Для того щоб виявити в операційній системі Windows активний вірус, ви повинні бути інформовані про стандартні процесах, що запускаються системою за замовчуванням при кожному завантаженні. Це дозволить відрізнити шкідливий процес від системного процесу або від процесу, що запускається сторонніми програмами. Подальше видалення процесу з диспетчера задач дозволить без зусиль видалити його файл, що запускається. Також звертайте особливо пильну увагу на процеси-двійники, що ховаються за іменами системних процесів (зазвичай вони запущені не від імені SYSTEM, а від імені конкретного користувача) і на процеси, які завантажили процесор на 100%.
Нижче наводжу стандартний набір процесів за замовчуванням на більшості комп'ютерів під управлінням Windows XP.
1. System. Є частиною ядра системи. Зверніть увагу, що процес без розширення .exe. Якщо ж у вас запущений процес System.exe - можна починати панікувати.
2. Smss.exe. Session Manager Subsystem - субсистема менеджера сеансів. Відповідає за запуск сеансів різних користувачів. Завдяки їй можливий моментальний перехід від сеансу одного користувача до іншого або ж фонова робота програм у різних сеансах. Якщо в даний момент на комп'ютері запущено один сеанс користувача, а процесів Smss.exe більше одного - привід задуматися ...
3. Csrss.exe. Client / Server Runtime Server Subsystem - підсистема клієнт / сервер. Незважаючи на назву, процес в основному відповідає за створення вікон. Але навіть якщо вікон відкрито кілька - процес Csrss.exe повинен бути тільки один.
5. Services.exe. Services Control Manager. Процес, який відповідає за роботу служб, необхідний системі як повітря. Повинен бути запущений лише 1 раз і під користувачем SYSTEM.
6. Lsass.exe. Local Security Authority Service. Процес відповідає за локальну політику та іншу безпеку системи. Запущено 1 раз, копії не допускаються.
7. Svchost.exe. Service Host Process. Запускає служби, які не мають власного запускається файлу, так звані, dll-служби. Процесів має бути запущено не більше 6 штук і всі під користувачами SYSTEM, LOCAL SERVICE, NETWORK SERVICE.
8. Ctfmon.exe. Процес, який відповідає за зміну мови клавіатури (розкладку). Також несе відповідальність за значок RU / EN поруч з треєм. Запущено 1 раз, копії не допускаються.
9. Explorer.exe. Відповідає за провідник і робочий стіл, тобто той графічний інтерфейс, до якого ми з вами так звикли. При його відключенні, перед вами залишиться лише Обоіна і диспетчер задач. Також повинен бути запущений лише один раз.
10. Spoolsv.exe. Microsoft Printer Spooler Service - служба, відповідальна за друк, конкретніше, за постановку документів в чергу друку.
11. Wdfmgr.exe. Windows Driver Foundation Manager. Необхідний для підтримки коректної роботи Windows Media Player. Процес не критичний, тому його відключення до зависання системи не призведе.
12. Taskmgr.exe. Task Manager - диспетчер задач. Запущено лише тому, що в цей момент ми в ньому і знаходимося.
13. Бездіяльність системи - не лякайтеся, якщо цей процес займає 100% ресурсів процесора. Якраз навпаки - цей процес відображає, скільки ресурсів вільно.
Автоматичний запуск всіх процесів (не системний) можна відключити в «Настройці системи» ( «Пуск» -> «Виконати ...» -> msconfig), у вкладці «Автозавантаження».