О процессах в диспетчере задач. Кто за что и без кого никуда)
Процессы в диспетчере задач.
Для того чтобы обнаружить в операционной системе Windows активный вирус, вы должны быть осведомлены о стандартных процессах, запускаемых системой по умолчанию при каждой загрузке. Это позволит отличить вредоносный процесс от системного процесса или от процесса, запускаемого сторонними программами. Последующее удаление процесса из диспетчера задач позволит без труда удалить его запускаемый файл. Также обращайте особо пристальное внимание на процессы-двойники, прячущиеся за именами системных процессов (обычно они запущены не от имени SYSTEM, а от имени конкретного пользователя) и на процессы, загружающие процессор на 100%.
Ниже привожу стандартный набор процессов по умолчанию на большинстве компьютеров под управлением Windows XP.
1. System. Является частью ядра системы. Обратите внимание, что процесс без расширения .exe. Если же у вас запущен процесс System.exe – можно начинать паниковать.
2. Smss.exe. Session Manager Subsystem – субсистема менеджера сеансов. Отвечает за запуск сеансов различных пользователей. Благодаря ей возможен моментальный переход от сеанса одного пользователя к другому или же фоновая работа программ в различных сеансах. Если в данный момент на компьютере запущен один сеанс пользователя, а процессов Smss.exe больше одного – повод призадуматься...
3. Csrss.exe. Client/Server Runtime Server Subsystem – подсистема клиент/сервер. Несмотря на название, процесс в основном отвечает за создание окон. Но даже если окон открыто несколько – процесс Csrss.exe должен быть только один.
4. Winlogon.exe. Windows Logon Process – можно сказать, процесс авторизации в Windows. Отвечает за корректный вход в систему конкретного пользователя. Также должен быть запущен лишь единожды.
5. Services.exe. Services Control Manager. Процесс, отвечающий за работу служб, необходим системе как воздух. Должен быть запущен лишь 1 раз и под пользователем SYSTEM.
6. Lsass.exe. Local Security Authority Service. Процесс отвечает за локальную политику и прочую безопасность системы. Запущен 1 раз, копии не допускаются.
7. Svchost.exe. Service Host Process. Запускает службы, не имеющие собственного запускаемого файла, так называемые, dll-службы. Процессов должно быть запущено не больше 6 штук и все под пользователями SYSTEM, LOCAL SERVICE, NETWORK SERVICE.
8. Ctfmon.exe. Процесс, отвечающий за смену языка клавиатуры (раскладку). Также несет ответственность за значок RU/EN рядом с треем. Запущен 1 раз, копии не допускаются.
9. Explorer.exe. Отвечает за проводник и рабочий стол, т.е. тот графический интерфейс, к которому мы с вами так привыкли. При его отключении, перед вами останется лишь обоина и диспетчер задач. Также должен быть запущен лишь один раз.
10. Spoolsv.exe. Microsoft Printer Spooler Service – служба, ответственная за печать, конкретнее, за постановку документов в очередь печати.
11. Wdfmgr.exe. Windows Driver Foundation Manager. Необходим для поддержки корректной работы Windows Media Player. Процесс не критический, поэтому его отключение к зависанию системы не приведет.
12. Taskmgr.exe. Task Manager – диспетчер задач. Запущен лишь потому, что в этот момент мы в нем и находимся.
13. Бездействие системы – не пугайтесь, если этот процесс занимает 100% ресурсов процессора. Как раз наоборот – этот процесс отображает, сколько ресурсов свободно.
Процесс, не находящийся в этом списке, не должен сразу попадать под подозрение. Во-первых, в зависимости от комплекта вашей ОС, служебных процессов может быть и больше. Во-вторых, у каждого производителя оборудования в комплекте драйверов устанавливаются собственные процессы, необходимые для удобной и корректной работы данного оборудования. Внимательно изучите название процесса и сопоставьте с установленным на вашем компьютере ПО или же с драйверами. К примеру, процесс igfxsrvc.exe отвечает за работу видеокарты Intel Graphics, процесс SynTPEnh.exe – за работу сенсорной панели фирмы Synaptics, процессы ati2evxx.exe и CLI.exe – за работу видеокарт семейства ATI Radeon и т.д. и т.п.
Автоматический запуск всех процессов (не системных) можно отключить в «Настройке системы» («Пуск» -> «Выполнить...» -> msconfig), во вкладке «Автозагрузка».Выбор столбцов Диспетчера задач(много буков)Для просмотра запущенных процессов и показателей их производительности выберите вкладку Процессы (Processes) в окне Диспетчер задач Windows (рис. 13.1). Таблица процессов содержит все процессы, запущенные в собственном адресном пространстве, включая все приложения и системные сервисы. Если требуется просмотреть 16-разрядные процессы, то в меню Параметры выберите команду Отображать 16-разрядные задачи (Show 16-bit tasks).
С помощью команды Выбрать столбцы (Select Columns) меню Вид (View) можно добавить на экран новые столбцы показателей. В открывшемся диалоговом окне Выбор столбцов установите флажки рядом с теми показателями, которые должны быть отображены в таблице. В табл. 13.1 кратко описаны основные столбцы таблицы и соответствующие им счетчики.
Рис. 13.1. Вкладка Процессы (Processes) в окне диспетчера задач
Таблица 13.1. Основные счетчики диспетчера задач
Счетчик
Описание
Имя образа (Image Name)
Имя процесса
Идентификатор процесса (PIQ) {Process Identifier)
Числовое значение, которое уникальным образом определяет процесс во время его работы
Загрузка ЦП (СРЦ Usage)
Выраженное в процентах время, в течение которого процесс использовал время процессора с момента последнего обновления
Время ЦП (CPU Time)
Суммарное время процессора, использованное процессом со времени его запуска (в секундах)
Память— использование (Merhbry Usage)
Объем виртуальной памяти, используемой процессом (в килобайтах)
Память— изменение (Memory Usage Delta)
Изменение объема памяти с момента последнего обновления. Диспетчер задач отображает отрицательные значения
Память— максимум (Peak Memory Usage)
Максимальный объем выделенной памяти, использованной процессом с момента запуска. Выделенной памятью является память, которую процесс использует на физическом носителе (например, в ОЗУ) или в файле подкачки г
Ошибки страницы (Page Faults)
Число прерываний, которые возникают, когда приложение пытается прочитать или записать данные в несуществующую виртуальную память
Объекты USER (USER Objects)
Число объектов USER, которые используются в данное время определенным процессом
Число чтений (I/O Reads)
Число операций ввода/вывода, сгенерированных процессом чтения, включая операции для файлов, сети и устройств
Прочитано байт (I/O Read Bytes)
Число байт, прочитанных в ходе операций ввода/вывода, сгенерированных процессом чтения, включая операции для файлов, сети и устройств
Ошибки страницы— изменение (Page Faults Delta)
Изменение числа ошибок страниц с момента последнего обновления
Объем виртуальной памяти (Virtual Memory Size)
Объем виртуальной памяти или адресного пространства, выделенного процессу
Выгружаемый пул (Paged Pool)
Виртуальная память, доступная для кэширования на диск, которая включает в себя всю пользовательскую память и часть системной памяти. Кэширование представляет собой перемещение редко используемых компонентов рабочей памяти из ОЗУ на другой носитель, обычно на жесткий Диск
Невыгружаемый пул (Non-Paged Pool)
Объем памяти операционной системы, используемой процессом (в килобайтах). Данная память никогда не выгружается на диск
Базовый приоритет (Base Priority)
Определяет порядок диспетчеризации потоков процесса для обработки процессором. В Службах очереди сообщений (Microsoft Message Queuing Services, MSMQ) базовый приоритет (или приоритет очереди) определяет proxy-приоритет очереди в общей очереди. Базовый приоритет может быть установлен в диапазоне от -32 766 до 32 767 (значение по умолчанию равно 0) любым приложением MSMQ с разрешениями на запись для очереди. Частные очереди не поддерживают базовый приоритет. MSMQ маршрутизирует и передает сообщения на основе комбинации базового приоритета и приоритета сообщения
Счетчик дескрипторов (Handle Count)
Число дескрипторов объектов в таблице объектов процесса
Счетчик потоков (Thread Count)
Число потоков, запущенных в процессе
Объекты GDI (GDI Objects)
Число объектов GDI, используемых в данный момент процессом.
Объекты из библиотеки графического пользовательского интерфейса (Graphics Device Interface, GDI), входящей в интерфейс прикладного программирования (API) для устройств вывода графики
Число записей (I/O Writes)
Число операций ввода/вывода, сгенерированных процессом записи, включая операции для файлов, сети иустройств
Записано байт (I/O Write Bytes)
Число байт, записанных в ходе операций ввода/вывода, сгенерированных процессом записи, включая операции для файлов, сети и устройств
Прочий ввод/вывод (I/O Other)
Число операций ввода/вывода, сгенерированных процессом, который не является ни чтением, ни записью, включая операции для файлов, сети и устройств. Примером такого типа операции является функция управления
Прочих байт при вводе/выводе (I/O Other Bytes)
Число байт, переданных в ходе операций ввода/вывода, сгенерированных процессом, который не является ни чтением, ни записью, включая операции для файлов, сети и устройств
Код сеанса (Session ID)
Идентификатор сеанса служб терминалов (Terminal Services), если они установлены
Имя пользователя (User Name)
Имя пользователя, который владеет процессом служб терминаловГорячие клавиши Windows
Список используемых в Windows XP сочетаний клавиш
читать дальше
* CTRL+C: копирование
* CTRL+X: вырезание
* CTRL+V: вставка
* CTRL+Z: отмена действия
* DELETE: удаление
* SHIFT+DELETE: удаление выбранного объекта без возможности восстановления, не помещая объект в корзину
* CTRL с перетаскиванием объекта: копирование выделенного объекта
* CTRL+SHIFT с перетаскиванием объекта: создание ярлыка для выбранного объекта
* Клавиша F2: переименование выбранного объекта
* CTRL+СТРЕЛКА ВПРАВО: перемещение точки ввода в начало следующего слова
* CTRL+СТРЕЛКА ВЛЕВО: перемещение точки ввода в начало предыдущего слова
* CTRL+СТРЕЛКА ВНИЗ: перемещение точки ввода в начало следующего абзаца
* CTRL+СТРЕЛКА ВВЕРХ: перемещение точки ввода в начало предыдущего абзаца
* CTRL+SHIFT + клавиши со стрелками: выделение блока текста
* SHIFT + клавиши со стрелками: выбор нескольких объектов в окне или на рабочем столе, а также выделение текста в документе
* CTRL+A: выделение всего документа
* Клавиша F3: поиск файла или папки
* ALT+ВВОД: просмотр свойств выбранного объекта
* ALT+F4: закрытие активного окна или завершение работы активной программы
* ALT+ВВОД: просмотр свойств выбранного объекта
* ALT+ПРОБЕЛ: вызов контекстного меню активного окна
* CTRL+F4: закрытие активного документа в приложениях, в которых одновременно можно открыть несколько документов
* ALT+ТАБУЛЯЦИЯ: переход между открытыми объектами
* ALT+ESC: просмотр объектов в том порядке, в котором они были открыты
* Клавиша F6: поочередный просмотр элементов интерфейса в окне или на рабочем столе
* Клавиша F4: отображение панели адресов в папке «Мой компьютер» или в обозревателе Windows Explorer
* SHIFT+F10: вызов контекстного меню для выделенного элемента
* ALT+ПРОБЕЛ: вызов системного меню для активного окна
* CTRL+ESC: вызов меню «Пуск»
* ALT+подчеркнутая буква в названии меню: вызов соответствующего меню
* Подчеркнутая буква в имени команды открытого меню: выполнение соответствующей команды
* Клавиша F10: активация строки меню в используемой программе
* СТРЕЛКА ВПРАВО: вызов следующего меню справа или подменю
* СТРЕЛКА ВЛЕВО: вызов следующего меню слева или закрытие подменю
* Клавиша F5: обновление активного окна
* Клавиша BACKSPACE: просмотр содержимого папки, расположенной выше на один уровень в каталоге «Мой компьютер» или обозревателе Windows Explorer
* Клавиша ESC: отмена выполняемого задания
* SHIFT при загрузке компакт-диска в привод для компакт-дисков: предотвращение автоматического воспроизведения компакт-диска
* CTRL+SHIFT+ESC: вызов диспетчера задачСочетания клавиш для диалоговых окон
При нажатии клавиш SHIFT+F8 в окнах списков связного выбора включается режим связного выбора. В этом режиме можно использовать клавиши со стрелками, чтобы переместить курсор, сохраняя выбор объекта. Для настройки параметров выбранного объекта нажимайте CTRL+ПРОБЕЛ или SHIFT+ПРОБЕЛ. Чтобы отключить связный режим, нажмите SHIFT+F8. Режим связного выбора отключается автоматически при перемещении фокуса к другому элементу управления.
читать дальше
* CTRL+ТАБУЛЯЦИЯ: перемещение вперед по вкладкам
* CTRL+SHIFT+ТАБУЛЯЦИЯ: перемещение назад по вкладкам
* ТАБУЛЯЦИЯ: перемещение вперед по опциям
* SHIFT+ТАБУЛЯЦИЯ: перемещение НАЗАД по опциям
* ALT+подчеркнутая буква: выполнение соответствующей команды или выбор соответствующей опции
* Клавиша ВВОД: выполнение команды для текущей опции или кнопки
* Клавиша ПРОБЕЛ: установка или снятие флажка с поля, если активный параметр представлен флаговой кнопкой
* Клавиши со стрелками: выбор кнопки, если активная опция входит в группу переключателей
* Клавиша F1: вызов справки
* Клавиша F4: отображение элементов активного списка
* Клавиша BACKSPACE: открывает папку, расположенную на один уровень выше, если папка выбрана в диалоговом окне Сохранение документа или Открытие документаГорячие клавиши стандартной клавиатуры Microsoft Natural Keyboard
читать дальше
* Эмблема Windows: открывает или закрывает меню «Пуск»
* Эмблема Windows+BREAK: вызов диалогового окна Свойства системы
* Эмблема Windows+D: отображение рабочего стола
* Эмблема Windows+M: сворачивание всех окон
* Эмблема Windows+SHIFT+M: восстановление свернутых окон
* Эмблема Windows+E: открытие папки «Мой компьютер»
* Эмблема Windows+F: поиск файла или папки
* CTRL+эмблема Windows+F: поиск компьютеров
* Эмблема Windows+F1: вызов справки Windows
* Эмблема Windows+ L: блокирование клавиатуры
* Эмблема Windows+R: вызов диалогового окна Запуск программы
* Эмблема Windows+U: вызов диспетчера служебных программСочетания клавиш специальных возможностей
читать дальше
* Удерживание правого SHIFT 8 секунд: включение и отключение фильтрации ввода
* Левый ALT+левый SHIFT+PRINT SCREEN: включение и отключение высокой контрастности
* Левый ALT+левый SHIFT+PRINT SCREEN: включение и отключение высокой контрастности
* Пятикратное нажатие SHIFT: включение и отключение залипания клавиш
* Удерживание клавиши NUM LOCK 5 секунд: включение и отключение озвучивания переключения
* Эмблема Windows+U: вызов диспетчера служебных программСочетания клавиш в обозревателе Windows Explorer
читать дальше
* Клавиша END: переход вниз активного окна
* Клавиша HOME: переход вверх активного окна
* Клавиша NUM LOCK+звездочка (*): отображение всех подкаталогов выбранной папки
* Клавиша NUM LOCK+знак «плюс» (+): отображение содержимого выбранной папки
* Клавиша NUM LOCK+знак «минус» (-): сворачивание выбранной папки
* СТРЕЛКА ВЛЕВО: сворачивание выбранного объекта, если развернут, или выбор родительской папки
* СТРЕЛКА ВПРАВО: отображение выбранного объекта, если свернут, или выбор первой вложенной папки
Сочетания клавиш для таблицы символов
Дважды щелкнув символ на сетке знаков, можно перемещаться по сетке, используя сочетания клавиш:
* СТРЕЛКА ВПРАВО: перемещение вправо или в начало следующей строки
* СТРЕЛКА ВЛЕВО: перемещение влево или в конец предыдущей строки
* СТРЕЛКА ВВЕРХ: перемещение на одну строку вверх
* СТРЕЛКА ВНИЗ: перемещение на одну строку вниз
* Клавиша PAGE UP: перемещение вверх на один экран за раз
* Клавиша PAGE DOWN: перемещение вниз на один экран за раз
* Клавиша HOME: переход в начало строки
* Клавиша END: переход в конец строки
* CTRL+HOME: переход к первому символу
* CTRL+END: переход к последнему символу
* Клавиша ПРОБЕЛ: переключение режимов увеличения и обычного представления выбранного символаСочетания клавиш для главного окна консоли управления (MMC)
читать дальше
* CTRL+O: открывает сохраненную консоль
* CTRL+N: открывает новую консоль
* CTRL+S: сохранение открытой консоли
* CTRL+M: добавление и удаление объекта консоли
* CTRL+W: открывает новое окно
* Клавиша F5: обновление содержимого всех окон консоли
* ALT+ПРОБЕЛ: вызов меню «Окно» консоли управления (MMC)
* ALT+F4: закрывает консоль
* ALT+A: вызов меню «Действие»
* ALT+V: вызов меню «Вид»
* ALT+F: вызов меню «Файл»
* ALT+O: вызов меню «Избранное»Сочетания клавиш окна консоли управления (MMC)
читать дальше * CTRL+P: печать текущей страницы или активной области
* ALT+знак «минус»: вызов меню «Окно» активного окна консоли
* SHIFT+F10: вызов контекстного меню «Действие» для выделенного элемента
* Клавиша F1: открывает раздел справки (при наличии) по выделенному объекту
* Клавиша F5: обновление содержимого всех окон консоли
* CTRL+F10: сворачивание активного окна консоли
* CTRL+F5: восстановление активного окна консоли
* ALT+ВВОД: вызов диалогового окна Свойства (при наличии) для выделенного объекта
* Клавиша F2: переименование выбранного объекта
* CTRL+F4: закрытие активного окна консоли; если консоль содержит только одно окно, данное сочетание клавиш закрывает консольПодключение к удаленному рабочему столу
читать дальше * CTRL+ALT+END: открытие диалогового окна Безопасность Microsoft Windows NT
* ALT+PAGE UP: переключение между программами слева направо
* ALT+PAGE DOWN: переключение между программами справа налево
* ALT+INSERT IGNORE: перемещение между программами в порядке, который использовался последним
* ALT+HOME: вызов меню «Пуск»
* CTRL+ALT+BREAK: переключение клиентского компьютера между режимом окон и полноэкранным режимом
* ALT+DELETE: вызов меню «Windows»
* CTRL+ALT+знак «минус» (-): помещение снимка всей области клиентского окна в буфер обмена на сервере терминалов (действие, аналогичное нажатию клавиш ALT+PRINT SCREEN на локальном компьютере)
* CTRL+ALT+знак «плюс» (+): помещение снимка активного окна клиентской области в буфер обмена на сервере терминалов (действие, аналогичное нажатию клавиши PRINT SCREEN на локальном компьютере)
Навигация в обозревателе Microsoft Internet Explorer
читать дальше * CTRL+B: открывает диалоговое окно Упорядочить избранное
* CTRL+E: открывает панель «Поиск»
* CTRL+F: запуск служебной программы поиска
* CTRL+H: открывает панель журнала
* CTRL+I: открывает панель избранного
* CTRL+L: открывает диалоговое окно Открыть
* CTRL+N: запуск еще одного экземпляра обозревателя с аналогичным веб-адресом
* CTRL+O: открывает диалоговое окно Открыть, подобно действию CTRL+L
* CTRL+P: открывает диалоговое окно Печать
* CTRL+R: обновление текущей веб-страницы
* CTRL+W: закрытие текущего окна