Процессы Windows
Здравствуйте, Уважаемые читатели!
В последнее время очень часто мне задаются вопросы относительно процессов запущенных в Windows. Вы можете довольно часто наблюдать в Диспетчере Задач, что их запущено очень много. И на каждый процесс нужны свои ресурсы для его работы. В первую очередь это ресурсы оперативной памяти. Чем больше запущенно процессов, тем больше требуется ресурсов, что отрицательно сказывается на работе ОС в целом. Иначе говоря, Вы можете видеть, что компьютер или система начинает заметно «тормозить» (глючить).
На самом деле не все процессы так уж и нужны для нормальной работы. Поэтому некоторые из них можно отключить. В этом плане нельзя говорить о каком-то определенном наборе процессов, которые нужно отключить. Все настолько индивидуально, что универсального решения этой проблемы просто — напросто не существует. Но отключать процессы бывает иногда необходимо. Так какие же процессы можно отключить смело, а какие не стоит, чтобы не нарушить работоспособность системы?
Прежде всего, нужно научиться опознавать или идентифицировать процессы. А уже после идентификации принимать решение о завершении того или иного процесса. Некоторые запущенные процессы идентифицировать очень легко, запустив Диспетчер Задач. Напомню, что запустить его можно несколькими способами:
- Нажать пкм на панели задач и выбрать пункт меню «Запустить диспетчер задач»;
- Сочетанием клавиш Ctrl+Shift+Esc;
- Нажав сочетание клавиш Alt+Ctrl+Del и в появившемся экране выбрать пункт «Запустить диспетчер задач».
Итак, запустив «Диспетчер Задач» и перейдя на вкладку «Процессы» мы видим несколько столбцов:
- Имя образа – это и есть имя запущенного файла;
- Пользователь – здесь мы видим, в какой учетной записи запущен тот или иной процесс;
- ЦП – загрузка центрального процессора в процентном соотношении;
- Память – объем оперативной памяти, который «съедает» тот или иной процесс;
- Описание – оно и есть описание)))
Для того, чтобы научиться, так скажем, визуально идентифицировать процесс нам и потребуется информация из этих столбцов. Например, в моем случае, запущен процесс TeamViewer_Service.exe. Я уже по названию процесса могу легко определить, что это программа для удаленного доступа TeamViewer (о ней я писал здесь). Мне она не нужна в процессах и я ее завершаю, нажав пкм по этой строчке и в открывшемся меню выбираю пункт «Завершить процесс».
В открывшемся окне, система как всегда, нас спросит о том, что действительно ли мы хотим завершить процесс. На что мы, соглашаемся.
Вот так, легко и просто завершаются ненужные процессы. Но это касается только тех процессов, которые мы можем опознать «визуально». Существуют еще и такие процессы, которые бывает невозможно опознать таким простым способом, а завершать их можно для увеличения производительности и быстродействия системы.
Что же, и в этом случае нам нужно научиться опознавать абсолютно любые процессы. И когда Вы получите полную информацию о том или ином процессе, Вы с легкостью сможете принимать решение относительно его завершения. Вот как раз такую цель я преследую в этом посте – научить Вас самих, так скажем, отделять зерна от плевел ибо единого верного решения не существует.
Итак, давайте будем учиться этим премудростям. Первым, что мы можем сделать, это как, я сказал, выше посмотреть визуально на имя процесса, его описание, объемы, которые они съедают у оперативной памяти и центрального процессора. И порой этой информации бывает недостаточно, поэтому можно добавить дополнительные столбцы для получения большей информации. Нажимаем меню «Вид» и в открывшемся меню выбираем пункт «Добавить столбцы».
В открывшемся окне «Выбор столбцов страницы процессов» можно добавить следующие столбцы:
- Путь и образец – здесь будет показан адрес файла, который инициирует запущенный процесс;
- Командная строка – здесь будет отображена полная команда, которая запускает тот или иной процесс.
Кроме этих столбцов, Вы можете также добавить и остальные столбцы, по Вашему усмотрению. Значение этих столбцов Вы можете посмотреть на официальном сайте Microsoft.
Еще одной опцией для получения подробной информации является просмотр места хранения файла. Нажав пкм по процессу и выбрав пункт меню «Открыть место хранения файла», откроется папка, в которой он находится.
Также нажав пкм по процессу можно выбрать пункт меню «Свойства». Посмотрев которые Вы также можете получить много информации. Я еще рекомендую заглядывать на вкладку «Процессы» в этом окне.
Есть такой общий процесс svchost.exe – это общее имя для всех служб, которые запускаются из динамических библиотек (DLL). Для того, чтобы посмотреть каким службам он принадлежит можно запустить командную строку – Пуск программы – Стандартные – Командная строка и прописать команду:
Tasklist_/svc_/folist
После чего Вам представиться полный список этих процессов и прочие данные.
Теперь, когда мы видим имена служб нам нужно запомнить идентификатор – PID. Например: PID:788.
Дальше открываем вкладку «Службы» в «Диспетчере Задач», здесь отсортировываем список по «ИД процесса» нажав по нему левой кнопкой мыши и ищем процесс по нашему PID.
Здесь нам тоже можно посмотреть столбец «Описание».
Да информации, к сожалению, очень мало, но все же лучше чем ничего.
О службах Windows и их назначении совсем скоро я напишу отдельную статью. Чтобы ее не пропустить, подписываемся на обновления.
На сегодня у меня все. А как Вы ищите информацию о процессах Windows? И используете ли для этого диспетчер задач? Делимся в комментариях.
Как найти вирус в списке процессов Windows
Когда в системе что-то не так или просто хочется проконтролировать эффективность установленного на компьютере антивируса, мы обычно нажимаем три заветные клавиши Ctrl, Alt, Del и запускаем Диспетчер задач, надеясь обнаружить вирус в списке процессов. Но в нем мы видим лишь большое количество работающих на компьютере программ, каждая из которых представлена своим процессом. И где же тут скрывается вирус? Ответить на этот вопрос вам поможет наша сегодняшняя статья
Для того чтобы определить, есть вирус в процессах или его там нет, нужно очень внимательно вглядеться в список процессов. В операционной системе Windows Vista в обязательном порядке нажмите кнопочку «Отображать процессы всех пользователей», иначе вы толком ничего и не увидите. Прежде всего, обратите внимание на описание процесса в столбике «Описание». Если описания нет или оно какое-то «корявенькое», это должно вас насторожить. Ведь разработчики программ имеют привычку подписывать свои творения на понятном русском или английском языках.
Отметив взглядом процессы с подозрительным описанием, обращаем взор на следующий столбик – «Пользователь». Вирусы обычно запускаются от имени пользователя, реже в виде служб и от имени системы — SYSTEM, LOCAL SERVICE или NETWORK SERVICE.
Итак, найдя процесс с подозрительным описанием, запускаемый от имени пользователя или непонятно от чьего имени, щелкните нему правой кнопкой мышки и в появившемся контекстном меню выберите пункт «Свойства». Откроется окошко со свойствами программы, которая запустила данный процесс. Особое внимание обратите на вкладку «Подробно», где указана информация о разработчике, версии файла и его описание, а также на пункт «Размещение» вкладки «Общие» — здесь указан путь к запущенной программе.
Если путь «Размещение» ведет в каталог Temp, Temporary Internet Files или еще в какое-либо подозрительное место (например, в папку некой программы каталога Program Files, но вы уверены, что такую программу вы не устанавливали), то, ВОЗМОЖНО, данный процесс принадлежит вирусу. Но все это лишь наши догадки, за подробной информацией, конечно же, лучше обратиться к интернету. Неплохие списки процессов есть на сайтах what-process.com http://www.tasklist.org и http://www.processlist.com . Если после всех поисков ваши опасения на счет подозрительного процесса подтвердятся, можете радоваться – на вашем компьютере поселился вирус, троян или другой зловред, которого нужно срочно ликвидировать.
Но окошко со свойствами запустившего процесс файла из Диспетчера задач может и не открыться. Поэтому помимо стандартных средств Windows нужно пользоваться различными полезными утилитами, способными выдать максимум информации о подозрительном процессе. Одну из таких программ – Starter – мы уже рассматривали (http://www.yachaynik.ru/content/view/88/).
В Starter на вкладкее«Процессы» представлена исчерпывающая информация о выделенном процессе: описание программы и имя файла, который запустил процесс, информация о разработчике, список модулей (программных компонентов), задействованных процессом.
Таким образом, нет нужды копаться в свойствах файла, запустившего процесс – всё и так, как на ладони. Тем не менее, это не мешает щелкнуть по подозрительному процессу правой кнопкой мышки и выбрать «Свойства», чтобы получить доскональные сведения о файле процесса в отдельном окошке.
Чтобы попасть в папку программы, который принадлежит процесс, щелкните по названию процесса правой кнопкой мыши и выберите «Проводник в папку процесса».
Но самая удобная опция в Starter – возможность начать поиск информации о процессе прямо из окна программы. Для этого щелкните правой кнопкой мышки по процессу и выберите «Искать в Интернет».
После того, как вы получите полную информацию о файле, запустившем процесс, его разработчике, назначении и мнение о процессе в сети интернет, сможете достаточно точно определить – вирус перед вами или мирная программа-трудяга. Здесь действует тот же принцип, что и в Диспетчере задач. Подозрительны те процессы и модули процессов, для которых не указан разработчик, в описании которых ничего нет либо написано что-то невнятное, процесс или задействованные им модули запускаются из подозрительной папки. Например, Temp, Temporary Internet Files или из папки в Program Files, но вы точно помните, что указанную там программу вы не устанавливали. И, наконец, если в интернете четко сказано, что данный процесс принадлежит вирусу, радуйтесь – зловреду не удалось спрятаться от вас!
Одно из самых распространенных заблуждений начинающих чайников касается процесса svchost.exe. Пишется он именно так и никак иначе: svshost.exe, scvhost.exe, cvshost.exe и другие вариации на эту тему – вирусы, маскирующиеся под хороший процесс, который, кстати, принадлежит службам Windows. Точнее, один процесс svchost.exe может запускать сразу несколько системных служб. Поскольку служб у операционной системы много и все они нужны ей, процессов svchost.exe тоже много.
В Windows XP процессов svchost.exe должно быть не более шести. Пять процессов svchost.exe – нормально, а вот уже семь – стопроцентная гарантия, что на вашем компьютере поселился зловред. В Windows Vista процессов svchost.exe больше шести. У меня, к примеру, их четырнадцать. Но и системных служб в Windows Vista намного больше, чем в предыдущей версии этой ОС.
Узнать, какие именно службы запускаются процессом svchost.exe, вам поможет другая полезная утилита – Process Explorer. Скачать последнюю версию Process Explorer вы можете с официального сайта Microsoft: technet.microsoft.com
Process Explorer выдаст вам описание процесса, запустившую его программу, наименование разработчика и множество полезной технической информации, понятной разве что программистам.
Наведите мышку на имя интересующего вас процесса, и вы увидите путь к файлу, запустившему данный процесс.
А для svchost.exe Process Explorer покажет полный перечень служб, относящихся к выделенному процессу. Один процесс svchost.exe может запускать несколько служб или всего одну.
Чтобы увидеть свойства файла, запустившего процесс, щелкните по интересующему вас процессу правой кнопкой мышки и выберите «Properties» («Свойства»).
Для поиска информации о процессе в интернете при помощи поисковой системы Google, просто щелкните по названию процесса правой кнопкой мыши и выберите «Google».
Как и ранее, подозрения должны вызвать процессы без описания, без наименования разработчика, запускающиеся из временных папок (Temp, Temporary Internet Files) или из папки программы, которую вы не устанавливали, а также идентифицируемые в интернете как вирусы.
И помните, для качественно работы программ Process Explorer и Starter в Windows Vista, их нужно запускать с административными правами: щелкните по исполняемому файлу программы правой кнопкой мышки и выберите «Запуск от имени администратора».
Как проверить список запущенных процессов в Windows?
В статье описывается несколько способов, которые помогут отобразить список запущенных процессов в Windows. Операции производятся в Windows 10, но что-то сработает и в более ранних версиях.
Согласитесь, задача отобразить список запущенных процессов далеко не самая сложная. Однако подходы к её решению не обязательно должны быть стандартными. Информацию по процессам можно представить и в более комфортном виде, чем, например, через…
Диспетчер задач
Чаще всего, кроме этого способа, пользователям больше ничего и не известно. Но, раз уж это так, значит, этого большинству из нас достаточно. Вызывается оный во всех последних версиях Windows просто – достаточно зажать три клавиши быстрого доступа:
Ctrl + Shift + Esc
Вкладка с процессами не изменилась со времён Windows XP:
Однако, если вы на К76, вам Диспетчера мало. Согласен, продолжаем.
Список запущенных процессов из командной строки
В Windows есть встроенная командная утилита tasklist, отображающая список запущенных процессов на указанном компьютере. Как и многие другие в папке System32, tasklist принадлежит к числу административных утилит, которые могут смотреть запущенные процессы на удалённых машинах по сети. Для локального компьютера команда в консоли, запущенной от имени администратора, может, например, принять такой вид:
После этого на Рабочем столе появится текстовый файл:
в котором запущенные на момент исполнения команды будут представлены в удобочитаемом виде. Текстовый вывод не понимает кириллицы, так что я обычно использую специальные текстовые редакторы типа Notepad ++. Но, думаю, что в файле написано, понятно и так:
Или процессы можно представить в табличном формате; если есть Excel, можете просматривать процессы оттуда:
Для удалённого компьютера команда примет вид:
На этом можно было бы и закончить, но я продолжу аналогичным вариантом, откуда вы узнаете…
Как узнать список запущенных процессов из Power Shell
Информация из файла, получаемого аналогичным путём, будет немного более информативнее. Этот вариант доступен владельцам копий Windows 7/10, и командлет на отображение списка на том же Рабочем столе будет таким:
для локальной копии Windows:
- Handles – число потоков, которые процесс открыл для себя.
- NPM(K) – размер невыгружаемого пула памяти, использующегося процессом, в килобайтах.
- PM(K) – размер выгружаемого пула памяти, использующегося процессом, в килобайтах.
- WS(K) – размер рабочего набора процесса, в килобайтах. Он состоит из страниц памяти, к которым процесс обращался в текущем сеансе.
- VM(M) – объём оперативной памяти, занимаемой процессом, в мегабайтах (в том числе в pafefile).
- CPU(s) – время в секундах, затрачиваемое всеми камнями процессора.
- ID – PID указанного процесса.
- ProcessName – Имя процесса.