Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

RFpro.ru: Windows 2000/XP/Vista пользователю


Хостинг портала RFpro.ru:
Московский хостер
Профессиональный платный хостинг на базе Windows 2008

РАССЫЛКИ ПОРТАЛА RFPRO.RU

Чемпионы рейтинга экспертов в этой рассылке

F®ost
Статус: Советник
Рейтинг: 5571
∙ повысить рейтинг »
Black Cloud
Статус: Бакалавр
Рейтинг: 2979
∙ повысить рейтинг »
Kom906
Статус: 10-й класс
Рейтинг: 2328
∙ повысить рейтинг »

/ КОМПЬЮТЕРЫ И ПО / Установка и настройка ОС / Windows 2000/XP/Vista пользователю

Номер выпуска:1555
Дата выхода:06.12.2009, 04:00
Администратор рассылки:Калашников О.А., Руководитель
Подписчиков / экспертов:1297 / 765
Вопросов / ответов:1 / 9
IRC-канал по теме:#win2000user

Вопрос № 174714: Ув. эксперты! Подскажите как определить необходимость (вредность) процесса в диспечере задач и как, при необходимости убить вредный процесс. ОС Win XP SP-2. Для примера процесс wuauclt.exe (что это?) после принудительного завершения возникает с...



Вопрос № 174714:

Ув. эксперты!
Подскажите как определить необходимость (вредность) процесса в диспечере задач и как, при необходимости убить вредный процесс.
ОС Win XP SP-2. Для примера процесс wuauclt.exe (что это?) после принудительного завершения возникает снова. Заранее спасибо.

Отправлен: 30.11.2009, 15:41
Вопрос задал: Хиврич Сергей Алексеевич, Посетитель
Всего ответов: 9
Страница вопроса »


Отвечает Гуревич Александр Львович, Специалист :
Здравствуйте, Хиврич Сергей Алексеевич.

© Цитата:
Для примера процесс wuauclt.exe (что это?) после принудительного завершения возникает снова.


На сайте http://www.securitylab.ru/processinfo/265684.php по поводу wuauclt.exe написано следующее:

Wuauclt.exe – клиент системы автообновления Windows. Программа работает в фоновом режиме и периодически подключается с серверу обновлений Microsoft для обновление операционной системы, приложений и драйверов.

Если вы завершите работу процесса Wuauclt.exe в диспечере приложений, он автоматически запустится снова, если включена система автоматического обнов ления. Процесс работает под пользователем SYSTEM, однако он также может быть запущен под именем текущего пользователя.

Вирусописатели часто используют имя Wuauclt.exe для распространения злонамеренных программ. В этом случае файл Wuauclt.exe будет расположен вне каталога %SystemRoot%\System32. Например троян Backdoor.Clt (W32.Cult) позволяет получить полный контроль над уязвимой системой. Если Wuauclt.exe пытается подключится к 6667 порту, это означает что ваш компьютер заражен Backdoor.Clt.

-----
Тот, кто правильно спрашивает, достигает гораздо большего, чем тот, кто правильно отвечает.

Ответ отправил: Гуревич Александр Львович, Специалист
Ответ отправлен: 30.11.2009, 15:52

Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 257116 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:
  • Вам помогли? Пожалуйста, поблагодарите эксперта за это!
    Отвечает Avadon, 1-й класс :
    Здравствуйте, Хиврич Сергей Алексеевич.

    Предлагаю Вам воспользоваться бесплатной программой AntiVir Task Manager. (ссылка в приложении).
    Программа является по своей сути заменой диспетчера процессов MS Windows? при этом обладает большими возможностями.
    Некоторые из них:
    1) Отображается описание программ автозапуска и анализ их поведения с точки зрения безопасности..
    2) Позволяет получать информацию о процессах и управлять ими.
    3) Формирует рейтинг безопасности каждого активного процесса, сервиса и программы автозагрузки оценивает вероятность того, что программа является вредоносной. Рейтинг основан на поведении программы, анализе кода и данных из базы программ
    4) Уведомления при попытке программ добавиться в автозагрузку
    5) Возможность проверить любой подозрительный процесс или файл антивирусами на virustotal.com

    С моей точки зрения программа очень полезная, пользуюсь её всегда.

    Надеюсь, что помог!!!

    Приложение:

    -----
    Силен не тот кто не упал, а кто упав сумел подняться!

    Ответ отправил: Avadon, 1-й класс
    Ответ отправлен: 30.11.2009, 16:00

    Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 257117 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:
  • Вам помогли? Пожалуйста, поблагодарите эксперта за это!
    Отвечает sergtv, Специалист :
    Здравствуйте, Хиврич Сергей Алексеевич.

    1. Определить необходимость (вредность) процесса можно при помощи программы Process Explorer http://technet.microsoft.com/ru-ru/sysinternals/bb896653.aspx , которая позволит очень наглядно увидеть Вам все процессы запущенные в системе и отметит подозрительные. Так же немного более сложная в освоении, но более полезная - Gmer - Польская утилита предназначенная для поиска и удаления rootkit'ов.
    Помимо обнаружения скрытых процессов, файлов, сервисов, ключей реестра и т.д. обладает встроенными средствами мониторинга, - может отслеживать создание процессов, ключей реестра, загрузку драйверов, dll и т.д.

    2. wuauclt.exe - Этот процесс проверяет Web сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.

    Файл wuauclt.exe всегда расположен в дире ктории C:\Windows\System32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе.

    Ответ отправил: sergtv, Специалист
    Ответ отправлен: 30.11.2009, 16:08

    Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 257118 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:
  • Вам помогли? Пожалуйста, поблагодарите эксперта за это!
    Отвечает SerKuz, 8-й класс :
    Здравствуйте, Хиврич Сергей Алексеевич.

    Для определения вредности процесса/программы, можно попробовать воспользоваться несколькими способами. Я определяю примерно так:

    1. Для начала запускаю программу Process Explorer.
    Выбираю нужный мне процесс. Смотрю его свойства(Properties) и если я помню, что эта программа должна находится в папке Windows, а она запускается из другой папки, то вероятность, что это вредоносный процесс высока. Там же можно увидеть описание процесса(description), которое добавил программист.

    2. Смотрю в свойствах(в Process Explorer), во вкладке Strings, нет ли перечислений имен файлов антивирусов. Обычно, имена файлов антивирусов присутствуют в троянах отключающих антивирусы. Тут нужно иметь в виду, что в обычных программах, тоже могут быть перечисления имен, например в других антивирусах. Также если присутствуют имена различных асек, FTP , "почтовиков" , то возможно, что это вредоносный процесс, который ворует пароли. Естественно, есть специальные программы, для "вспоминания паролей" - их мы не трогаем.

    3. Убить процес можно попробовать в том-же Process Explorer (Kill Process). Либо воспользоваться антируткитами: Gmer, Rootkit UnHooker. Но для работы с ними, нужен опыт и понимание, что делаешь, т.к. если "убить" важный процесс windows, можно получить BSOD (синий экран смерти).

    4. Для определения, что загружается вместе с windows, можно воспользоваться программой AutoRuns от тех же авторов. В настройках программы, можно включить "проверять цифроваю подпись" (Verify Code Signatures). AutoRuns начнет проверять подпись через интернет. Что это нам дает? Например, если в Publisher будет написано :"(Verified) Microsoft Windows Publisher" , то мы можем быть уве рены, что файл подписан компанией Microsoft. Но нужно иметь в виду, множество компаний и программистов не подписывают свои программы цифровой подписью, поэтому не стоит удалять все программы подряд, если они не имеют подписи. Также, не на всех библиотеках/программах microsoft ставит цифровую подпись. С чем это связано - не в курсе.

    Основные принципы я привел, остальное приходит с опытом :-)

    Ответ отправил: SerKuz, 8-й класс
    Ответ отправлен: 30.11.2009, 17:17

    Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 257122 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:
  • Вам помогли? Пожалуйста, поблагодарите эксперта за это!
    Отвечает Чичерин Вадим Викторович, 10-й класс :
    Здравствуйте, Хиврич Сергей Алексеевич.
    Для решения, что за процесс сидит в памяти, проще всего использовать поисковые сервисы. Я просто набираю имя процесса в Google и получаю ответ.
    В данном случае получаем такой результат: "Wuauclt.exe is the AutoUpdate Client of Windows Update and is used to check for available updates".
    То есть - это клиент автоматического обновления Windows, который определяет доступность обновлений...
    Указано также, что файл всегда расположен по адресу: c:/windows/system32/, и в случае расположения файла в другом месте следует немедленно его удалить и принять меры к лечению компьютера...
    Отключить клиент через диспетчер проблематично, проще выключить службу Автоматического обновления, что можно сделать через Пуск > Панель управления > Администрирование > Службы...
    -----
    Чем больше я смотрюсь в зеркало, тем больше верю Дарвину...

    Ответ отправил: Чичерин Вадим Викторович, 10-й класс
    Ответ отправлен: 30.11.2009, 17:36

    Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 257125 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:
  • Вам помогли? Пожалуйста, поблагодарите эксперта за это!
    Отвечает sn_moskalenko, 3-й класс :
    Здравствуйте, Хиврич Сергей Алексеевич.
    Цитата "Процесс wuauclt.exe проверяет Web-сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса wuauclt.exe не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.
    Файл wuauclt.exe всегда расположен в директории C:\Windows\System32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе."
    Так что проверяйте на вирусы..

    Ответ отправил: sn_moskalenko, 3-й класс
    Ответ отправлен: 30.11.2009, 20:19

    Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 257128 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:
  • Вам помогли? Пожалуйста, поблагодарите эксперта за это!
    Отвечает Kvitenol, 5-й класс :
    Здравствуйте, Хиврич Сергей Алексеевич.
    wuauclt.exe--Этот процесс проверяет Web сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.

    Файл wuauclt.exe всегда расположен в директории C:WindowsSystem32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе.

    Информация по файлу wuauclt.exe
    http://www.filecheck.ru/process/wuauclt.exe.html
    http://www.securitylab.ru/processinfo/265684.php

    По процессам:
    http://www.osblog.ru/process/

    По вирусам:
    http://www.osblog.ru/virusview/

    Ответ отправил: Kvitenol, 5-й класс
    Ответ отправлен: 30.11.2009, 20:28

    Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 257129 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:
  • Вам помогли? Пожалуйста, поблагодарите эксперта за это!
    Отвечает Cosmocat, 2-й класс :
    Здравствуйте, Хиврич Сергей Алексеевич.
    вам необходимо отключить службу автообновления,потом проверить программы прописаные в автозагрузке и снять галки с неизвестных,а также если этот процесс стартует не из директории С:\Windows\System32,то проверить эти ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). и при необходимости удалить из них ключ с таким именем.Удачи,ну и пройтись AVZ-ешником не будет лишним

    Ответ отправил: Cosmocat, 2-й класс
    Ответ отправлен: 30.11.2009, 22:31

    Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 257136 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:
  • Вам помогли? Пожалуйста, поблагодарите эксперта за это!
    Отвечает gromik, 1-й класс :
    Здравствуйте, Хиврич Сергей Алексеевич.

    Процесс wuauclt.exe проверяет Web-сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса wuauclt.exe не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.
    Файл wuauclt.exe всегда расположен в директории C:\Windows\System32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе.
    Про процессы можно прочитать здесь: http://support.microsoft.com/?id=263201

    Ответ отправил: gromik, 1-й класс
    Ответ отправлен: 05.12.2009, 10:55

    Как сказать этому эксперту "спасибо"?
  • Отправить SMS #thank 257345 на номер 1151 (Россия) | Еще номера »
  • Отправить WebMoney:
  • Вам помогли? Пожалуйста, поблагодарите эксперта за это!


    Оценить выпуск »
    Нам очень важно Ваше мнение об этом выпуске рассылки!

    Задать вопрос экспертам этой рассылки »

    Скажите "спасибо" эксперту, который помог Вам!

    Отправьте СМС-сообщение с тестом #thank НОМЕР_ОТВЕТА
    на короткий номер 1151 (Россия)

    Номер ответа и конкретный текст СМС указан внизу каждого ответа.

    Полный список номеров »

    * Стоимость одного СМС-сообщения от 7.15 руб. и зависит от оператора сотовой связи. (полный список тарифов)
    ** При ошибочном вводе номера ответа или текста #thank услуга считается оказанной, денежные средства не возвращаются.
    *** Сумма выплаты эксперту-автору ответа расчитывается из суммы перечислений на портал от биллинговой компании.


    © 2001-2009, Портал RFpro.ru, Россия
    Авторское право: ООО "Мастер-Эксперт Про"
    Автор: Калашников О.А. | Программирование: Гладенюк А.Г.
    Хостинг: Компания "Московский хостер"
    Версия системы: 2009.6.12 от 30.11.2009

    В избранное