| Вован | Дата: Пятница, 24.06.2011, 23:34 | Сообщение # 1 |
 Генералиссимус
Группа: Администраторы
Сообщений: 42
Статус: Offline
| Новые процессы
Троянские программы, оформленные в виде автономного исполняемого файла и никак не скрывающие своего присутствия в системе ( а большинство из них именно так и устроено ), легко обнаруживаются диспетчером задач или любой другой утилитой аналогичного назначения, способной отображать список активных процессов ( например FAR” ом, причём FAR даже более предпочтителен, поскольку появляется всё больше троянцев, удоляющих себя из диспетчера задач).
Зловредный процесс внешне ничем отличается от всех остальных процессов, и чтобы разоблачить его, требуется знать все процессы своей системы и лицо. В частности, свеж установленная Windows 2000/XP создаёт следующие процессы:
[color=red]Internet.exe - Русификатор
Smss.exe – Сервер менеджера сеансов
Csrss.exe – Сервер подсистемы win32
Winlogon.exe– программа регистрации в системе сетевой DDE-агент
Services.exe – Диспетчер управления сервисами
Lsass.exe – сервер защитной подсистемы
Svchost.exe – контейнер для служб и сервисов
Spolsv.exe– Деспетчер очереди печати
Regsvc.exe – регистратор
Mstask.exe– Планировщик
Taskmgr.exe– диспетчер задач
Explorer.exe – Проводник
[size=11]При установке новых приложений и драйверов этот список может быть значительно пополнен. Диспетчер задач не отображает полного пути к исполняемому файлу процесса, заставляя нас теряться в догадках, какому приложению он принадлежит. Попробуйте поискать файл по его имени на диске или запустите FAR и, подогнав курсор к соответствующему процессу в списке, нажав F3, и тогда FAR сообщит полный путь к нему. Файлы, находящиеся в каталоге легально установленного приложения, скорее всего, этому самому приложению и принадлежат. Файлы, находящейся системном каталоге Windows, могут принадлежать кому угодно. Чтобы избежать путаницы, возьмите себе за правило каждый раз при установке нового приложения обращать внимание на процессы, которое оно добавляет.
Неожиданное появление нового процесса, не связанного ни с одним из установленных вами приложений, - надёжный признак троянского внедрения. Скормите связанный с ним исполняемый файл свежей версии вашего любимого антивируса или передайте его специалистам для исследования.
Перечень активных процессов, отображаемые утилитой tlist, входящей в состав пакета Support Tools, бесплатно распространяемого фирмой Microsoft
System Process.(0)
System (8)
SMSS.EXE (316)
CSRSS.EXE (314)
WINLOGON.EXE (364) NetDDE Agent
SERVICES.EXE (392)
Svchost.exe (548)
Svchost.exe (580)
spoolsv.exe (624)
Sms.exe (672) Sygate Personal Firewall
Ups.exe (696)
Vmware-authd.exe (712)
Vmnat.exe (748)
Vmnetdhcp.exe (760)
LSASS.EXE (404)
Explorer.exe (972) Program Manager
Pdesk.exe (1052)
Daemon.exe (1C92) Virtual DAEMON Manager V3.41
Internat.exe (1100)
CMD.EXE (1152) Обработчик команд Windows NT
Taskmgr.exe (1168) Диспетчер задач Windows
Msimn.exe (1108) Входящие – Outlook Express
Far.exe (1196) tlist –t –s –p >11 – Far
CMD.EXE (1268)
Tlist.exe (1280)
Sndvol32.exe (1252) Общий
Emule.exe (820) (U:0.9 D:1.6) eMule v0.30c
WINWORD.EXE (1272) remove.doc – Microsoft Word</span></span>
|
| |
| |
