¿Cómo determinar si hay un virus en su computadora a través de los procesos en el Administrador de tareas? ¿Cuáles son los procesos clave del sistema especial?
El Administrador de Tareas de Win2000/XP es una herramienta muy útil que nos puede proporcionar mucha información, como por ejemplo los programas (procesos) que se ejecutan actualmente en el sistema, pero frente al archivo ejecutable. nombres de esos archivos, es posible que esté un poco confundido, no sé qué hacen y si hay algún proceso sospechoso (virus, troyanos, etc.). El propósito de este artículo es proporcionar algunos nombres de procesos comúnmente utilizados en Win2000/XP y explicar brevemente sus usos.
En W2K/XP, presione las teclas crtl+shift+Esc al mismo tiempo para abrir el Administrador de tareas de Windows, haga clic en "Procesos", puede ver muchos procesos en ejecución, mire más de cerca, hay muchos extraños. ¿Archivos EXE en ejecución? Los siguientes no son servicios reales, sino programas o procesos que se ejecutan en diferentes circunstancias, muchos de los cuales son procesos necesarios.
Csrss: Esta es una de las partes centrales de Windows, y su nombre completo es Proceso Cliente Servidor. No podemos terminar el proceso. Este proceso de solo 4K suele consumir entre 3 MB y 6 MB de memoria. Se recomienda no modificar este proceso y dejarlo ejecutar.
Ctfmon: Esta es la "barra de idioma" que se muestra en la esquina inferior derecha del escritorio después de instalar WinXP (especialmente Office XP). Si no desea que aparezca, puede cancelarla siguiendo las instrucciones. pasos a continuación: Haga doble clic en Panel "Control", "Configuración regional y de idioma", haga clic en la pestaña "Idioma", haga clic en el botón "Detalles", abra el cuadro de diálogo "Servicios de texto e idioma de entrada", haga clic en la "Barra de idioma" " de las "Preferencias" a continuación, abra el cuadro de diálogo "Configuración de la barra de idioma" y desmarque "Mostrar barra de idioma en el escritorio". No subestimes este detalle, te ahorrará entre 1,5 MB y 4 MB de memoria.
dovldr32: Si tienes una tarjeta de sonido de la serie Creative SBLive, puedes realizar este proceso, que ocupa entre 2,3 MB y 2,6 MB de memoria. De manera algo extraña, cuando desactivé el proceso desde la barra de tareas y experimenté con el DVD, no se produjo ningún error. Pero si cambia el nombre de este archivo, aparecerá la ventana de advertencia de protección de archivos de Windows y los programas Creative Mixer y AudioHQ no se cargarán. Por supuesto, si quieres ahorrar algo de memoria, puedes desactivarla.
explorador: Esto no es Internet Explorer. explorer.exe siempre se ejecuta en segundo plano. Controla la interfaz de usuario estándar, los procesos, los comandos, el escritorio, etc. Si abre el "Administrador de tareas", lo hará. busque un explorer.exe ejecutándose en segundo plano. Dependiendo de las fuentes del sistema, imágenes de fondo, escritorio activo, etc., suele consumir entre 5,8 MB y 36 MB de memoria.
Ldle: Si ve que muestra un 99% de uso en el "Administrador de tareas", no tenga miedo, esto en realidad es algo bueno, porque significa que su computadora tiene actualmente un 99% de capacidad. para su uso. Este es un proceso crítico y no se puede finalizar. El proceso tiene un tamaño de solo 16 KB y cuenta cíclicamente la inactividad de la CPU.
IEXPLORE: Este es el navegador IE. Cuando lo usamos para navegar por Internet, ocupa 7,3 MB o más de memoria. Por supuesto, esto aumenta con el número de ventanas abiertas del navegador. Pero cuando todas las ventanas de IE estén cerradas, no desaparecerá del administrador de tareas. IEXPLORE.EXE todavía se ejecuta en segundo plano. Su función es acelerar la velocidad cuando volvemos a abrir IE.
Proceso de host genérico para servicios Win32: si después de instalar ZoneAlarm, ZonAlarm siempre se queja de que no puede conectarse a Internet cuando se conecta a Internet, entonces debería mirar más de cerca el siguiente texto. Svhost.exe es un host de servicios genérico, lo que significa que es el host de otros servicios.
Si su conexión a Internet no funciona, es probable que haya deshabilitado algunos servicios necesarios. Por ejemplo, si ha deshabilitado la función "búsqueda de DNS", entonces no estará conectado a Internet cuando ingrese a www.cfan.com. .cn. Pero si ingresa la dirección IP, aunque aún puede navegar por Internet, ¡en realidad ha destruido el proceso clave de navegación por Internet!
msmsgs: este es el famoso proceso MSN de Windows Messenger de Microsoft. (software de mensajería instantánea) Está incluido en las ediciones doméstica y profesional de WinXP. Si también está ejecutando programas como Outlook y MSN Explorer, este proceso se ejecutará en segundo plano para admitir todas estas nuevas tecnologías, como las funciones NET de Microsoft. Las afirmaciones son muy interesantes.
msn6: este es el proceso MSN Explorer (navegador MSN) incluido por Microsoft en WinXP. Este proceso requiere que msmsgs.exe se ejecute de antemano.
Navpw32: este es un proceso que se inicia después de instalar el software NortonAntiVirus2002, a menos que no necesite la función de detección de virus, no finalice este proceso. Este proceso también es responsable de actualizar automáticamente el archivo de la biblioteca de definiciones de virus. La función de mostrar un pequeño icono en la barra de tareas del sistema.
Point32: Este es un programa que se inicia después de instalar un software especial para el mouse (Intellimouse, etc.) Dado que hay muchas funciones nuevas del mouse integradas en WinXP, no es necesario ejecutarlo en segundo plano del sistema. ¡No solo desperdicia entre 1,1 MB y 1,6 MB de memoria, sino que también ocupa espacio en la barra de tareas!
Promon: este es un programa instalado por las tarjetas gráficas de la serie Intel. Muestra un programa de control de íconos en el. barra de tareas y ocupa alrededor de 656 KB a 1,1 MB de memoria.
Smss: solo tiene un tamaño de 45 KB pero ocupa de 300 KB a 2 MB de espacio de memoria. Este es uno de los procesos centrales de Windows y es el programa de administración de sesiones del kernel de Windows NT.
Svchost: en realidad es un servicio. A veces verás varios procesos iguales en el "Administrador de tareas" (respectivamente a cargo del sistema, la red, el usuario u otros), en Windows Un proceso normal. se llama cuando ningún programa o proceso realiza una solicitud a la CPU. El proceso no se puede finalizar. Si muestra que el uso de la CPU es del 97%, significa que solo el 3% del proceso de la CPU está ocupado por el programa real. si encuentra que este ldleprocesses siempre ha mantenido un valor bajo (por ejemplo, siempre muestra 3%), entonces debe haber una aplicación que se ha estado ejecutando y necesita ser revisada.
taskmgr: si ver este proceso Cuando se ejecuta, en realidad mira el "Administrador de tareas" del proceso. Ocupa aproximadamente 3,2 MB de memoria, así que no olvide incluirla al optimizar su sistema.
Vptray: Este es el proceso de un icono que muestra NortonAV en la barra de tareas. Ocupa unos 2,9 MB de memoria. Si movemos este icono de la barra de tareas, se puede recuperar algo de memoria, pero en realidad sí. todavía está allí ejecutándose en segundo plano.
Winlogon: este proceso maneja las tareas de inicio y cierre de sesión. De hecho, este proceso es necesario y su tamaño está relacionado con el tiempo de inicio de sesión. Personalmente he visto la fluctuación del espacio ocupado por este proceso. Uno estuvo conectado durante aproximadamente una hora y la memoria fluctuó entre 1,7 MB y 8,5 MB; el otro estuvo conectado durante más de 40 días y la memoria fluctuó entre 1,7 MB y 17 MB.
Wowexec: cuando ejecuta algunas aplicaciones antiguas (como algunos programas de 16 bits) o ejecuta programas de línea de comandos de DOS en la consola de DOS, lo encontrará en el proceso.
TaskSwitch: este proceso aparecerá después de instalar powerToys en el sistema XP. Presione Alt+Tab para mostrar el icono de cambio, que ocupa aproximadamente entre 1,4 MB y 2 MB de espacio en la memoria.
En WIN2000/XP, el sistema incluye los siguientes procesos predeterminados:
Csrss.exe
Explorer.exe
Internat.exe
Lsass.exe
Mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
Sistema
Proceso inactivo del sistema
Taskmgr.exe
Winlogon.exe p> p>
Winmgmt.exe
Más procesos y sus breves descripciones se enumeran a continuación
Descripción del nombre del proceso
smss.exe Administrador de sesiones
p>proceso del servidor del subsistema csrss.exe
winlogon.exe administra el inicio de sesión del usuario
services.exe contiene muchos servicios del sistema
lsass.exe Administrar IP políticas de seguridad e inicie los controladores de seguridad IP e ISAKMP/Oakley (IKE)
svchost.exe Sistema de protección de archivos de Windows 2000/XP
SPOOLSV.EXE Cargue archivos en la memoria para imprimirlos más tarde
explorer.exe Administrador de recursos
internat.exe Icono Pinyin en el área de la bandeja
mstask.exe permite que el programa se ejecute en un momento específico.
regsvc.exe permite operaciones de registro remotas. (Servicio del sistema)->remoteregister
winmgmt.exe Proporciona información de administración del sistema (Servicio del sistema)
inetinfo.exe msftpsvc,w3svc,iisadmn
tlntsvr.exe tlnrsvr
tftpd.exe implementa el estándar de Internet TFTP.
Este estándar no requiere un nombre de usuario ni contraseña
termsrv.exe termservice
dns.exe responde a solicitudes de consulta y actualización de nombres del Sistema de nombres de dominio (DNS)
tcpsvcs.exe proporciona la capacidad de instalar 2000 Professional de forma remota en equipos cliente PXE con arranque remoto
ismserv.exe permite enviar y recibir mensajes entre sitios de Windows Advanced Server
ups.exe administra conexiones al sistema de alimentación ininterrumpida (UPS) para computadoras
wins.exe Proporciona servicio de nombres NetBIOS para clientes TCP/IP que registran y resuelven nombres de tipo NetBIOS
llssrv.exe Registro de certificados service
ntfrs.exe mantiene la sincronización de archivos del contenido del directorio de archivos entre múltiples servidores
RsSub.exe controla los medios utilizados para almacenar datos de forma remota
locator.exe administra Nombres RPC Base de datos de servicio
lserver.exe Registrar licencia de cliente
dfssvc.exe Administrar volúmenes lógicos distribuidos en LAN o WAN
clipsrv.exe Soporte para visor "portapapeles" " para que la página de recorte se pueda ver desde el portapapeles remoto
La transacción paralela msdtc.exe se distribuye entre más de dos bases de datos, colas de mensajes,
sistema de archivos u otras transacciones Protect Explorer .
faxsvc.exe le ayuda a enviar y recibir faxes.
servicio de indexación cisvc.exe
madmin.exe Servicio de gestión del sistema solicitado por Administración de discos.
mnmsrvc.exe permite a los usuarios autorizados acceder de forma remota al escritorio de Windows mediante NetMeeting.
netdde.exe proporciona las funciones de seguridad y transporte de red de Dynamic Data Exchange (DDE).
smlogsvc.exe configura alertas y registros de rendimiento.
rsvp.exe proporciona señalización de red
y funcionalidad de instalación de control de comunicación local para programas y aplicaciones de control que dependen de la calidad de servicio (QoS).
RsEng.exe coordina servicios y herramientas de administración que almacenan datos utilizados con poca frecuencia.
RsFsa.exe gestiona las operaciones de archivos almacenados de forma remota.
grovel.exe escanea el volumen Zero Backup Storage (SIS) en busca de archivos duplicados y dirige los archivos duplicados a un punto de almacenamiento de datos,
para ahorrar espacio en el disco (solo sistema de archivos NTFS). )
SCardSvr.ex administra y controla el acceso a las tarjetas inteligentes insertadas en el lector de tarjetas inteligentes de una computadora.
snmp.exe contiene agentes que monitorean la actividad del dispositivo de red e informan a la estación de trabajo de la consola de red.
snmptrap.exe recibe mensajes de captura generados por agentes SNMP locales o remotos y luego pasa los mensajes al administrador SNMP que se ejecuta en esta computadora
.
UtilMan.exe inicia y configura herramientas auxiliares desde una ventana.
msiexec.exe instala, repara y elimina software según los comandos contenidos en el archivo .MSI.
Resumen:
El secreto para descubrir procesos sospechosos es leer más de la lista de procesos en el Administrador de tareas. Después de leer demasiado, puede encontrar procesos sospechosos de un vistazo. como buscar un grupo de procesos como un extraño entre personas conocidas.
Es sólo que algunos virus se disfrazarán de procesos del sistema y cortarán muchos procesos que el administrador de tareas no puede eliminar. En este momento, puede descargar IceSword, que puede compensar esta deficiencia hasta cierto punto. El nivel de los guardias de seguridad 360 no es muy alto y ni siquiera pueden asentir, pero Ice Blade puede hacerlo. El más recomendado es xuetr