Системні процеси Windows. Як відокремити зерна від плевел.
Ця стаття не є повним і докладним гідом по системним процесам Windows. Ця стаття скоріше може допомогти визначити які з них справжні, а які - ні. ви запитаєте, як це може бути? Відповідь дуже проста. Що таке комп'ютерний вірус? По суті це проста програма, але вона лише шкодить і працює без вашого відома.
А для того, щоб вона працювала, в системі необхідно запустити процес. Найчастіше вірус породжує новий процес з системного, що може викликати певні проблеми. Але про це нижче. Рекомендується використовувати програми для перегляду запущених процесів у вигляді дерев процесів, що спрощує розпізнавання.
Отже, список «дозволених», системних процесів і процесів. Іноді процеси запущених вірусів генерують назва процесу, що збігається з системним. Відрізнити їх можна по аномально великим виділенню пам'яті і можливості завершення. Такі процеси позначені знаком оклику.
explorer.exe - графічна оболонка. Варто її відключити, і з засобів управління системою у простого користувача залишиться лише сам диспетчер задач і командний рядок (яку, втім, ще треба запустити).
internat.exe - підвантажує в трей іконочку використовуваної мови. Краще не чіпати, хоча, в принципі, нічого критичного. taskmgr.exe - сам диспетчер задач. Якщо використовуєте сторонню програму, можете сміливо його вирубувати, щоб не жер системні ресурси (бо має найвищий пріоритет).
(!) Lsass.exe - генерує мітку користувача для системи. Важливий системний процес. Відключити вручну неможливо. mstask.exe - планувальник завдань. Марний, але відключити теж не можна. smss.exe - відповідає за запуск сеансу для конкретного користувача. Відключити неможливо.
(!) Svchost.exe - процес-джерело для всіх процесів, що використовують DLL. Улюблена гнездилище вірусів. Перш ніж відключати, треба дивитися, хто його викликав і з якої папки. Потрібно бути обережним і не відключити який-небудь важливий поточний процес.
services.exe - менеджер системних сервісів. Вимкнути неможливо. Якщо шкідливий процес породжений з нього. вдіяти нічого вже не вийде. Використовуйте антивірус.
system - процес «ядра» системи. Відповідно, вимкнути теж неможливо.
Таким чином, відрізнити шкідливий процес можливо, хоч і не завжди це просто. Найчастіше їх файли носять випадково згенеровані імена (на кшталт x8er45yu67rw) або імена, які повинні викликати у користувача впевненість в тому, що це компонент системи. Для запобігання подібного обману потрібно знати, де і який виконуваний файл знаходиться (втім це стосується лише самим основних процесів - їх список ви можете прочитати вище). Але якщо «системний» процес запущений не з папки WINDOWS, це вже є вагомою причиною для підозри і вивантаження його з пам'яті. Проте рекомендується завжди використовувати антивірус, так як просте видалення не завжди може допомогти, віруси найчастіше змінюють реєстр і системні файли, і для відкату необхідні системи антивіруса. Однак ці знання можуть стати в нагоді вам, коли, наприклад ваш комп'ютер заражений новим вірусом, що забороняє вихід в інтернет, але цього вірусу немає в базі вашого антивіруса. Тоді, очевидно, необхідно видалити процес вірусу, скачати оновлення баз і видалити вірус вже повністю з самого антивіруса.
Ці дані є основними. Однак не варто видаляти всі процеси поспіль, якщо їх немає в цьому списку. перш ніж щось робити, треба міцно про це подумати.
Ви запитаєте, як це може бути?Що таке комп'ютерний вірус?