lunes, 9 de agosto de 2010

PROCESOS NECESARIOS PARA INICIAR WINDOWS


*Csrss.exe: El archivo Csrss.exe es un VIRUS siempre y cuando no este como C:Windows/Sistem32/Csrss.exe si este es el caso no es ningún virus ya que es un archivo indispensable para Windows que controla los gráficos de nuestro sistema operativo sin embargo si nos muestra que no puede encontrar el archivo
Cuando una aplicación hace una llamada al API Win32, este usa csrss.exe, el cual la comunica con el núcleo del sistema operativo para ejecutar el API.
En general, se trata de un proceso normal en algunas versiones de Windows, de todas maneras, muchos programas malignos pueden emplear el mismo nombre (o un nombre similar) para camuflarse y pasar desapercibidos.


*Smss.exe: Smss.exe es el Subsistema Administrador de Sesiones (Session Manager Subsystem) y es un proceso esencial para el sistema.
Este proceso es el responsable de iniciar la sesión de usuario en Windows. Se encarga de cargar los procesos Winlogon y el Win32 (Csrss.exe).


*Lsass.exe: lsass.exe es el proceso que permite el correcto funcionamiento de todos los protocolos de seguridad del sistema operativo Windows, por lo que su ejecución es indispensable; por formar parte del sistema, su desarrollador obviamente ha sido la corporación Microsoft.
Pero como no todo es color de rosas, lsass.exe ha sido víctima del gusano Sasser, que es el primero que se aprovecha de la vulnerabilidad de este proceso con fines maliciosos. Si desean más información, les recomiendo el artículo de vsantivirus sobre el virus Sasser.
Si lo que queremos es determinar que no estamos infectados por el virus se puede hacer de 2 formas: primero, verificar que la ruta del proceso sea la carpeta Windows/System32; la segunda es que el nombre sea exactamente lsass.exe y lass.exe, Isass.exe, etc., que son nombres que camuflajean el verdadero proceso para así hacer sus acciones malas.

*Winlogon.exe: Winlogon.exe se encarga de validar la identidad de un usuario en el sistema. Es un proceso esencial y no debería ser terminado.Fichero/archivo: winlogon.exe
Nombre del proceso/tarea: Microsoft Windows Logon Process


*Services.exe: services.exe es un proceso de Windows encargado del inicio y detención de los servicios del sistema. Este proceso solamente aparece en Windows NT4, 2000 y XP. Es un proceso esencial para el sistema operativo.
Existen reportes de programas malignos que emplean el mismo nombre o similar para camuflarse y pasar desapercibidos. Es el caso del gusano Worm.W32/Netsky.B@P2P+MM.
Este gusano puede identificarse porque crea el archivo "services.exe" en la carpeta de Windows.
Otros programas malignos que utilizan ese nombre de archivo:
Troj/Maran.A. Se distribuye como SERVICES.EXE
W32/Leave.B
W32.Randex.R
W32.HLLW.Kazping
W32.XTC.Worm


*Svchost.exe: El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%\System32.
Cuando se inicia Windows, Svchost.exe chequea el registro para poder armar la lista de servicios que necesita cargar.
Cada instancia de Svchost.exe puede ejecutar uno o más servicios, todo depende de la manera en que se inicie.
Los grupos de servicios se encuentran en la siguiente rama del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
Para poder ver la lista de servicios que se están ejecutando a través de Svchost, nos dirigimos a la consola (Inicio / Ejecutar / cmd [Enter]) y escribimos:
C:\>tasklist /svc
El comando tasklist lo que hace es mostrar la lista de procesos activos, el parámetro /SVC nos muestra la lista de servicios activos en cada proceso.
Al margen de que varios virus y/o troyanos infectan este archivo haciéndonos creer que es uno de ellos, debemos tener presente que otros, si llegar a infectarlo intentan engañarnos utilizando un nombre parecido.

*avgrsx.exe: El proceso y archivo avgrsx.exe es parte del antivirus AVG Internet Security.
Este proceso suele consumir 7 MB y un promedio del 3% del CPU.
En ocasiones este proceso consume más recursos de los normales, probablemente se solucione desinstalando y volviendo a instalar el antivirus.
Este fichero suele ubicarse en: C:\Archivos de programa\AVG\AVG8\avgrsx.exe
C:\Archivos de programa\AVG\AVG\avgrsx.exe

No hay comentarios:

Publicar un comentario