Рекламный блок.

ASPNET_WP.exe (Microsoft asp.net)
Процесс aspnet_wp.exe используется в большинстве служб и программ, использующих технологию ASP.Net. Если вы используете ASP.Net, то процесс всегда должен быть запущен, в противном случае вы можете завершить процесс для освобождения системных ресурсов.

Файл agentsvr.exe всегда расположен в c:\windows\Microsoft.NET\Framework\v1.1.4322. . В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов( например VBS.Spiltron@mm, VBS.Ypsan.E@mm и другие), использующих имя ASPNET_WP.exe для сокрытия своего присутствия в системе.

agentsvr.exe (Microsoft Agent Server)
Процесс agentsvr.exe используется в некоторых мультимедиа приложениях и Web страницах. Программа является ActiveX компонентой и используется программистами для реализации функций анимации, распознавания голоса и преобразования текста в голос (text-to-speech). Завершение работы программы не влияет на стабильность системы.

Файл agentsvr.exe всегда расположен в c:\windows\msagent\. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов( например W32/Bagle-AA, W32/Agobot-RU, W32/Mytob-LC и другие), использующих имя agentsvr.exe для сокрытия своего присутствия в системе.

Actmovie.exe
Actmovie.exe программа используется операционной системой Microsoft Windows для отображения некоторых типов видео и графических файлов с именем ASF (Activemovie Streaming Format). Программа не является критическим процессом, но ее могут использовать другие приложения (например, хранители экрана). Завершение работы программы не влияет на стабильность системы.

Файл Actmovie.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов, например W32.Gubed, использующих имя Actmovie.exe для сокрытия своего присутствия в системе.

gator - gator.exe
gator.exe процесс, принадлежащий рекламной программе Claria от Claria Corporation. Этот процесс контролирует активность браузера и посылает собранные данные на сервер автора для последующего анализа. Программа также периодически отображает рекламные окна. Программа представляет высокую угрозу персональным данным и должна быть немедленно удалена с вашего компьютера.

Kernel32.dll
Файл Kernel32.dll отвечает за обработку памяти, операций ввода-вывода и прерываний в операционных системах Windows. При запуске Windows, kernel32.dll загружается в защищенную область памяти.

Пользователи часто видят ошибку "invalid page fault" . Это происходит когда программа или приложение пытается получить доступ к защищенной памяти kernel32.dll процесса. Часто такая ошибка вызывается одной определенной программой, но в некоторых случаях ошибка может возникать при запуске нескольких программ.

Файл с Kernel32.dll всегда расположен в папке C:\Windows\ (windows 98/Me) или c:\windows\system32 (Windows XP/2000/2003). В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя Kernel32.dll для скрытия своей активности в системе.

dllhost.exe (Microsoft DCOM DLL Host Process)
Программа отвечает за обработку COM+ процессов в Internet Information Services (IIS) и других программах. Например, ее использует .NET Runtime. В системе может быть загружено несколько процессов с именем DLLhost.exe.

Файл с dllhost.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя DLLhost.exe для скрытия своей активности в системе.

Internat.exe (loads the different input locales)
Процесс Internat.exe выполняется при запуске и загружает поддержку языковых модулей, указанных пользователем. Загружаемые языковые модули указываются в следующем разделе системного реестра:

[HKEY_USERS.DEFAULTKeyboard LayoutPreload]

Internat.exe загружает значок "EN" в системный трей, позволяя пользователю быстро переключатся между языками. Этот значок исчезает, когда процесс останавливается, дополнительную настройку при этом можно выполнить с помощью панели управления.
Языковые настройки для системы загружаются в следующем разделе реестра:

HKEY_USERS\.DEFAULT\Keyboard Layout\Preload

Эти языки используются системными службами, запущенными под учетной записью Local System или когда пользователь не вошел в систему (например, в диалоговом окне входа в систему).

Файл Internat.exe всегда расположен в каталоге C:\Windows\System32. В случае если вы обнаружили файл с таким именем в другом каталоге, его необходимо немедленно удалить. В настоящее время известно несколько десятков вирусов, использующих имя Internat.exe для скрытия своего присутствия в системе.

a006.exe (Adware.W32.Claria)
a006*.exe процесс обслуживающий рекламную программу Claria от Claria Corporation. Этот процесс контролирует активность браузера и посылает данные на сервер Claria для анализа. Также этот процесс периодически отображает рекламный баннер в виде popup окна. Программа представляет высокий риск для безопасности системы и должна быть немедленно удалена.

cidaemon.exe (Microsoft Indexing Service)
Процесс в операционных системах Microsoft Windows, который отвечает за индексацию файлов на вашем компьютере для последующего быстрого поиска необходимой информации. В некоторых случаях он может значительно загружать ресурсы центрального процессора. Однако так как процесс всегда запущен с низким приоритетом, он не сильно влияет на снижение производительности системы в целом. В системе могут быть запущены несколько процессов с именем cidaemon.exe каждый процесс обслуживает отдельный индексный каталог на системе.

Файл всегда расположен в каталоге C:\WINDOWS\system32\cidaemon.exe. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько сетевых червей (VBS.Ypsan и VBS.Spiltron) использующих имя cidaemon.exe для сокрытия своего присутствия в системе.

VERCLSID.EXE
Новый файл в операционной системе Microsoft Windows, устанавливающийся с патчем MS06-015.

Процесс VERCLSID.EXE проверяет расширения оболочки перед тем как они пропишутся в Windows Shell или Windows Explorer. На некоторых компьютерах VERCLSID.EXE перестает отвечать на запросы пользователей. Проблема присутствует в системах, в которых установлены некоторые программы для работы с принтерами, сканерами и фотоаппаратами Hewlett-Packard. Также известно о конфликте с Kerio Personal Firewall. Возможны также конфликты с другими программами.

ДЛя временного решения проблемы рекомендуется выполнить следующие действия:

• Войти на компьютер под административной учетной записью
  
• Зайти в редактор реестра (пуск-запустить-regedit) и найти ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached.
  
• Создать следующий ключ реестра нажав правой клавишей мышки на "Cached" и выбрав создать новое "DWORD" значение реестра. Затем набрать:
  
  {A4DF5659-0801-4A60-9607-1C48695EFDA9} {000214E6-0000-0000-C000-000000000046} 0x401
  
• Установить значение этого ключа к 1.
  
• Закрыть редактор реестра.
  
• Завершить работу процесса Verclsid.exe (используя диспетчер задач) или перезапустить компьютер

hh.exe (Microsoft Windows Help)
hh.exe утилита операционной системы Microsoft Windows, которая вызывается при нажатии клавиши помощи. Процесс не является критическим и его завершение не влияет на стабильность работы системы.

Файл hh.exe всегда расположен в папке /winroot/. В случае, если вы обнаружили файл в любом другом каталоге, он должен быть немедленно удален. В настоящее время известно несколько вирусов (например W32.Dexec), использующих имя hh.exe для скрытия своей активности в системе.

alg.exe (Application Layer Gateway Service)
alg.exe служба операционной системы Microsoft Windows. Она является ядром для Microsoft Windows Internet Connection sharing и Internet connection firewall. Также эту службу используют некоторые сторонние межсетевые экраны. В случае завершения работы этой службы, у вас пропадет доступ в сеть Интернет до перезагрузки компьютера.

Файл alg.exe всегда расположен в директории C:\Windows\System32. В других каталогах под именем alg.exe может скрываться троян, вирус или сетевой червь. Наиболее известные злонамеренные программы, скрываются под именем системного процесса alg.exe W32.Petch, сетевой червь Worm.Fagot и шпионская программа Trojan.Ourxin. В этом случае злонамеренный процесс должен быть немедленно завершен.

regsvc.exe (Remote Registry Service)
regsvc.exe системная служба Microsoft Windows, позволяющая удаленным компьютерам подключаться к локальному реестру. Некоторые локальные программы также используют эту службу для редактирования реестра. В случае если ваш компьютер не подключен к локальной сети то процесс regsvc.exe можно отключить.

Предупреждение! данный файл отсутствует в операционной системе Windows XP. В случае если вы обнаружили в Windows XP файл regsvc.exe, проверьте принадлежит ли этот файл компании Microsoft.

Файл regsvc.exe всегда расположен в директории C:\Windows\System32. 2. В других каталогах под именем regsvc.exe может скрываться троян, вирус или сетевой червь. Наиболее известные злонамеренные программы, скрываются под именем системного процесса regsvc.exe Troj/Cloner, Troj/Dropper-BA и шпионская программа Ace Spy. В этом случае злонамеренный процесс должен быть немедленно завершен.

wuauclt.exe ( Windows Update AutoUpdate Client)
Этот процесс проверяет Web сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.

Файл wuauclt.exe всегда расположен в директории C:\Windows\System32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе.

smss.exe (Windows NT Session Manager)
Это процесс является подсистемой управления сессиями, которая инициализируется при запуске сессии пользователя в операцинной системе Microsoft Windows. Процесс инициализируется системными потоками и соответствует различной активности, включающих запуск Winlogon и Win32(Csrss.exe) процессов и установке системных переменных. После запуска этих процессов, smss ожидает завершение этих процессов, т.е. при перезагрузке системы. Неожиданное завершение работы этого процесса приведет к зависанию системы.

Файл smss.exe расположен в каталоге c:\windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. Наиболее распространенные вирусы, использующие для сокрытия имя smss.exe W32.Dalbug.Worm, Adware.DreamAd, Win32. Brontok, Win32 Sober, Win32.Landis и другие.

explorer.exe (Windows Explorer)
Графическая оболочка операционной системы Microsoft Windows, включающая меню пуск, рабочий стол, панель инструментов и файловый менеджер. В случае удаления этого процесса, исчезнет из виду графический интерфейс для Windows.

Файл Explorer.exe расположен в папке C:\Windows. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. Наиболее распространенные вирусы, использующие для сокрытия имя Explorer.exe W32.MyDoom, w32.Codered, BKDR_ZAPCHAST.

Svchost.exe (Generic Host Process for Win32 Services)
"Svchost.exe" (Generic Host Process for Win32 Services) системный процесс операционной системы Microsoft Windows, который обрабатывает 32-битные DLL и другие службы.

В процессе загрузки на основании записей в реестре Svchost.exe составляет список служб, которые необходимо запустить. Одновременно могут быть запущены несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe содержит группировку служб, следовательно, отдельные службы могут выполняться в зависимости от того, как и когда был запущен Svchost.exe. Таким образом улучшается контроль и упрощается отладка.

Файл Svchost.exe расположен в папке %SystemRoot%\System32. В других каталогах под именем Svchost.exe может скрываться Троян, вирус или сетевой червь. Наиболее известные злонамеренные программы, скрываются под именем системного процесса Svchost.exe W32.Welchia.Worm, W32/Jeefo и W32.Assarm@mm. В этом случае злонамеренный процесс должен быть немедленно завершен.

http://www.securitylab.ru/

Продолжение следует ...

Ctfmon.exe
Ctfmon.exe управляет технологиями альтернативного ввода данных. Он запускает языковую панель (в Systray) и продолжает работать в фоновом режиме даже после закрытия всех программ пакета Office XP. Кроме того, он запускается каждый раз при загрузке Windows и работает в фоновом режиме, независимо от того, запускались ли программы Office XP.

Программа Ctfmon.exe активирует процессор текстового ввода (TIP) компонента «Альтернативный ввод данных» и языковую панель Microsoft Office. Программа производит мониторинг активных окон и предоставляет поддержку клавиатуры, перевода, распознавания речи и рукописных символов, а также других технологий альтернативного ввода данных. Удалять Ctfmon.exe не рекомендуется, потому что это может вызвать проблемы в работе программ пакета Office XP.

Файл Ctfmon.exe всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов (например W32.Snow.A, Spyware.UltraKeylogger, Trojan.Satiloler и другие), использующих имя spoolsv.exe для сокрытия своего присутствия в системе.

spoolsv.exe
spoolsv.exe отвечает за обработку процессов печати на локальном компьютере в операционных системах Microsoft Windows. В случае завершения процесса spoolsv.exe, локальный пользователь не сможет распечатывать задания на локальном принтере.

Файл spoolsv.exe всегда расположен в C:\Windows\System32 директории. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов (например Backdoor.Ciadoor.B, VBS.Masscal.Worm, Hacktool.Privshell и другие), использующих имя spoolsv.exe для сокрытия своего присутствия в системе.

csrss.exe
CSRSS.EXE часть пользовательской Win32 подсистемы. SRSS - сокращение от "client/server run-time subsystem" (клиент/серверная подсистема). csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS.

Файл csrss.exe всегда расположен в каталоге C:\Windows\System32/. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько десятков вирусов (например Trojan.Webus, W32.Dalbug.Worm, Spyware.LoverSpy и множество других), использующих имя csrss.exe для сокрытия своего присутствия в системе.

WINLOGON.EXE
WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.

Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D и множество других), использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.

cisvc.exe
Процесс cisvc.exe (Microsoft Index Service Helper) контролирует использование памяти процессом CIDAEMON.exe и предотвращает проблемы, связанные с нехваткой памяти. Не рекомендуется завершать работу процесса, если вы используете службу индексации на локальном компьютере.

Файл cisvc.exe всегда расположен в каталоге C:\Windows\System32\. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов (например, VBS.Spiltron@mm, VBS.Ypsan.E@mm, W32.HLLW.Gaobot.EE и другие), использующих имя csrss.exe для сокрытия своего присутствия в системе.

dmadmin.exe
Процесс dmadmin.exe отвечает за администрирования логических дисков в операционной системе Microsoft Windows. Процесс запускается каждый раз, когда вы добавляете или изменяете дисковые партиции. Dmadmin является системным файлом Windows и всегда расположен в системном каталоге.

Также имя dmadmin.exe используют несколько программ, не влияющих на безопасность компьютера. В этом случае файл может находится в установочной директории такой программы. В настоящее время известно о трех вирусах, использующих имя dmadmin для сокрытия своего присутствия в системе. Это VBS.Spiltron@mm, VBS.Ypsan.E@mm и VBS.Ypsan.F@mm.

actalert.exe
actalert.exe рекламная программа, принадлежащая компании Avenue Media N.V (www.avenuemedia.com). Этот процесс контролирует просматриваемые Web страницы и отсылает их на сервер автора для последующего анализа. Также программа периодически отображает рекламные баннеры. Программа представляет серьезный риск безопасности вашего компьютера и должна быть немедленно удалена.

cabinet.dll
cabinet.dll (Microsoft Cabinet File API) - файл обеспечивает API при работе с Cabinet (.cab) файлами. Файл необходим для стабильной работы Windows и его отсутствие может повлиять на работу операционной системы.

Файл всегда расположен в каталоге c:\windows\system32\. В настоящее время известно о существовании нескольких вирусов (W32.Blitzdung@mm, Spyware.CMKeyLogger и Spyware.KGBSp), использующих файл cabinet.dll. В этом случае такой файл должен быть незамедлительно удален.

ca.exe
Процесс ca.exe принадлежит программе ETrust EZ Firewall, которая защищает компьютер от интернет атак. Программа обеспечивает безопасность и стабильность работы компьютера, поэтому не рекомендуется завершать ее работу.

В настоящее время существует только один вирус Download.Fullalc, использующий имя ca.exe. В этом случае необходимо немедленно удалить этот файл.

AEC.SYS
AEC.SYS это драйвер подавления акустического эха. В Windows XP SP2 во время запуска системы или после того, как система уже запущена возможно появление ошибки:

STOP 0x0000007e (parameter1, parameter2, parameter3, parameter4)
aec.sys

Microsoft опубликовала специальный патч, устраняющий эту проблему. Патч можно скачать отсюда:
http://www.microsoft.com/downloads/details...0E-798CDED8CBAF

soundman.exe
soundman.exe устанавливается со звуковыми картами от Realtek. Процесс отображает иконку в системном трее, которая позволяет быстро получить доступ к диагностическим функциям звуковой карты.

Имя soundman.exe используют несколько десятков злонамеренных программ, например W32/Agobot-KH, W32/Rbot-AIU, Backdoor.IRC.Aladinz.L и другие. В этом случае подозрительный процесс должен быть немедленно удален.

Append.exe
Append.exe программа в операционной системе Microsoft Windows, позволяющая пользователю открыть файлы в определенной директории как будто он их открыл в текущей директории.

Файл Append.exe всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть немедленно удален. В настоящее известно о существовании нескольких вирусов, например W32/Agobot-NQ, W32/Ahker-G, W32/Indor-A, Troj/WebMoney-G и других, использующих имя Append.exe для сокрытия своего присутствия в системе.

AHUI.EXE ржунемагу
AHUI.EXE (Application Compatibility User Interface) - Пользовательский интерфейс мастера совместимости приложений. Программа позволяет сделать описания выбранного приложения/процесса.

Файл AHUI.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее известно о существовании нескольких вирусов, например Troj/Bankrot-A, использующих имя AHUI.EXE для сокрытия своего присутствия в системе.

ACCWIZ.EXE
ACCWIZ.EXE (Microsoft Accessibility Wizard Module) процесс, который использует Мастер Специальных Возможностей. Мастер помогает настроить Windows для людей с нарушением зрения, слуха и подвижности.

Файл ACCWIZ.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее не известно о наличии вредоносных программ, использующих имя ACCWIZ.EXE.

AcctMgr.exe (Norton Password Manager)
AcctMgr.exe (Norton Password Manager) используется пакетом программ Norton systemworks и отвечает за обработку паролей на вашем компьютере. Программа сохраняет пароли и другую персональную информацию и позволяет быстро восстановить быстро необходимые данные.

Программа не представляет угрозы безопасности вашей системе или приватным данным.

accelerate.exe
accelerate.exe программа для ускорения доступа в Интернет от компании Webroot Software Inc. Программа оптимизирует скорость Интернет соединения, позволяя быстрее загружать Web страницы и скачивать файлы.

Программа не представляет угрозы безопасности вашей системы или приватным данным. В настоящее время не известно о наличии злонамеренного ПО, использующее имя accelerate.exe.

access.exe
access.exe (Adware.InstantAccess) рекламная программа от Egroup. Этот процесс контролирует вашу активность в Интернет и посылает данные на сервер автора для последующего анализа. Также программа периодически отображает рекламные баннеры.

Программа представляет серьезную угрозу безопасности вашей системы и персональным данным и должна быть немедленно удалена в случае обнаружения.

wmiapsrv.exe (Microsoft WMI Performance Adapter)
wmiapsrv.exe адаптер производительности WMI, который собирает информацию о производительности системы. Процесс используется встроенной системой мониторинга производительности в Windows. Завершение работы процесса не влияет на производительность системы.

Файл wmiapsrv.exe всегда расположен в папке c:\windows\system32. В случае если вы обнаружили файл в другом каталоге, его следует немедленно удалить. В настоящее время не известно о существовании злонамеренных программ с именем wmiapsrv.exe.

Notepad
Notepad - простой текстовый редактор для создания документов или Web страниц. Файл является системным и всегда расположен в системном каталоге (с:\indows или с:\windows\system32).

В настоящее время известно несколько злонамеренных программ, распространяющихся под именем Notepad.exe. Это сетевые черви W32/Qaz, W32/Yarner, W32/Theug-A, W32/Qeds-A, трояны Troj/LegMir-AW, Troj/Lewor-C, Troj/Vaq-A и другие. В этом случае злонамеренный процесс должен быть немедленно уничтожен.

GammaTray.exe (MagicTune Traybar Assistant)
Программа от Samsung Electronic, использующаяся утилитой MagicTune. Утилита MagicTune необходима для программной настойки некоторых моделей ЖК мониторов Samsung. Программа не влияет на стабильность работы системы, однако ее завершение может сделать недоступным функции настройки параметров монитора.

. В настоящее время не известно о существовании злонамеренных программ с именем GammaTray.exe.

ntrtscan.exe (Trend Micro OfficeScan)
ntrtscan.exe (Trend Micro OfficeScan) процесс, принадлежащий антивирусной программе от компании Trend Micro. Trend Micro OfficeScan используется для противодействия повседневным угрозам со стороны файловых и сетевых вирусов, а также атакам, использующим средства сбора данных и иным опасностям.

Удаление программы или завершение работы процесса может увеличить риск заражения вашей системы вирусами.

jusched.exe (Sun Java Update Scheduler)
jusched.exe (Sun Java Update Scheduler) программа для проверки новый версий для Sun JAVA. Программа запускается на вашем компьютере по расписанию. Отключить программу можно в панеле управления во вкладке java Plug In, сняв галочку "check for updates automatically".

Программа не влияет на безопасность вашей системы или приватных данных. В настоящее время не известно о существовании злонамеренных программ с именем Jusched.exe.

Mdm.exe
Mdm.exe (Machine Debug Manager) используется Windows NT Option Pack и Microsoft Developer Studio чтобы обеспечить функции отладки приложений. Программа в старых версиях Windows запускалась с запуском Interner Explorer 4.0. В Windows 2000/XP/2003 программа запускается как системная служба при старте компьютера.

Программа всегда расположена в каталоге %winroot%\system32\. В случае обнаружения файла с таким именем в другом каталоге, он должен быть немедленно удален. Например трояны Backdoor.Binghe и Backdoor.Doly, сетевые черви W32.Petch и VBS.Spiltron@mm, шпионская программа Adware.Findwhatever используют имя Mdm.exe для сокрытия своего присутствия в системе.

nvsvc32.exe
nvsvc32.exe (NVIDIA Driver Helper Service) процесс, использующийся драйверами NVIDIA. Процесс не является критическим и может быть остановлен в любое время. Работа этого процесса никак не влияет на работу драйверов для видеокарт.

Файл всегда расположен в c:\windows\system32\. В случае обнаружения файла с таким именем в другом каталоге, он должен быть немедленно удален. В настоящее время известно о существовании нескольких вирусов, распространяющихся под именем nvsvc32.exe

carpserv.exe
carpserv.exe программа для модемов фирмы Zoltrix, которая включает внутренний динамик модема (чтобы слышать dial-up звуки). Работает только на ноутбуках.

Программа не представляет риска безопасности вашему компьютеру или приватным данным.
В настоящее время не известно о наличии злонамеренных программ, использующих имя carpserv.exe.

autotkit.exe
autotkit.exe (HP Helper Process) процесс, который устанавливается на рабочих станциях компании Hewlett Packard. Программа предоставляет дополнительные возможности для конфигурирования рабочей станции.

Программа не представляет риска безопасности вашему компьютеру или приватным данным. В настоящее время не известно о наличии злонамеренных программ, использующих имя autotkit.exe.

Autorun.exe
Autorun.exe - программа, которая обычно запускает программу установки, когда CD или DVD диск вставляется в CD или DVD дисковод. Существует множество разновидностей программ с таким именем и, в основном, они не представляют риска безопасности вашему компьютеру или приватным данным.

Сетевые черви W32.Mydoom.V@mm, W32.Chod.B@mm, W32.Serflog.A и W32.Serflog.B используют имя autorun.exe для сокрытия своего присутствия в системе. В этом случае процесс должен быть немедленно завершен, а подозрительный файл удален.

msmsgs.exe
msmsgs.exe процесс, принадлежащий программе MSN Messenger Internet chat, установленной на большинстве Windows компьютерах. Процесс также создает иконку в системном трее для быстрого доступа к функциям программы. Отключить программу можно в следующем пункте меню:

Start -> Programs -> Windows Messenger -> Tools -> Options -> Preferences

Файл msmsgs.exe всегда расположен в каталоге C:\Program Files\Messenger. В случае обнаружения файла с таким именем в любом другом каталоге он должен быть немедленно удален. Сетевые черви W32.HLLW.Spirit, W32.Alcarys.B, W32.Elitper.A@mm, трояны Troj/ZlobDrop-M и Troj/Dloader-LN используют имя msmsgs.exe для сокрытия своего присутствия в системе.

mstask.exe
mstask.exe (Task Scheduler Engine) служба назначенных заданий, отвечающая за обработку заданий пользователя. В Windows XP файл с таким именем не используется для обработки заданий.

В старых версиях Windows файл mstask.exe расположен в каталоге C:\Windows\System32. В случае обнаружения файла с таким именем в любом другом каталоге он должен быть немедленно удален. Сетевые черви W32/Opaserv-H, W32/Spybot-DS, W32/Antinny-H, трояны Troj/Mkmoose-B, Troj/Delf-AC и множество других злонамеренных программ используют имя mstask.exe для сокрытия своего присутствия в системе.

rundll32.exe
rundll32.exe (Microsoft Rundll32) - утилита командной строки, которая позволяет запускать некоторые команды-функции, заложенные в DLL-файлах. Дданная утилита была разработана для внутреннего пользования программистами Microsoft.

Файл всегда расположен в каталоге C:\Windows\System32. В случае обнаружения файла с таким именем в любом другом каталоге он должен быть немедленно удален. Сетевые черви W32/Lovgate-AB, W32/Deloder-A, трояны Troj/Lineage-AR, Troj/LegMir-AS и Troj/Delf-AC и множество других злонамеренных программ используют имя rundll32.exe для сокрытия своего присутствия в системе.

mmc.exe
Консоль управления Microsoft Management Console - это основа администрирования и управления системы Windows 2000. Это средство операционной системы, которое предоставляет своим встроенным (интегрированным) компонентам или, другими словами, системным приложениям, удобный для использования графический интерфейс.

С помощью MMC существует возможность объединять встроенные в систему (интегрированные) компоненты, создавая собственные надежные средства управления компьютерами предприятия. Созданные таким образом управляющие системы можно сохранить в файлах с расширением .msc (Management Saved Console - сохраненная консоль управления) и распространять их в пределах всей системы (например, задавая к ним доступ с помощью ярлыков или элементов меню Start, отправляя их по почте или размещая на страницах Web).

Сетевые черви W32/Lovgate-F, W32/Oscabot-I, W32/Redplut-A, троян Troj/Kango-A и множество других злонамеренных программ используют имя mmc.exe для сокрытия своего присутствия в системе.

CCAP.EXE
CCAP.EXE (Symantec AntiVirus) процесс, отвечающий за антивирусную защиту в пакете Symantec AntiVirus Internet Security. Программа повышает защищенность вашей системы от Интернет угроз.

Файл всегда расположен в установочной директории пакета Symantec AntiVirus Internet Security. В случае обнаружения файла с таким именем в других каталогах, он должен быть немедленно удален. В настоящее время не известно о существовании злонамеренных программ, использующих имя CCAP.EXE.

ccapp.exe
ccapp.exe (Symantec Common Client CC App) процесс, отвечающий за автоматическую антивирусную защиту и функции проверки email сообщений в программе Norton AntiVirus. Программа повышает защищенность вашей системы от Интернет угроз.

Файл всегда расположен в установочной директории пакета Symantec AntiVirus Internet Security. В случае обнаружения файла с таким именем в других каталогах, он должен быть немедленно удален. В настоящее время известно о существовании несколько сотен сетевых червей, Троянов и других видов злонамеренного ПО, распространяющихся под именем ccapp.exe.

taskman.exe
taskman.exe (Windows Task Manager) программа содержит основные счетчики для мониторинга аппаратных ресурсов компьютера. Программа не влияет на стабильность или безопасность системы, однако не рекомендуется ее удалять, так как она является частью операционной системы.

Файл taskman.exe всегда расположен в папке /system32/. В случае обнаружения файла с таким именем в другом каталоге, он должен быть немедленно удален. Сетевые черви W32/Forbot-T, WM97/Ortant-A, W32/Spybot-DS, Трояны Troj/Soromo-A, Troj/Autotroj-C и множество других злонамеренных программ, используют файл с именем taskman.exe для сокрытия своего присутствия в системе.

winhlp32.exe
winhlp32.exe программа для просмотра Microsoft Windows Help File. Этот процесс открывает файлы на запрос пользователя, касающийся упомянутой темы. Программа не влияет на стабильность или безопасность системы, однако не рекомендуется ее удалять, так как она является частью операционной системы.

Файл winhlp32.exe всегда расположен в папке /system32/. В случае обнаружения файла с таким именем в другом каталоге, он должен быть немедленно удален. В настоящее время известно о существовании нескольких десятков различных типов потенциально опасных программ ( например W32/LegMir, W32.Nosys, W32.HLLC.Abessive, Trojan.Diskfil), использующих файл с именем taskman.exe для сокрытия своего присутствия в системе.

atmadm.exe
atmadm.exe - Диспетчер вызовов ATM - ATM Call Manager Utility. Программа отвечает за контроль подключений и адресов, зарегистрированных диспетчером вызовов ATM в сетях с асинхронным режимом передачи (ATM). Команда atmadm может быть использована для вывода статистики входящих и исходящих вызовов ATM-адаптеров. Вызванная без параметров команда atmadm отображает статистику для контроля состояния активных ATM-подключений.

Файл atmadm.exe всегда расположен в папке /system32/. В случае обнаружения файла с таким именем в другом каталоге, он должен быть немедленно удален. В настоящее время не известно о существовании потенциально опасных программ, распространяющихся под именем atmadm.exe.

Attrib (Attrib.exe)
Позволяет просматривать, устанавливать или снимать атрибуты файла или каталога, такие как «Только чтение», «Архивный», «Системный» и «Скрытый». Выполненная без параметров команда attrib выводит атрибуты всех файлов в текущем каталоге.

At (at.exe)
Запуск программ и команд в заданное время. Команду at можно использовать только при запущенной службе расписаний. Вызванная без параметров команда at выводит список всех команд и программ, которые будут запущены с ее помощью.

Assoc (Assoc.exe)
Вывод или изменение связи между расширениями имени и типами файлов. Запущенная без параметров команда assoc выводит список текущих связей между расширениями имени и типами файлов.

Arp
Служит для вывода и изменения записей кэша протокола ARP, который содержит одну или несколько таблиц, использующихся для хранения IP-адресов и соответствующих им физических адресов Ethernet или Token Ring. Для каждого сетевого адаптера Ethernet или Token Ring, установленного в компьютере, используется отдельная таблица. Запущенная без параметров, команда arp выводит справку.

sessmgr.exe
sessmgr.exe (Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager) - управляет возможностями удаленного помощника. После остановки данной службы удаленный помощник будет недоступен. Если вам не нужна данная служба, то просто отключите ее.

Файл sessmgr.exe всегда расположен в каталоге /winroot/system32/. В случае обнаружения файла с таким именем в другой директории, он должен быть немедленно удален. В настоящее время не известно о наличии злонамеренных программ, использующих имя файла scardsvr.exe для сокрытия своего присутствия в системе.

scardsvr.exe
scardsvr.exe (Модуль поддержки смарт-карт (Smart Card Helper)) - обеспечивает поддержку для старых устройств чтения смарт-карт (без PnP). Если эта служба остановлена, на этом компьютере не будут поддерживаться старые устройства чтения смарт-карт.

Данная служба используется для поддержки локальной или сетевой авторизации через смарт-карты. Если вы не используете смарт-карты, то смело можете отключать данную службу.

Файл scardsvr.exe всегда расположен в каталоге /winroot/system32/. В случае обнаружения файла с таким именем в другой директории, он должен быть немедленно удален. В настоящее время не известно о наличии злонамеренных программ, использующих имя файла scardsvr.exe для сокрытия своего присутствия в системе. Некоторые сетевые черви удаляют файл scardsvr.exe, так как его отсутствие при некоторых условиях понижает безопасность системы

bootok.exe
bootok.exe исполняемый файл от Microsoft, который проверяет аутентификацию и доступность загрузки во время запуска компьютера. Политика ключей реестра может сделать недоступной загрузку при выполнении определенных условий, bootok.exe проверяет наличие таких условий.

Файл bootok.exe всегда расположен в каталоге /winroot/system32/. В случае обнаружения файла с таким именем в другой директории, он должен быть немедленно удален. В настоящее время не известно о наличии злонамеренных программ, использующих имя файла bootok.exe для сокрытия своего присутствия в системе. Некоторые сетевые черви удаляют файл bootok.exe , так как его отсутствие при некоторых условиях влияет на безопасность системы.

cm.exe

cm.exe (Configuration Module) процесс, эквивалентный службе Trend Micro Management Infrastructure (TMI). Процесс выполнят вспомогательные задачи для TMI.

Файл cm.exe всегда расположен в каталоге /program files/trend/common/tmi. Под именем cm.exe может скрываться опасный троян Trojan.Goldun.G, который позволяет удаленно управлять вашим компьютером, красть пароли и личные данные. В случае обнаружения файла с таким именем в другой директории, он должен быть немедленно удален.

sage.exe

sage.exe (System Agent) системный процесс Microsoft, выполняющий функции обслуживания системы, типа очистки диска, дефрагментации и т.п. sage.exe является системным процессом и не представляет риска безопасности вашей системы.

Сетевой червь W32/Sdbot-NB, распространяющийся через сетевые общедоступные ресурсы, использует имя sage.exe для сокрытия своего присутствия в системе. W32/Sdbot-NB копирует себя в системную папку и создает следуюший ключ реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Laptop Access = Sage.exe

В случае обнаружения подобного файла, он должен быть немедленно удален.

drwtsn32.exe

drwtsn32.exe Программа «Доктор Ватсон для Windows» это отладчик ошибок, выполняющий сбор сведений о компьютере в случае возникновения ошибок (или сбоев пользовательского режима) в работе программ. Сведения, собранные программой «Доктор Ватсон», могут использоваться специалистами по технической поддержке для анализа причин возникновения ошибок. При обнаружении ошибки программа «Доктор Ватсон» создает текстовый файл (Drwtsn32.log), который можно каким-либо образом отправить специалистам по технической поддержке. Кроме того, программа «Доктор Ватсон» позволяет создать двоичный файл аварийной копии памяти, который программисты могут загружать в отладчик.

В случае возникновения ошибки программ «Доктор Ватсон для Windows» запускается автоматически. Чтобы настроить параметры программы «Доктор Ватсон», выполните следующие действия.

1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. Введите команду drwtsn32 и нажмите кнопку ОК.


По умолчанию файл, создаваемый программой «Доктор Ватсон», имеет имя Drwtsn32.log и сохраняется в следующей папке:
диск:\Documents and Settings\All Users.WINNT\Application Data\Microsoft\Dr Watson

Программа Drwatson.exe представляет собой более старую версию отладчика ошибок, входящего в состав более ранних версий Windows NT. Корпорация Майкрософт рекомендует в Windows XP использовать файл Drwtsn32.exe вместо файла Drwatson.exe.

В настоящее время известно о существовании нескольких злонамеренных программ, использующих Drwtsn32.exe или Drwatson.exe для сокрытия своего присутствия в системе (например BAT.Install.Trojan, W32.Bambo, Backdoor.Assasin). В случае обнаружения такого файла он должен быть немедленно удален.

alcmtr.exe

alcmtr.exe процесс, который устанавливается совместно с Realtek AC97 аудио устройством и обеспечивает службы мониторинга. alcmtr.exe не является критическим процессом, однако ее завершение может вызвать проблемы с работой звука на системе. Программа прописывается в автозапуске и запускается в момент старта Windows.

В настоящее время неизвестно о наличии злонамеренного ПО, использующего имя alcmtr.exe для сокрытия своего присутствия в системе.

rthdcpl.exe

rthdcpl.exe процесс, использующийся контрольной панелью Realtek HD Audio Control Panel и устанавливающийся с различными звуковыми картами Realtek. rthdcpl.exe не является критическим процессом, однако ее завершение может вызвать проблемы с работой звука на системе. Программа прописывается в автозапуске и запускается в момент старта Windows.

В настоящее время неизвестно о наличии злонамеренного ПО, использующего имя alcmtr.exe для сокрытия своего присутствия в системе.

Nwiz.exe

Nwiz.exe часть программы NVidia Nview для управления графическим ускорителем. Приложение представляет пользователю доступ к дополнительным возможностям конфигурирования видеокарты. Процесс Nwiz.exe не является критическим и может быть завершен по усмотрению пользователя.

В настоящее время известно о наличии нескольких злонамеренных программ, например W32/Agobot-LB, W32/Chode-J, Bat/Mumu-A, использующих имя nwiz.exe для сокрытия своего присутствия в системе. В этом случае злонамеренный файл должен быть немедленно удален.

OFFLB.EXE

OFFLB.EXE (Office Life Boat for Program Recovery) процесс в office 2007, отвечающий за восстановления зависших office программ.

Существуют 2 версии файлов - 12.0.3417.1003 с контрольной суммой 0009D334 и 12.0.4017.1003 с с контрольной суммой 0008C6E9.

В настоящее время не известно о существовании вредоносных программ, использующих имя OFFLB.EXE для сокрытия своего присутствия в системе.

vsmon.exe

vsmon.exe процесс принадлежащий персональному межсетевому экрану ZoneAlarm. Он используется для контроля интернет трафика и создания предупреждений в зависимости от настроек безопасности пользователя. Программа необходима для стабильной и безопасной работы компьютера. В настоящее время известно о существовании множества вирусов (W32/Rbot-FB, W32/Agobot-EI, Troj/LanFilt-J, W32/Ahker-B и другие), использующие имя vsmon.exe для сокрытия своего присутствия в системе. В этом случае, необходимо завершить работу подозрительного процесса и проверить систему на наличие вирусов. Оригинальная версия vsmon.exe может быть завершена только остановкой соответствующей службы и перезапуском компьютера.

wdfmgr.exe

wdfmgr.exe (Windows User Mode Driver Manager ) процесс, являющийся частью Microsoft Windows Media Player 10 и более поздних версий. Процесс увеличивает стабильность системных драйверов Microsoft Windows.

В настоящее время зарегистрирован 1 сетевой червь W32/Agobot-TB, использующий имя wdfmgr.exe для сокрытия своего присутствия в системе. В этом случае, необходимо завершить работу подозрительного процесса и проверить систему на наличие вирусов.

Dekker
Спасибо,ценная информация!