프로세스에 실행 되어있는 악성코드 치료하기

◈ Ctrl+Alt+Del 에서 보여지는 Process 의 정보

Process에는 기본적으로 시스템 이용시에 필요한 Process들과 사용자가 이용을 위해 띄워놓은 Process들이 있습니다.
위의 내용 외에 사용자가 원하지 않았지만 윈도우의 취약점을 이용하여 침입한 악성코드등이 실행되어 있을 수 있습니다. Process에 바이러스가 실행 되어 있을 경우 바이러스 검사 및 치료가 정상적으로 진행되지 않을 수 있습니다. 기본 Process외 잘 모르시거나 의심가는 Process들은 검색엔진 등을 통하여 Process의 실체를 파악 하시고 프로세서끝내기를 이용하셔서 종료하여 주십시오. 그 후에 nProtect의 온라인 백신을 이용하셔서 시스템을 검사및 치료 하여 주십시오.

* 기본적으로 메모리에 실행되어 있는 Process 입니다.

Csrss.exe(Client/Server Runtime SubSystem)

윈도우 콘솔을 관장하고, 쓰레드를 생성/삭제하며, 16bit 가상 MS-DOS 모드를 지원합니다.

Explorer.exe

작업표시줄, 바탕화면과 같은 유저 쉘을 지원합니다.

Internat.exe

사용자에 따른 입력 로케일을 로드합니다.

Lsass.exe(Local Security Authentication Server)

Winlogon 서비스에 필요한 인증 Process를 담당합니다. 이 과정은 Msgina.dll과 같은 인증 패키지를 이용하여 이루어집니다.

Mstask.exe

Mstask는 작업 스케쥴러 서비스입니다.

Smss.exe(Session Manager SubSystem)

사용자 세션을 시작하는 기능을 담당합니다.
이 Process는 시스템 쓰레드에 의해 실행되며, Winlogon, Win32(Csrss.exe)을 구동시키고, 시스템 변수를 설정합니다. 이러한 과정이 끝나면, Smss는 Winlogon이나 Csrss가 끝나기를 기다려, 정상적인 Winlogon/Csrss 종료시 시스템을 종료시키며, 비정상적인 Winlogon/Csrss 종료시, 시스템이 멎는 상태가 됩니다. (System Hang)

Spoolsv.exe

프린터 및 팩스의 Spooling 기능을 담당합니다.

Svchost.exe

Svchost는 DLL로부터 실행되는 다른 Process들의 host 역할을 해 줍니다. 따라서 작업관리자의 Process 창에는 하나 이상의 Svchost.exe가 존재할 수 있습니다. 실제로 어떤 Process들이 Svchost상에서 실행되고 있는지 확인하기 위해서는, tlist -s 명령어를 사용하면 됩니다. Q250320 문서 참조.

Services.exe

Service Control Manager로서, 시스템 서비스들을 시작/정지시키고, 그들간의 상호작용하는 기능을 수행한다.

System

대부분의 커널모드 쓰레드들의 시작점이 되는 Process입니다.

System Idle Process

각 CPU마다 하나씩 실행되는 쓰레드로서 idle Process입니다. 놀고 있다는 얘기죠. System Idle Process의 CPU 점유율이 높을수록, 컴터가 많이 놀고 있다는 뜻입니다.

Taskmgr.exe

Task Manager 즉, 작업관리자 자신입니다.

Winlogon.exe

사용자 로그인/로그오프를 담당하는 Process입니다. 윈도우의 시작/종료시에 활성화 되며, 또한 Ctrl-Alt-Del을 눌렀을 경우에도 활성화됩니다.

Winmgmt.exe

클라이언트 관리의 핵심 요소입니다.

위 Process중 Explorer.exe, Internat.exe, Taskmgr.exe를 제외한 Process들은 시스템 운영에 있어 필수적인 Process로서, 작업관리자에서 종료시킬 수 없습니다.

<참고 문서 : Microsoft 기술자료 - Q263201>