Лидеры рейтинга

ID: 259041

Алексеев Владимир Николаевич

Мастер-Эксперт

1061

Россия, пос. Теплоозёрск, ЕАО


ID: 226425

Konstantin Shvetski

Модератор

314

Россия, Северодвинск


ID: 401284

Михаил Александров

Советник

278

Россия, Санкт-Петербург


ID: 137394

Megaloman

Мастер-Эксперт

158

Беларусь, Гомель


ID: 400669

epimkin

Профессионал

105


ID: 404002

sglisitsyn

6-й класс

42


ID: 242862

Hunter7007

Мастер-Эксперт

30

Россия, Омск


8.10.3

30.10.2021

JS: 2.10.3
CSS: 4.6.0
jQuery: 3.6.0
DataForLocalStorage: 2021-12-04 11:45:59-standard


Администрирование, установка, настройка, восстановление, командная строка и консоль ОС Windows.

Администратор раздела: Андреенков Владимир (Академик)

Консультация онлайн # 174714

Раздел:  Windows
Автор вопроса: Хиврич Сергей Алексеевич
Дата: 30.11.2009, 15:41 Консультация закрыта
Поступило ответов: 9

Ув. эксперты!
Подскажите как определить необходимость (вредность) процесса в диспечере задач и как, при необходимости убить вредный процесс.
ОС Win XP SP-2. Для примера процесс wuauclt.exe (что это?) после принудительного завершения возникает снова. Заранее спасибо.

Ответ # 257116 от Гуревич Александр Львович
Здравствуйте, Хиврич Сергей Алексеевич.

Для примера процесс wuauclt.exe (что это?) после принудительного завершения возникает снова.



На сайте http://www.secur...sinfo/265684.php по поводу wuauclt.exe написано следующее:

Wuauclt.exe – клиент системы автообновления Windows. Программа работает в фоновом режиме и периодически подключается с серверу обновлений Microsoft для обновление операционной системы, приложений и драйверов.

Если вы завершите работу процесса Wuauclt.exe в диспечере приложений, он автоматически запустится снова, если включена система автоматического обновления. Процесс работает под пользователем SYSTEM, однако он также может быть запущен под именем текущего пользователя.

Вирусописатели часто используют имя Wuauclt.exe для распространения злонамеренных программ. В этом случае файл Wuauclt.exe будет расположен вне каталога %SystemRoot%\System32. Например троян Backdoor.Clt (W32.Cult) позволяет получить полный контроль над уязвимой системой. Если Wuauclt.exe пытается подключится к 6667 порту, это означает что ваш компьютер заражен Backdoor.Clt.

Гуревич Александр Львович

Посетитель
30.11.2009, 15:52
Ответ # 257117 от Avadon
Здравствуйте, Хиврич Сергей Алексеевич.

Предлагаю Вам воспользоваться бесплатной программой AntiVir Task Manager. (ссылка в приложении).
Программа является по своей сути заменой диспетчера процессов MS Windows? при этом обладает большими возможностями.
Некоторые из них:
1) Отображается описание программ автозапуска и анализ их поведения с точки зрения безопасности..
2) Позволяет получать информацию о процессах и управлять ими.
3) Формирует рейтинг безопасности каждого активного процесса, сервиса и программы автозагрузки оценивает вероятность того, что программа является вредоносной. Рейтинг основан на поведении программы, анализе кода и данных из базы программ
4) Уведомления при попытке программ добавиться в автозагрузку
5) Возможность проверить любой подозрительный процесс или файл антивирусами на virustotal.com

С моей точки зрения программа очень полезная, пользуюсь её всегда.

Надеюсь, что помог!!!

Приложение:


Avadon

Посетитель
30.11.2009, 16:00
Ответ # 257118 от sergtv
Здравствуйте, Хиврич Сергей Алексеевич.

1. Определить необходимость (вредность) процесса можно при помощи программы Process Explorer http://technet.microsoft.com/ru-ru/sysinternals/bb896653.aspx , которая позволит очень наглядно увидеть Вам все процессы запущенные в системе и отметит подозрительные. Так же немного более сложная в освоении, но более полезная - Gmer - Польская утилита предназначенная для поиска и удаления rootkit'ов.
Помимо обнаружения скрытых процессов, файлов, сервисов, ключей реестра и т.д. обладает встроенными средствами мониторинга, - может отслеживать создание процессов, ключей реестра, загрузку драйверов, dll и т.д.

2. wuauclt.exe - Этот процесс проверяет Web сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.

Файл wuauclt.exe всегда расположен в директории C:\Windows\System32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе.

sergtv

Посетитель
30.11.2009, 16:08
Ответ # 257122 от SerKuz
Здравствуйте, Хиврич Сергей Алексеевич.

Для определения вредности процесса/программы, можно попробовать воспользоваться несколькими способами. Я определяю примерно так:

1. Для начала запускаю программу Process Explorer.
Выбираю нужный мне процесс. Смотрю его свойства(Properties) и если я помню, что эта программа должна находится в папке Windows, а она запускается из другой папки, то вероятность, что это вредоносный процесс высока. Там же можно увидеть описание процесса(description), которое добавил программист.

2. Смотрю в свойствах(в Process Explorer), во вкладке Strings, нет ли перечислений имен файлов антивирусов. Обычно, имена файлов антивирусов присутствуют в троянах отключающих антивирусы. Тут нужно иметь в виду, что в обычных программах, тоже могут быть перечисления имен, например в других антивирусах. Также если присутствуют имена различных асек, FTP, "почтовиков" , то возможно, что это вредоносный процесс, который ворует пароли. Естественно, есть специальные программы, для "вспоминания паролей" - их мы не трогаем.

3. Убить процес можно попробовать в том-же Process Explorer (Kill Process). Либо воспользоваться антируткитами: Gmer, Rootkit UnHooker. Но для работы с ними, нужен опыт и понимание, что делаешь, т.к. если "убить" важный процесс windows, можно получить BSOD (синий экран смерти).

4. Для определения, что загружается вместе с windows, можно воспользоваться программой AutoRuns от тех же авторов. В настройках программы, можно включить "проверять цифроваю подпись" (Verify Code Signatures). AutoRuns начнет проверять подпись через интернет. Что это нам дает? Например, если в Publisher будет написано :"(Verified) Microsoft Windows Publisher" , то мы можем быть уверены, что файл подписан компанией Microsoft. Но нужно иметь в виду, множество компаний и программистов не подписывают свои программы цифровой подписью, поэтому не стоит удалять все программы подряд, если они не имеют подписи. Также, не на всех библиотеках/программах microsoft ставит цифровую подпись. С чем это связано - не в курсе.

Основные принципы я привел, остальное приходит с опытом :-)

SerKuz

Посетитель
30.11.2009, 17:17
Ответ # 257125 от Чичерин Вадим Викторович
Здравствуйте, Хиврич Сергей Алексеевич.
Для решения, что за процесс сидит в памяти, проще всего использовать поисковые сервисы. Я просто набираю имя процесса в Google и получаю ответ.
В данном случае получаем такой результат: "Wuauclt.exe is the AutoUpdate Client of Windows Update and is used to check for available updates".
То есть - это клиент автоматического обновления Windows, который определяет доступность обновлений...
Указано также, что файл всегда расположен по адресу: c:/windows/system32/, и в случае расположения файла в другом месте следует немедленно его удалить и принять меры к лечению компьютера...
Отключить клиент через диспетчер проблематично, проще выключить службу Автоматического обновления, что можно сделать через Пуск > Панель управления > Администрирование > Службы...

Чичерин Вадим Викторович

Посетитель
30.11.2009, 17:36
Ответ # 257128 от sn_moskalenko
Здравствуйте, Хиврич Сергей Алексеевич.
Цитата "Процесс wuauclt.exe проверяет Web-сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса wuauclt.exe не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.
Файл wuauclt.exe всегда расположен в директории C:\Windows\System32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе."
Так что проверяйте на вирусы..

sn_moskalenko

Посетитель
30.11.2009, 20:19
Ответ # 257129 от Kvitenol
Здравствуйте, Хиврич Сергей Алексеевич.
wuauclt.exe--Этот процесс проверяет Web сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.

Файл wuauclt.exe всегда расположен в директории C:WindowsSystem32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе.

Информация по файлу wuauclt.exe
http://www.filecheck.ru/process/wuauclt.exe.html
http://www.securitylab.ru/processinfo/265684.php

По процессам:
http://www.osblog.ru/process/

По вирусам:
http://www.osblog.ru/virusview/

Kvitenol

Посетитель
30.11.2009, 20:28
Ответ # 257136 от Cosmocat
Здравствуйте, Хиврич Сергей Алексеевич.
вам необходимо отключить службу автообновления,потом проверить программы прописаные в автозагрузке и снять галки с неизвестных,а также если этот процесс стартует не из директории С:\Windows\System32,то проверить эти ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). и при необходимости удалить из них ключ с таким именем.Удачи,ну и пройтись AVZ-ешником не будет лишним

Cosmocat

Посетитель
30.11.2009, 22:31
Ответ # 257345 от gromik
Здравствуйте, Хиврич Сергей Алексеевич.

Процесс wuauclt.exe проверяет Web-сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса wuauclt.exe не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.
Файл wuauclt.exe всегда расположен в директории C:\Windows\System32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе.
Про процессы можно прочитать здесь: http://support.microsoft.com/?id=263201

gromik

Посетитель
05.12.2009, 10:55
Мини-форум консультации # 174714
неизвестный

1

= общий =    30.11.2009, 16:07

У меня скорее всего вирус, потому что wuauclt.exe в диспечере бывает несколько.
Касперский не помогает, DrWeb CureIt - тоже ничего не находит.
Как полностью убить незнакомый процесс???

Avadon

2

= общий =    30.11.2009, 16:13

Могу посоветовать еще пройтись утилитой AVZ, с включенной опцией блокирования Rootkit-ов, и с максимальным уровнем эвристики.

sergtv

3

= общий =    30.11.2009, 16:15

Как я уже писал- воспользуйтесь Process Explorer и посмотрите путь - откуда запускается wuauclt.exe . Он должен быть в C:\Windows\System32. Если он не там , то это вирус.

Cosmocat

4

= общий =    30.11.2009, 22:30

как уже писалось выше,вам необходимо отключить службу автообновления,потом проверить программы прописаные в автозагрузке и снять галки с неизвестных,а также если этот процесс стартует не из директории С:\Windows\System32,то проверить эти ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). и при необходимости удалить из них ключ с таким именем.Удачи,ну и пройтись AVZ-ешником не будет лишним

Возможность оставлять сообщения в мини-форумах консультаций доступна только после входа в систему.
Воспользуйтесь кнопкой входа вверху страницы, если Вы зарегистрированы или пройдите простую процедуру регистрации на Портале.

Лучшие эксперты раздела

Зенченко Константин Николаевич

Старший модератор

Рейтинг: 244

Коцюрбенко Алексей Владимирович

Старший модератор

Рейтинг: 197

Megaloman

Мастер-Эксперт

Рейтинг: 158

Лысков Игорь Витальевич

Мастер-Эксперт

Рейтинг: 43

Hunter7007

Мастер-Эксперт

Рейтинг: 30

CradleA

Мастер-Эксперт

Рейтинг: 22