к локальной системе. Не нужно отключать.

rthdcpl.exe – Процесс, обеспечивающий работу контрольной панели Realtek HD Audio. Иконка для этой программы находится в трее, рядом с часами. Завершение этого процесса может вызвать проблемы работы звука на системе.

rundll32.exe — Необходимй системный процесс Windows запускаемый утилитой командной строки. Позволяет запускать функции и команды DLL — файлов.

services.exe — важный системный процесс, отвечающий за за управление всеми системными службами.

smss.exe — необходимый системный процесс, отвечающий за запуск пользовательского сеанса, а также запуск процессов Winlogon и Csrss.exe. Завершать работу этого процесса нельзя.

spoolsv.exe — системный процесс. Отвечает за функции печати (принтер, факс и тд.).

svchost.exe — один из главных системных процессов, отвечающий за работу целого ряда сервисов и служб. Одновременно может работать несколько его копий, т.к. каждая содержит различные службы.

wininit.exe — необходимый системный процесс WIndows. ВЫполняет в фоновом режиме поддержку работы некоторых наиболее важных системных служб и программ, а также отвечает за своевременный запуск элементов автозагрузки.

winlogon.exe — Критически важный системный процесс. Отвечает за вход и выход пользователей в систему. Не может быть завершен.

wmiprvse.exe — системный процесс, один из компонентов Инструментария управления Windows. Отключение не рекомендуется.

wudfhost.exe – Представляет собой определенный функционал поддержки различных драйверов в ОС Windows. Появляется, к примеру во время подключения телефона по USB.

 

 

Описание процессов Windows

www.ennera.ru

Процессы Windows: Описание и определение безопасности

Поскольку каждый запущенный процесс потребляет определенное количество системных ресурсов, теоретически можно предположить, что чем меньше их работает - тем лучше. На практике все не так просто. Многие процессы по умолчанию стартуют вместе с компьютером независимо от того, будем мы их использовать, или нет. Это сделано разработчиками операционной системы для того, чтоб улучшить стабильность ее работы на большинстве пользовательских компьютеров (Предугадать предпочтения и характер использования ПК каждым пользователем - невозможно). Работа многих процессов критически необходима для нормального функционирования ОС.

Чтоб корректно деактивировать определенный процесс, нужно изменить настройки запуска службы (сервиса) или программы, которая его вызывает. Список возможных сервисов и путь их деактивации я описывал в предыдущих статьях, поэтому дополнительно останавливаться на этом здесь не планирую. В этой статье хотелось бы сосредоточить внимание на другом: Многие вирусы для усложнения их обнаружения, маскируют свои действия под определенный системный процесс. Вычислить их возможно, если знать, какие процессы должны работать у нас в данный момент и какие пути к файлам на диске, которые их активируют.

На первый взгляд, запомнить названия всех активных процессов кажется невыполнимой задачей, но со временем они Вам так примелькаются, что будет достаточно несколько секунд посмотреть на окно Диспетчера задач, чтоб выделить нетипичные процессы для Вашей конфигурации. Я для себя уже достаточно давно определил, что после полной настройки Windows 7 и установки всех необходимых программ, в режиме простоя у меня должно быть запущено 29 - 32 процесса. Если их больше - я начинаю искать службу или приложение, которое активирует лишние.

Сейчас хотелось бы предоставить Вам необходимую информацию о ключевых процессах Windows.

Расположение: "Системная папка" означает, что исполняемый файл ДОЛЖЕН находиться в директории C:\Windows\System32Если Вы переместили системную папку - значит вам точно известно ее местоположение :-)

Если процесс запущен с места, отличающегося от описания - значит есть большая вероятность его заражения, или имитации вредоносной программой

Список основных процессов (в алфавитном порядке):

alcmtr.exe - Процесс, обеспечивающий мониторинг аудиоустройств Realtek AC97. Может быть завершен, но иногда его отключение вызывает проблемы со звуком. Случаев заражения вредоносным ПО не выявлено.

alg.exe - служба Windows, обеспечивающая доступ к Интернету и нормальную работу Брандмауэра Windows. Самостоятельное прямое отключение не рекомендуется, но многие сторонние фаерволы могут заменять этот процесс собственным. Расположение - Системная директория. Возможно заражение некоторыми вирусами.

ati2evxx.exe – Обеспечивает работу программы ATI External Event Utility (Устанавливается вместе с драйверами видеокарт AMD / ATI), поддерживает работу горячих клавиш для видеодрайверов. Благодаря потреблению большого количества системных ресурсов, желательно отключить автозагрузку соответствующей службы. Случаев заражения не обнаружено.

csrss.exe – Подсистема компонента "клиент / сервер", обеспечивающая работу консольных приложений, потоков и среды MS DOS. Не может быть отключен. Всегда распологается в Системной папке. Существует большая вероятность вирусного заражения.

ctfmon.exe – Поддерживает стабильную работу различных функций ввода и отображения данных. Отключение не рекомендуется. Расположен в системной директории. Бывают случаи использования вредоносным ПО.

dumprep.exe – Может активизироваться только после критической ошибки системы (BSOD – "Синий Экран Смерти"), поскольку отвечает за создание дампа памяти. Исключить создание можно, отключив Запись отладочной информации в компоненте "Загрузка и восстановление". Местоположение: Системная папка. Встречаются случаи заражения и имитации данного процесса.

dwm.exe - Интегрирован в систему, начиная с Windows Vista и 7. Отвечает за обработку графических эфектов рабочего стола, окон и меню, нормальное функционирование возможностей интерфейса "Aero". Если Вам более привычен вариант отображения, как в Windows XP - можете отключить службу Aero в настройках системы. Расположение: Системная папка (C:\Windows\System32\dwm.exe). Вероятность заражения - низкая.

dxdiag.exe – сопровождает работу службы диагностики библиотек DirectX. Если Вы не желаете выполнять автоматический поиск проблем этого класса, можете убрать программу DirectX Diagnostic Tool из автозагрузки. Вирусов, имитирующих работу этого приложения обнаружено небыло.

explorer.exe - Проводник Windows. Критический системный процесс, отвечающий за отображение рабочего стола и меню, возможность осуществления навигации пользователя. Не может быть отключен. Путь запуска: C:\Windows. Возможны проблемы нарущения стабильности при его конфликте с недавно установленными (некачественными) приложениями, или заражении вирусом.

hkcmd.exe - Работает только вместе с видеокартами Intel. Осуществляет поддержку горячих клавиш для смены графического режима. При желании может быть отключен путем деактивации функции горячих клавиш в свойствах дисплея. Расположен в системной папке. Вероятность заражения - высокая.

issch.exe – Программа, выполняющая обновление стандартного инсталлятора Windows (InstallShield). Распологается в Системной директории. Случаев заражения  или подмены не обнаружено.

jusched.exe – Программа для проверки по расписанию обновлений для компонентов Java. Отключить автоматический запуск процесса можно в Планировщике задач, или путем выключения автоматической проверки обновлений в настройках Java Plug-in. Вероятность заражения – низкая.

lsass.exe – Отвечает за работу локального сервера проверки подлинности, взаимодействует с службой winlogon. Это критический процесс, не может быть завершен. Размещен в Системной папке. Часто используется вирусным ПО (создание процесса с очень похожим названием, дублирование или внезапное завершение).

lsm.exe – Сопровождает работу программы Local Session Manager (Начиная с Windows Vista и 7), управляет удаленными подключениями к локальной системе. Самостоятельное отключение не рекомендуется. Размещен в Системной папке. Случаев заражения не зарегистрировано.

mdm.exe - Обеспечивает работу функционала отладки программ. В современных версиях Windows, обычно, отключен по умолчанию. Место расположения файла - Системная директория. Существует вероятность заражения вредоносной программой.

nwiz.exe - Предоставляет владельцам видеокарт NVidia возможность дополнительной конфигурации этих устройств. На работу системы не влияет, может быть отключен. Запуск производится от имени системы, в одном процессе. Если это не так - есть большая вероятность заражения.

rthdcpl.exe – Процесс, обеспечивающий работу контрольной панели Realtek HD Audio. При отключении или удалении с автозагрузки самой панели, отключается и процесс. Вероятность использования вредоносным программным обеспечением – очень низкая.

rundll32.exe - Процесс командной строки. Сопутствует загрузке некоторых функций DLL - файлов. Может быть отключен из автозагрузки. Расположение: Системная директория. Может быть использована для запуска и работы вирусов.

services.exe – Отвечает за управление (включение, работу и остановку) системными службами. Самостоятельное отключение недопустимо. Размещен в Системной директории. Инициатором запуска всегда является система (System). Работа под другим пользователем означает заражение вирусом.

smss.exe - Подсистема менеджера пользовательских сеансов, предоставляет возможность запуска некоторых системных процессов и установку переменных. Завершать работу этого процесса нельзя. Расположение - Системная папка. Вероятность заражения - высокая.

spoolsv.exe - Отвечает за функции печати (взимодействие с принтером, факсом и т.д.). Если Вы не используете подобные устройства, отключить процесс можно путем деактивации сервиса "Диспетчер очереди печати". Расположение - Системная директория. Вероятность заражения - низкая.

svchost.exe – Хост-процесс, выполняющий роль контейнера для различных служб. Одновременно может работать много его копий, поскольку каждая содержит в себе службы разных направлений. Размещается всегда в Системной папке. Часто используется вирусными программами.Здесь Вы можете узнать больше информации о процессе svchost.exe

wininit.exe – Ответственный за своевременный запуск элементов автозагрузки, поддерживает работу некоторых системных служб. Отключение не рекомендуется, поскольку может вызвать ухудшение стабильности работы операционной системы. Расположен в Системной папке. Случаев заражения не зафиксировано.

winlogon.exe - Критический системный процесс. Отвечает за вход (выход) пользователя в систему. Не может быть завершен. Находится в системной директории. Возможно использование этого процесса различным вирусным программным обеспечением.

wmiprvse.exe - Один из компонентов инструментария Инструментария управления Windows. Отключение не рекомендуется. Файл расположен по пути: C:\Windows\System32\Wbem. Вероятность использования вирусом - высокая.

wuauclt.exe - Осуществляет возможность обновления операционной системы через Web - интерфейс. После установки требуемых обновлений, может быть отключен путем деактивации службы обновлений. Расположение файла - Системная папка. Есть случаи заражения.

wudfhost.exe – Представляет собой функционал поддержки драйверов в ОС Windows. Не может быть отключен. Расположен в системной директории. Случаев заражения, или имитации работы wudfhost.exe каким-либо вирусом не зафиксировано.

rapidsoft.org

Системные процессы Windows. Как отделить зёрна от плевел.

Эта статья не является полным и подробным гидом по системным процессам Windows. Эта статья скорее может помочь определить какие из них настоящие, а какие – нет. вы спросите, как это может быть? Ответ очень прост. Что такое компьютерный вирус? По сути это простая программа, но она лишь вредит и работает без вашего ведома.

А для того, чтобы она работал, в системе необходимо запустить процесс. Зачастую вирус порождает новый процесс из системного, что может вызвать определённые проблемы. Но об этом ниже. Рекомендуется использовать программы для просмотра запущенных процессов в виде деревьев процессов, что упрощает распознование.

Итак, список «разрешённых», системных процессов и процессов. Иногда процессы запущенных вирусов генерируют название процесса, совпадающее с системным. Отличить их можно по аномально большому выделению памяти и возможности завершения. Такие процессы помечены восклицательным знаком.

explorer.exe – графическая оболочка. Стоит её отключить, и из средств управления системой у простого пользователя останется лишь сам диспетчер задач и командная строка(которую, впрочем, еще надо запустить).

internat.exe – подгружает в трей иконочку используемого языка. Лучше не трогать, хотя, в принципе, ничего критичного. taskmgr.exe – сам диспетчер задач. Если используете стороннюю программу, можете смело его вырубать, дабы не жрал системные ресурсы ( ибо имеет наивысший приоритет).

(!)lsass.exe – генерирует метку пользователя для системы. Важный системный процесс. Отключить вручную невозможно. mstask.exe – планировщик задач. Бесполезен, но отключить тоже нельзя. smss.exe – отвечает за запуск сеанса для конкретного пользователя. Отключить невозможно.

(!)svchost.exe – процесс-источник для всех процессов, использующих DLL. Любимое гнездилище вирусов. Прежде чем отключать, надо смотреть, кто его вызвал и из какой папки. Нужно быть осторожным и не отключить какой-нибудь важный текущий процесс.

services.exe – менеджер системных сервисов. Выключить невозможно. Если вредоносный процесс порождён из него. поделать ничего уже не выйдет. Используйте антивирус.

system – процесс «ядра» системы. Соответственно, выключить тоже невозможно.

Таким образом, отличить вредоносный процесс возможно, хоть и не всегда это просто. Зачастую выполняемые файлы носят случайно сгенерированные имена ( вроде x8er45yu67rw) или имена, которые должны вызвать у пользователя уверенность в том, что это компонент системы. Для предотвращения подобного обмана нужно знать, где и какой исполняемый файл находится (впрочем это относится лишь к самым основным процессам – их список вы можете прочесть выше). Но если «системный» процесс запущен не из папки WINDOWS, это уже является веской причиной для подозрения и выгрузки его из памяти. Тем не менее рекомендуется всегда использовать антивирус, так как простое удаление не всегда может помочь, вирусы зачастую изменяют реестр и системные файлы, и для отката необходимы системы антивируса. Однако эти знания могут пригодится вам, когда, например ваш компьютер заражен новым вирусом, запрещающим выход в интернет, но этого вируса нет в базе вашего антивируса. Тогда, очевидно, необходимо удалить процесс вируса, скачать обновление баз и удалить вирус уже полностью из самого антивируса.

Эти данные являются основными. Однако не стоит удалять все процессы подряд, если их нет в этом списке. прежде чем что-то делать, надобно крепко об этом подумать.

www.softhome.ru

Как получить подробные сведения о процессах в Windows 7 | Сведения о процессах в Windows 7

В статье «Анализ использования памяти с помощью Монитора ресурсов Windows 7» я рассказывал, как использовать Монитор ресурсов (Resource Monitor) для анализа распределения памяти в Windows 7. При этом я упомянул, что графа «Образ» (Image) в таблице «Процессы» (Processes) на вкладке «Память» (Memory) позволяет идентифицировать процессы приложений по имени исполняемого файла. Например, процесс «notepad.exe» со всей очевидностью принадлежит Блокноту (Notepad).

Однако далеко не все процессы можно так легко опознать, и я получил уже немало вопросов от читателей по этому поводу. С идентификацией менее очевидных процессов поможет Диспетчер задач (Task Manager), и в этой статье я расскажу, как его использовать.

Запуск Диспетчера задач

Запустить Диспетчер задач в Windows 7 можно несколькими способами. Во-первых, можно нажать на панели задач правой кнопкой мыши и выбрать опцию «Запустить диспетчер задач» (Start Task Manager). Во-вторых, можно воспользоваться клавишной комбинацией [Ctrl]+[Shift]+[Esc]. И наконец в-третьих, можно запустить исполняемый файл Диспетчера задач из строки поиска меню «Пуск» (Start) — для этого введите taskmgr и нажмите [Enter]. В открывшемся окне выберите вкладку «Процессы» (Processes).

Графа «Описание»

На вкладке «Процессы» есть графа «Описание» (Description, рис. A), в которой приводятся подробные сведения о каждом процессе.

Как получить подробные сведения о процессах в Windows 7Рисунок A. Информация в графе «Описание» помогает идентифицировать процесс.

Добавление столбцов на вкладке «Процессы»

Чтобы получить более подробные сведения о процессах Windows 7, воспользуйтесь командой «Выбрать столбцы» (Select Columns) в меню «Вид» (View). Появится диалоговое окно «Выбор столбцов страницы процессов» (Select Process Page Columns), показанное на рис. B. Отсюда можно добавить на вкладку «Процессы» дополнительные колонки — например, столбец «Путь к образу» (Image Path Name), в котором указывается полный путь к файлу, инициировавшему запущенный процесс Windows 7, или графу «Командная строка» (Command Line), где приводится полная команда для запуска процесса со всеми параметрами и переключателями.

Как получить подробные сведения о процессах в Windows 7Рисунок B. Добавив на вкладку «Процессы» столбцы «Путь к образу» и «Командная строка», можно получить еще более подробные сведения о процессах Windows 7.

Помимо этих столбцов, на вкладку «Процессы» можно добавить и многие другие. Всего в окне «Выбор столбцов страницы процессов» доступно более 30 опций, описание которых не входит в задачи данной статьи. Узнать о назначении всех колонок можно из справочной статьи «Что означают столбцы памяти Диспетчера задач?» на сайте Microsoft.

Опция «Открыть место хранения файла»

Помимо добавления на вкладку столбцов «Путь к образу» и «Командная строка», можно нажать на процессе правой кнопкой мыши и выбрать опцию «Открыть место хранения файла» (Open File Location). При этом откроется папка со всеми файлами, относящимися к данному процессу. К примеру, для процесса «hqtray.exe» на моем компьютере открывается папка «VMware Player» (рис. C).

Как получить подробные сведения о процессах в Windows 7Рисунок C. Команда «Открыть место хранения файла» открывает папку со всеми файлами процесса.

Свойства процесса

Еще один источник информации о процессе Windows 7 — окно свойств, которое можно вызвать, нажав на процессе правой кнопкой мыши и выбрав опцию «Свойства» (Properties). Полезные сведения содержатся на вкладке «Подробно» (Details, рис. D).

Как получить подробные сведения о процессах в Windows 7Рисунок D. В окне свойств содержится подробная информация о процессе.

Утилита Tasklist

Если вас интересует процесс «Svchost.exe», можно воспользоваться утилитой командной строки Tasklist, чтобы узнать о нем поподробнее. «Svchost.exe» — общее имя процесса для всех служб, запускаемых из динамически подключаемых библиотек (DLL). Чтобы узнать, каким службам принадлежит этот процесс, откройте командную строку (Command Prompt) и выполните следующую команду:

Tasklist /svc /fo list

Вы получите список всех запущенных процессов, в котором приводятся сведения о службах для каждого процесса «Svchost.exe» (рис. E).

Как получить подробные сведения о процессах в Windows 7Рисунок E. Команда Tasklist позволяет узнать, каким службам принадлежит процесс «Svchost.exe».

Узнав имена служб, запомните идентификатор (PID) процесса «Svchost.exe». Теперь откройте вкладку «Службы» (Services) в Диспетчере задач и отсортируйте список по столбцу «ИД процесса» (PID). Найдите нужный идентификатор и посмотрите описание, чтобы понять назначение службы Windows 7 (рис. F).

Как получить подробные сведения о процессах в Windows 7Рисунок F. С помощью идентификатора процесса можно найти описание службы на вкладке «Службы».

Сведения, к сожалению, весьма скудные, но хотя бы позволяют понять, какая именно служба запустила процесс «Svchost.exe».

А что думаете вы?

А вам приходилось использовать Диспетчер задач для поиска информации о запущенных процессах Windows 7? Поделитесь своим опытом в комментариях!

Автор: Greg ShultzПеревод SVET

Оцените статью: Голосов 15

www.winblog.ru