Службы и Процессы в Windows XP

[SQL]

Службы и Процессы в Windows XP

Выбираю Windows XP поскольку ей пользуется большинство.
В данной теме я собираюсь размещать подробную информацию о службах и процессах происходящий в Windows XP.
Тему хочу открыть с интересной статьи найденной на сайте у http://sergeytroshin.ru/
Если что не так, то поправьте меня и мы это исправим.

Для многих пользователей Windows XP живёт своей собственной жизнью, и их мало интересует, какие скрытые процессы в ней запущены. А между тем, есть ли смысл в фоновой программе или сервисе, если вы его не используете? Зачем тратить на него процессорное время и память? Не стоит ли поинтересоваться, не запущен ли на вашем ПК новый троян или spyware? Как вообще разобраться, что это грузит систему на 100%?

Стандартное средство для контроля за запущенными программами — Task Manager (Диспетчер задач Windows) — хорош только тем, что всегда под рукой, и его легко запустить комбинацией клавиш CTRL-ALT-DEL, что порой является единственным вариантом, если, например, намертво повисла оболочка системы. Но информации он даёт самый минимум — и в окне Applications (Приложения), отвечающем за пользовательские программы, и в Processes (Процессы), отображающем в том числе и скрытые сервисы, по каждому процессу можно узнать только имя исполняемого файла, в каком контексте он запущен (то есть с какими правами — пользователя, системы и так далее), сколько потребляет памяти и ресурсов процессора. Если же вы захотите, например, понять, что же это такое — lssass.exe, то помощи от него не ждите. Ещё более сложный вариант — отличить lsass.exe — системный процесс Local Security Authority Subsystem Service — от скрывающегося под таким же именем, но в другой папке, вируса Email-Worm.Win32.Mydoom.l — даже не рассматривается.

Поэтому для того, чтобы получить максимум информации о запущенных программах и получить при этом полный контроль над ними, придется позаботиться о сторонних диспетчерах задач.
Программы

Самой продвинутой программой для контроля за процессами на сегодня является TaskInfo (www.iarsn.com/taskinfo.html). Она выдаёт массу информации по каждой программе, но нас интересует в первую очередь то, что отображается на вкладке General в правой нижней части её окна при выделении какого-то процесса. А отображаются там такие полезнейшие вещи, как:

команда, которой запущен процесс
часто главнейшую роль играет не столько исполняемый файл, сколько аргумент командной строки;
путь к исполняемому файлу
так можно выявлять вирусы, притворяющиеся легитимными программами;
процесс, который запустил данную программу
также важно для выявления «левого» софта, например, процессы, запущенные Internet Explorer, должны привлекать повышенное внимание.

Ещё одна удобнейшая функция программы — команда Google Process в контекстном меню процесса. «Отгугленный» с ее помощью непонятный процесс перестанет быть для вас секретом, поскольку именно так запускается Интернет-поиск по названию выбранного файла.

Несколько проще программа WinTasks Pro (www.liutilities.com/products/wintaskspro), но, возможно, из-за этого она покажется многим удобнее — в одной строке отображается и название программы, и путь к её файлу на диске, и данные об использовании памяти и процессора. А чуть ниже — справка по каждому процессу, причём программа уже знает практически все системные программы, идущий с драйверами сопутствующий софт и даже многие популярные прикладные программы. И она не просто даёт вам название, но, самое главное, растолковывает — для чего каждый процесс служит. Описание короткое, но для того, чтобы понять, нужна вам эта программа или нет, его достаточно. Например, в нашей тестовой системе из 46 запущенных процессов программа не распознала только 6, в частности архиватор PowerArchiver и утилиты, идущие с драйвером SoundMAX. А вот PuntoSwitcher программа знает, как знает она и софт от Widcomm и ATI. По каждой известной программе WinTasks даёт рекомендацию — насколько безопасно её закрыть, например, по утилите cli.exe, она честно пишет, что поставил её в систему драйвер ATI Catalyst, что служит она для доступа через иконку в системном трее к настройкам драйвера, что её отключение производится по усмотрению пользователя и вреда не несёт.

Немало у программы и других сопутствующих функций — начиная от проверки в интернете обновлений выбранного файла и заканчивая управлением автозагрузкой. Но если поиск обновлений — это действительно интересно, то другие функции конкурирующие программы выполняют лучше — тот же TaskInfo даёт больше информации, а SysInternals Autoruns (www.sysinternals.com) более продвинут по части управления загрузкой программ и драйверов. Есть, правда, ещё одна фича — блокировка приложений, которые вы подозреваете в деструктивной деятельности — это полезно в том случае, если вы пытаетесь закрыть какого-нибудь шпиона, а он сам собой опять запускается.
Онлайн-справочники по процессам

Ни одна программа, конечно, не сможет вместить в себя всю информацию по всем встречающимся в природе процессам. Но помимо Google её может предоставить и специализированная онлайн-энциклопедия, например, такая как ProcessLibrary.com (www.processlibrary.com). На этом сайте вы можете ввести в стандартное окно поиска имя обнаруженной в автозагрузке непонятной программы (или найти в разбитом по алфавиту каталоге) и получить по ней всё, что необходимо для решения её дальнейшей судьбы (есть информация даже по некоторым dll-библиотекам):

имя исполняемого файла:
в нашем примере пусть будет lsass.exe
официальное название процесса:
Local Security Authority Service
назначение процесса:
lsass.exe — системный процесс механизма безопасности Windows, отвечает за локальные политики безопасности и авторизации. Программа важна для стабильной и безопасной работы системы и не может быть закрыта.
специальные замечания:
lsass.exe может также быть процессом, известным как троянский вирус. Этот троян позволяет злоумышленникам получать доступ к вашему ПК, похищать пароли и персональные данные. В этом случае необходимо немедленное удаление. Под именем lsass.exe известен также downloader — программа, загружающая данные (в том числе вирусы и spyware) из Интернета на ПК пользователя без его ведома. Также необходимо срочное удаление. В зависимости от того, законное это приложение или вирус, файл располагается в разных директориях.
рекомендация:
Local Security Authority Service отключать нельзя, он необходим другим программам для корректной работы.
разработчик файла:
Microsoft Corp.
файл является частью программы:
Microsoft Windows Operating System

Далее идут дополнительные данные по процессу: является ли он вирусом, spyware, adware или трояном; сколько использует памяти, является ли системным процессом, является ли прикладной программой, работает ли в фоновом режиме, использует ли сеть и интернет.

Информация более чем исчерпывающая, особенно если учесть наличие форума, посвящённого исключительно этой проблеме — здесь можно обсудить самые неожиданные её аспекты. И заглядывайте на первую страничку сайта — там выведен весьма познавательный Топ-5 по процессам, информацию о которых чаще всего запрашивают, по наиболее опасным вирусам (имена их файлов часто очень похожи на названия системных компонентов: scvhost.exe, lsas.exe), по новым угрозам.

Сайт этот, кстати говоря, занимается продвижением утилиты WinTasks, поэтому вы везде найдёте рекламные ссылки, но делу это не мешает.

Но ограничиваться одним единственным сайтом в случае непонятных программ не стоит. Загляните ещё, например, на process.networktechs.com/lsass.exe.php — по нашему lsass.exe здесь приводится информация даже в более доходчивой форме. Также даётся рекомендация, как поступать с процессом — ни в коем случае не закрывать в менеджере задач, а также указывается, что с таким же именем, но в других директориях (не в windows\system32) могут быть вирусы.

Не очень большую базу данных можно найти на сайте www.neuber.com/taskmanager/process/ — но она ценна тем, что по наиболее популярным процессам приводятся многочисленные (по нескольку десятков мнений) высказывания других пользователей: опасен он или нет, что будет, если его отключить. По каждому системному процессу приводится директория, где он по умолчанию должен находиться — если процесс запущен из другого места, то это, скорее всего, вирус. Приводятся и конкретные названия вирусов, имеющих такое же имя файла, как и запрашиваемый процесс.

 

[SQL]

Типичные процессы
Посмотрим теперь, какие же процессы встречаются на компьютерах рядовых пользователей. Для примера возьмём свежеустановленную Windows XP SP2, в которой были инсталлированы все необходимые драйверы и Microsoft Office. Диспетчер задач на этой, почти чистой системе показывает наличие в памяти 28 процессов, разберёмся, что же это такое и для чего нужно:
acs.exe
Atheros Configuration Service (ACS) — сервис для настройки Wi-Fi-адаптера. Отключать не стоит.
ACU.exe
Atheros Client Utility, утилита настройки Wi-Fi-адаптера, в данной конкретной системе также необходима.
AGRSMMSG.exe
SoftModem Messaging Applet — процесс, устанавливаемый драйвером модема Agere, необходим ему для работы.
alg.exe
Application Layer Gateway Service, ключевой компонент Windows Internet Connection Sharing и Windows Firewall, обеспечивает поддержку плагинов, позволяющих сетевым протоколам работать через общий доступ к интернет-подключению и при подключении к Сети с помощью брандмауэра. Соответственно, отключать можно, если вы их не используете.
ati2evxx.exe
ATI External Event Utility EXE Module, она же — сервис Ati HotKey Poller, утилита, входящая в состав ATI Catalyst, применяется, например, для распознавания подключения внешнего монитора или телевизора, нажатия горячих клавиш. Если это не требуется, можно отключить.
BTTray.exe
Bluetooth Tray Application — один из компонентов драйверов Bluetooth от Widcomm, необходим для их работы
btwdins.exe
Bluetooth Support Server, также необходим для работы драйверов Bluetooth от Widcomm.
CLI.exe
Command Line Interface application for all ACE Components, утилита из состава ATI Catalyst, служит она для доступа через иконку в системном трее к настройкам драйвера, можно отключить, при запуске Control Center она снова загрузится в память.
csrss.exe
Client/Server Runtime Server Subsystem, часть подсистемы Win32, исполняющаяся в пользовательском режиме (в то время как Win32.sys исполняется в режиме ядра), отвечает за работу консольных окон, создание и уничтожение потоков и частично за работу 16-разрядной виртуальной среды MS-DOS. Отключать нельзя. Вирус с таким же именем — Nimda.E.
ctfmon.exe
языковая панель, индиктор, отображающий текущую раскладку клавиатуры и обеспечивающий поддержку альтернативных методов ввода. Если вместо него будете использовать Punto Switcher, то только выиграете. (Раньше индикатором являлся Internat.exe, сейчас под таким именем могут скрываться вирусы.)
eabservr.exe
Easy Access Buttons, программа Quick Launch Buttons на ноутбуках HP Compaq, отвечает за работу дополнительных кнопок.
explorer.exe
оболочка системы, отвечающая за формирование Рабочего стола и окон Проводника. Сам процесс можно перезапускать, если что-то подвисло. А можно и вообще отключать, если вы используете другую оболочку. Следует только обратить внимание на путь к файлу — Windows по умолчанию ищет explorer.exe во всех папках подряд (грубо говоря), поэтому если злоумышленник кинет в корень диска С: трояна с таким названием, то она его спокойно запустит. Хотя Рабочий стол в таком случае вы уже вряд ли получите…
lsass.exe
Local Security Authority Service, локальный сервер проверки подлинности, порождающий процесс, ответственный за проверку пользователей в службе Winlogon, отвечает за локальные политики безопасности и авторизации. Не отключать.
msiexec.exe
компонент Windows Installer, необходим для установки программ, постоянно в памяти обычно не висит, но может в ней остаться после установки какой-то программы или стартовать после перезагрузки ПК для завершения процедуры установки.
services.exe
Services Control Manager, системный процесс, отвечающий за запуск/остановку сервисов и взаимодействие с ними. Программа жизненно важна для Windows, её отключать нельзя. Под этим именем может скрываться также множество вирусов (W32/Leave.B, W32.HLLW.Kazping и так далее, но тогда они расположены в папках, отличных от System32) — будьте внимательны, этот процесс не должен запускаться через разделы RUN реестра!
SMAgent.exe
SoundMAX Service Agent, часть аудио-драйвера, его отключение не сказывается на работе звукового тракта.
SMax4.exe
SoundMAX Control Center, при его отключении просто пропадает иконка SoundMAX в системном трее.
SMax4PNP.exe
SMax4PNP MFC Application, необходим для запуска SoundMAX Control Center (Панель управления SoundMAX).
smss.exe
Session Manager Subsystem, подсистема диспетчера сеансов, ответственная за запуск сеансов пользователей, за запуск процессов Winlogon и Win32 (Csrss.exe) и за установку системных переменных. Отключать нельзя. Пример трояна — Backdoor.IRC.Flood.
spoolsv.exe
Microsoft Printer Spooler Service, спулер печати, необходим для работы принтера, отвечает за управление заданиями на печать и передачу факсимильных сообщений. Под этим именем любят также скрываться вирусы (Backdoor.Ciadoor.B, VBS.Masscal.Worm и т. д.)
svchost.exe (6 штук)
Microsoft Service Host Process, каждая из его копий отвечает за работу целого ряда сервисов, чтобы быстро посмотреть, какие сервисы она запускает, введите в командной строке tasklist /svc. Отключать ненужные сервисы следует в оснастке «Службы» Панели управления. Не должен располагаться в других папках, кроме System32 и прописываться в разделах RUN реестра! Одно из наиболее распространенных имён вирусов!
SynTPEnh.exe
утилита из состава драйвера тачпада от Synaptics, обеспечивает поддержку расширенных функций тачпада (например, назначение специальных действий на отдельные зоны тачпада)
System
системный процесс, отвечает за различные базовые функции — большинство системных потоков режима ядра исполняются от имени процесса System. Не ассоциирован с exe-файлом! Если встретите system.exe — проверьте антивирусом! Если SYSTEM будет грузить процессор на 100%, также проверяйте систему.
taskmgr.exe
собственно, сам Task Manager.
wdfmgr.exe
Windows Driver Foundation Manager, входит в состав Microsoft Windows Media Player и Service Pack 2, отвечает за новую модель драйверов, занимается, в частности, проблемами совместимости WMP с другими приложениями и внешними устройствами. Если WMP завис, попробуйте убить этот процесс. Достаточно безболезненно можно отключить в «Службах». Обратите внимание на имя файла — при перестановке букв (wdfmrg.exe) получается уже вирус.
winlogon.exe
Windows Logon Process, управляет входом пользователей в систему и выходом из неё. Отключать нельзя. Пример вируса с таким названием — W32.Netsky.D.
wscntfy.exe
Windows Security Centre Notification Process, составная часть Windows Security Center, отвечает за значок в трее. Security Center можно отключить в «Службах», если вы его не используете.
Бездействие системы
этот процесс имеет по одному потоку на каждом процессоре и его единственная задача — учитывать время, в течение которого система не занята другими потоками. В диспетчере задач можно видеть, что этому процессу, как правило, соответствует большая часть процессорного времени (то есть процессор не занят). Отключить нельзя.
Разумеется, список этот далеко не полон — все программы, которые могут оказаться в памяти без вашего ведома, перечислить невозможно, но вышеупомянутые сетевые ресурсы помогут разобраться. При просмотре же процессов в своей системе, ещё раз напоминаю, обязательно обращайте внимание на свойства каждого файла, из какой папки и кем он был запущен. Помните о мимикрии вирусов!
Сервисы
О сервисах надо говорить отдельно, поскольку в Task Manager большая их часть никак не отображена. Запустите оснастку «Панель управления» → «Администрирование → «Службы» и щёлкните два раза на заголовке «Состояние» — в результате в верхней части окна окажутся те, которые работают в вашей системе. В нашем случае их оказалось аж 48. Но далеко не все из них действительно необходимы, а некоторые даже вредны. Например, какой смысл держать запущенным сервис «Удаленный реестр»? Чтобы какой-то хороший человек из вашей локалки прописал в разделе RUN вашего реестра свой любимый кейлоггер?
Сама оснастка «Службы» уже предоставляет пользователю минимальное описание почти всех служб — кое-какие выводы по нужности того или иного сервиса можно сделать уже по ним, но лучше, конечно, опять обратиться к внешним источникам, например, программе Advanced Service Control Centre XP (soft.oszone.net/program/656/Advanced_Service_Control_Center_XP).
Запустите её и нажмите кнопку «Проверить текущее состояние» — у части служб появятся флажки. Это те, которые отключены. Чтобы удобнее было работать, лучше выбрать режим, при котором отображаются только активные службы. Теперь выбирайте первую по счёту службу без флажка — Автоматическое обновление (по умолчанию она работает), жмите правую кнопку мыши → «Помощь по службе». Запустится встроенная справка, из которой мы узнаем:
Автоматическое обновление (Automatic Updates)
Если у вас нет постоянного соединения с Интернетом, или если вы хотите контролировать всё, что делает ваш компьютер, то обновлять программное обеспечение, входящее в состав Windows XP, можно и вручную.
Значение по умолчанию в Windows XP Home:
Автоматически
Значение по умолчанию в Windows XP Pro:
Автоматически
Рекомендуемое значение:
Автоматически
Вход от имени:
Локальная система
Зависимость:
Какие службы нужны для нормального функционирования Автоматического обновления (Automatic Updates):
Никакие
Какие службы требуют Автоматическое обновление (Automatic Updates) для нормального функционирования:
Никакие
Разжёвано, как видите, практически всё, дублировать столь подробные описания здесь нет никакого смысла — даже для активных по умолчанию служб они займут слишком много места.

 

[SQL]

Единственное, стоит сказать о том, что значит «Автоматически». В Windows XP разным по важности службам по умолчанию заданы различные способы запуска.
Автоматически
Если необходимо, чтобы служба запускалась на старте системы
Вручную
служба стартует только если ее запускает пользователь или какая-то программа, которой она необходима
Отключена
Служба не стартует, пока пользователь не переключит ее в режим Вручную или Автоматически.
Advanced Service Control Centre XP, таким образом, знает состояние каждой службы по умолчанию, в результате вы получаете практически полную гарантию, что никакие эксперименты не выведут систему из строя — при небольшом старании вы всегда вернётесь в default-положение. Запоминать, что вы выключали, не нужно.
В окне со списком служб Advanced Service Control Centre XP пока только останавливает службы, не меняя режим их запуска, в результате ваши настройки сохраняются только до перезагрузки ПК, поэтому после того, как вы протестируете работоспособность своего выбора, следует вернуться к стандартному средству и выставить выбранные режимы запуска уже там (или воспользоваться неплохой утилитой ServConf (logic.linux8.com)).
Но есть и другой способ — несколько типовых шаблонов настроек уже встроены в программу:

* «Для всех»,
* «Игровая»,
* «Интернет»,
* «Самая урезанная».
Во встроенной справке приводятся подробные описания каждой — кому они больше подходят и какие службы в них отключены. Самая оптимальная и безглючная, например, — «Для всех», а «Самая урезанная» теоретически должна давать максимальную производительность при минимальном функционале (большого эффекта, кстати, не ждите). Эти шаблоны уже влияют на настройки сервисов, и они сохраняются после перезагрузки ПК (собственно, для вступления их в силу перезагрузка необходима), по крайней мере, до применения следующего шаблона.
Учтите только, Advanced Service Control Centre XP работает исключительно со службами из состава Windows XP — то, что ставят сторонние программы и драйверы, она не видит! Поэтому вернуться в стандартную оснастку «Службы» всё же придётся — там отображается уже всё. Но, как правило, если вы увидите там сервисы сторонних проивзодителей, то отключать их не стоит — они нужны тем программам, которые нужны вам, и которые вы же сами и поставили. Хотя, и тут не без исключений — тот же ATI HotKey Poller вполне можно отключить.
Как отключать.
После того как вы разобрались, что в вашей системе запускается и для чего, и выявили ненужные для себя процессы, их следует отключить — простое закрытие процесса в менеджере задач приведёт лишь к временной его дезактивации — при следующем старте ОС он снова окажется в памяти. Да и не очень это корректно — убивать процесс прямо в памяти. Например, после принудительного закрытия ctfmon.exe раскладка в Word не будет переключаться вплоть до перезагрузки ПК, несмотря на запущенный Punto.

Отключать ненужные процессы и сервисы проще всего в стандартном msconfig.exe, чуть больше контроля над сервисами дает оснастка «Службы». Здесь их можно не только отключать, но и устанавливать более безопасный для стабильности системы режим запуска «Вручную», при котором сервис может быть автоматически запущен, если вдруг понадобится какой-то программе (но не все умеют стартовать сервисы). И, наконец, максимум возможностей даёт программа Autoruns (www.sysinternals.com) — она показывает вообще все возможные способы автозагрузки программ, сервисов, драйверов и библиотек, каждую из которых включить-выключить можно одним движением мышки, сняв или поставив соответствующий флажок.

Продолжение следует, скоро статья про так долгожданный svchost.exe

 

[Hacker]

b0rntek
вы забыли добавить одну фразу..
"Если всё это прочитали и у вас неустановленно ни одной программы диспетчера , то ваш компьютер ещё работает"

на самом деле, этим я хотел подчеркнуть одну особенность ОСь Windows..
"не тронь Г.. и оно тебя запахом не замучает!! "

для обычного пользователя, понятие "Зачем тратить на него процессорное время и память?" обсолютно ничего не значит..
лучше объясни правельно, какой комп нужно купить, чтоб не заниматься таким гемором, как чистка реестра и отключение служб..

проще нужно быть.. и люди начнут понимать..

 

[SQL]

Результаты Google 1 - 10 из примерно 3 390 000 для svchost
Есть и другие процессы.
Думаю тема актуальна и интересна, иначе зачем многим пользователям спрашивать про процессы. Вышенаписанный текст вступление к песне

 

[Hacker]

заходим в настройки обозревателя, устанавливаем 1 день держать ссылки, и 50 мег на куки.. всё..!!
никаких лишних действий..
а гугль, чё та много на себя берёт, да и вы ведётесь на его уловки завоевать мир паутины..

 

[SQL]

Мне вот например интересно, что делает каждый процесс в моей системе, для чего он, от чего он, почему он и зачем он. Я думаю кому то это может быть интересно тоже. Вот когда довыкладываю всё про всё , тогда и можно думаю немного попинать меня. Но тема процессов ещё не раскрыта

 

[Hacker]

а вот мне к примеру, совсем неинтересно, что это за процесс и что он делает..
я знаю что этими процессами занимались достаточно сильные умы (поумнее тех кто сидят на форумах), и изменять, а уж тем более удалять эти процессы, дело неблагодарное..
замечу, что многие службы зависят друг от друга, и не являются отдельной программой или дефолтным приложением.. практически всё, что установленно в автозагрузке (кроме гугля, который лезет во все дыры), работает отлично и не нагружает процессор выше нормы..
так что думаю, заботиться надо о проблеммах, при установке программ (и смотреть заранее , что гугль лезет в автозагрузгу нахально, и снимать галочки вовремя).
всё остальное дело пользователя..
в самой Windows я не нашёл вредоносных и загружающих проц, служб..

 

[Артём]

Процессы разные нужны, процессы всякие важны.....
Тема актуальная, материал полезный, поэтому пополняю ее еще одной хорошей программой.
Freeware Task Manager
Описание тут: http://www.tehnari.ru/members/b30.html

 

[SQL]

SVCHOST.EXE

Итак приступим к изучению пожалуй самого интересного и душетрепающему
процессу в системе Windows XP.
Почему он в диспетчере задач расположен в разном количестве?
Может это вирус? Как мы можем об этом узнать?
Что делает этот процесс? Какую роль он играет в нашей системе.
Итак подробно об этом красавце.

Svchost.exe (Generic Host Process for Win32 Services) – системный процесс операционной системы Microsoft Windows, который обрабатывает 32-битные DLL и другие службы. В процессе загрузки на основании записей в реестре Svchost.exe составляет список служб, которые необходимо запустить. Одновременно могут быть запущены несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe содержит группировку служб, следовательно, отдельные службы могут выполняться в зависимости от того, как и когда был запущен Svchost.exe. Таким образом улучшается контроль и упрощается отладка.

Чтобы просмотреть список служб, работающих в процессе Svchost, выполните описанные ниже действия.
1.Нажмите на панели задач Windows кнопку Пуск и выберите пункт Выполнить.
2.В поле Открыть введите команду CMD и нажмите клавишу ENTER.
3.Введите команду Tasklist /SVC и нажмите клавишу ENTER.
Команда Tasklist выводит список активных процессов. Параметр /SVC используется для вывода списка активных служб в каждом процессе. Для получения дополнительных сведений о процессе введите следующую команду и нажмите клавишу ENTER:
Tasklist /FI "PID eq идентификатор_процесса"
(кавычки обязательны).
Также помним про help, вызываем Tasklist /?

Также можно использовать диспетчер задач System Observer, который заменит собой встроенный в систему штатный
диспетчер задач.
В тоже время System Observer вгрызается в автозагрузку, а как известно, чем больше предметов в автозагрузке, тем "быстрее" работает наш дружок.
Есть ещё вариант в лице Process Explorer
Который можно взять тута:
http://technet.microsoft.com/ru-ru/sysinternals/bb896653.aspx
Никуда не вгрызается, выдаёт полнейшую информацию о процессах по вашему желанию.
Не менее интересная программа AutoRuns
Это средство, которое проверяет больше размещений автозапуска, чем любой другой монитор автозагрузки.
Взять можно тут
http://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx

 

[SQL]

Все копии svchost.exe запускаются системным процессом services.exe. Вызовы svchost.exe для сервисов указаны в ключе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\<Service> (где <Service> имя сервиса) в поле ImagePath; например, сервис ComputerBrowser (имя сервиса Browser) вызывается как %SystemRoot%\system32\svchost.exe -k netsvcs. При этом группировка процессов осуществляется на основании данных ветви реестра HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost, где каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов относящихся к группе.

Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог. (например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn
Возьмём например Net-Worm.Win32.Welchia.a
Червь написан на языке Visual C++. Имеет размер около 10КB (10240 байт), упакован UPX. Размножается в виде набора из двух файлов с именами dllhost.exe и svchost.exe.

Содержит текстовые строки:

I love my wife & baby
~~~ Welcome Chian~~~
Notice: 2004 will remove myself
~~ sorry zhongli~~~
Романтик не правда ли?
При запуске червь копирует себя с именем dllhost.exe в каталог %System%\wins, после чего создает сервис с именем WINS Client. Туда же червь копирует файл tftpd.exe из каталога %System%\dllcache, с именем svchost.exe и создает сервис с именем Network Connections Sharing.
В результате этих действий червь будет получать управление и исполняться при каждом запуске Windows.
Червь проверяет системный реестр Windows на наличие информации об установленных патчах и сервисных паках для Windows, и в том случае если патч закрывающий уязвимость в DCOM не установлен, запускает процедуру загрузки данного патча с сайта download.microsoft.com. После того как требуемый патч загружен и установлен, червь перезагружает компьютер.
Червь использует два способа выбора IP-адресов для заражения. В первом варианте он использует из текущего адреса два первых значения A и B и начинает сканирование сетей с A.B.0.0, последовательно перебирая все вышестоящие адреса. Во втором случае адрес выбирается произвольно.
Червь формирует два разных запроса для отправки на удаленные машины. Первый запрос содержит в себе эксплойт уязвимости WebDAV, второй - эксплойт DCOM RPC практически полностью идентичный тому, что был использован в сетевом черве Lovesan.
Червь выбирает IP-адрес, отсылает на него ICMP запрос и ждет ответа. Если удаленный компьютер ответил, червь устанавливает с ним соединение по 135 порту (аналогично Lovesan) или на 80 порт (если на удаленной машине используется IIS) и отсылает подготовленный пакет, содержащий команды для загрузки (при помощи tftp) себя с зараженной машины.
Далее проверяет наличие на удаленной машине файла tftpd.exe и если такой не обнаружен, то загружает его туда (в виде файла svchost.exe) в каталог %System%\wins.
Если текущий год равен 2004, то червь удаляет себя из системы и прекращает свою работу.
Но переписать исходник под свои нужды у кого то труда не составит.
Где был 2004 год, то там вполне может быть 2009 и т.д.
Также можно рассмотреть такой вирус как Trojan-Clicker.Win32.Delf.cn
Примитивный Win32-троянец, созданный для открытия в окне Internet Explorer следующей интернет страницы без ведома пользователя:
http://24***search.com/***irect1.php
Троянская программа представляет собой Windows PE EXE-файл, написана на языке Delphi и имеет размер около 196 КБ. Упакована UPX. Размер распакованного файла — около 527 КБ.
После запуска троянец копирует себя в следующую папку с именем svchost.exe:
C:\DriverLoad\svchost.exe
Затем регистрирует себя в ключе автозапуска системного реестра ..
Про остальные вирусы можно посмотреть на сайте касперского

 

[SQL]

Давайте узнаем Список служб Windows XP, запускаемых с помощью svchost.exe,
а также Список "левых" служб, ссылающихся на svchost.exe
Узнать можно тут http://www.saule-spb.ru/library/index.html
В разделе операционные программы.
(Ничего НЕ удаляем, гуглим если найдём в списке левых службу и анализируем)
Что делать если процесс хавает ресурсы с огромной скоростью, уменьшить скорость? Нет.
Вот подробный пошаговый вариант
http://whiteportal.ru/2007/04/17/process_svchostexe_zagruzhaet_processor_pod_100.html

Что делать если на компьютере действительно вирус?
Сканировать, лечить утилитами от касперского или другими антивирусными утилитами и программами,
предоставленными в виде ссылок на форуме

 

[SQL]

Какие процессы больше всего помимо svchost вызывают ещё пылкий интерес?
Пишите названия и я выложу по ним материал.
Но помните..процесса под именем никакие.exe в природе нет

Добавлено:
Раз ответа не было, то следующим пойдёт процесс services.exe
Когда закончим с svchost.exe

 

[Технарь]

svchost.exe
Практически постояно берет что та с инета.
Даже если все сетьевые приложения отключены только эта служба бывает что та берет с инета.
Защита:Outpost Security Suite Pro и avast 4.8 Pro

 

[SQL]

svchost.exe
Практически постояно берет что та с инета.
Даже если все сетьевые приложения отключены только эта служба бывает что та берет с инета.
Защита:Outpost Security Suite Pro и avast 4.8 Pro

Хорошая штука например отключить автоматическое обновление, например если винда не лиценз. Или поставить с запросом если лиценз. Чтобы на автомате ничего не шло.
Я напишу немного позже о svсhost.exe и интернет. Пока готовлю.

 

[Frau_Muller]

ради эксперимента я отключила некоторые службы. Теперь комп виснет и подключение этих служб сделать невозможно, запуск служб не активен. Что можно сделать, чтобы восстановить отключенные службы?
Восстановление Windows ничего не дало.

 

[SQL]

какие службы?
и где тут в посте было написано что их надо отключать?

 

[Frau_Muller]

Естессно, в этой теме не написано, что дураки могут экспериментировать со службами. Но раз такое приключилось?
Я отключила Удаленный вызов процедур (RPC) и удалила прописанный там профиль. Теперь там стоит авто (в этой службе), но ни одна служба не открывается и компьютер работает с трудом, нет сети, не делаются файловые операции и т.п.

 

[Eli]

Естессно, в этой теме не написано, что дураки могут экспериментировать со службами. Но раз такое приключилось?
Я отключила Удаленный вызов процедур (RPC) и удалила прописанный там профиль. Теперь там стоит авто (в этой службе), но ни одна служба не открывается и компьютер работает с трудом, нет сети, не делаются файловые операции и т.п.

странно что вобще работает

Вопрос!!!а зачем удаляла?

 

[SQL]

спокойно! всем оставаться на своих местах! пристегните ремни!
службу включаем снова.

ох вы намутили
Если же Вы отключили жизненно важную службу, и нет возможности её запуска стандартными средствами, Вам необходимо в реестре по названию службы найти ключ с параметрами этой службы (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services), изменить значение параметра Start на 2 (Start=0x00000002) и перезагрузить систему.
ну и тут