Entendendo os executáveis do Windows

Neste artigo, apresento muitos executáveis que aparecem no gerenciador de tarefas do Windows causando dúvidas nos usuários. Quase sempre recebo e-mails de clientes e alunos com dúvidas sobre estes executáveis, como: “o lsass.exe é um vírus?” ou coisa assim, então espero tirar muitas destas dúvidas com este artigo. Boa leitura

EXPLORER.EXE
O Explorer é o executável que controla parte do ambiente gráfico do Windows, como barra de tarefas e ícones da área de trabalho, finalizá-lo no gerenciador, fará desaparecer vários itens do seu desktop. Para faze-lo voltar a funcionar, clique no botão “nova tarefa” e digite “explorer”.

DWM.EXE
Trata-se do executável responsável por gerir os efeitos gráficos do Windows Vista (exceto Vista starter e Home basic que não possuem efeitos gráficos). A composição final dos efeitos como o Aero Glass (transparência) e o Flip 3D (Janelas em cascata) são de responsabilidade deste arquivo, finalizá-lo, resultaria na paralisação dos efeitos gráfico do Windows Vista.

TASKMGR.EXE
Trata-se do próprio gerenciador de tarefas, ao tentar finalizá-lo note que o gerenciador de tarefas será fechado.

TASKENG.EXE
Este executável é um mecanismo do agendador de tarefas, não causará grandes problemas ser finalizado, mas se seu computador estiver configurado para executar tarefas de manutenção preventiva e atualizações agendadas, finalizar este processo não permitiria que fossem executados nas datas e horas configuradas.

SVCHOST.EXE
O svchost.exe serve para agrupar vários serviços em um único executável, ou seja, o SVCHOST é um grupo de serviços do sistema juntos. Da mesma forma pode carregar vários grupos, o que resultará em vários svchost.exe na lista de processos. Vários serviços são carregados simultaneamente em cada svchost, como serviço DHCP, cache de DNS, temas do Windows e etc.
No Windows XP e Vista podemos visualizar todos os serviços que o svchost.exe está agrupando com o comando “tasklist /svc” no prompt, finalizar este serviço resultaria em instabilidade do sistema ou mau funcionamento de programas, internet ou do próprio Windows.

RUNDLL.EXE
Para quem não conhece arquivos.dll (Dynamic Link Library ou Biblioteca de Ligação Dinâmica) citado em outro artigo, são arquivos usados para armazenar funções em comum de aplicativos para que possam ser acessadas a partir de múltiplas aplicações simultaneamente afim de reduzir a carga da memória RAM.
A questão é que o sistema não consegue carregar diretamente uma dll, o rundll32.exe é utilizado para lançar a funcionalidade das DLL´s, é um executável que faz parte do Windows, onde programas compartilham funções em comum.
O que pode ocorrer, é que este nome de processo pode ser usado por malwares, mas não quer dizer que o rundll represente uma ameaça.
Para o processo ser válido deve estar localizado em \Windows\system32\rundll32.exe, mas os spywares usam o mesmo nome do arquivo para se “camuflarem”, porém ficam em um diretório diferente.
Para saber se o arquivo RUNDLL do seu computador é uma aplicação válida do Windows, podemos usar o gerenciador de tarefas, na aba “processos” verificamos a procedência do rundll, basta clicar em “exibir” em seguida “selecionar colunas” e marcar a opção “linha de comando”. Agora o gerenciador de tarefas apresentará o caminho do processo, que deve ser \Windows\system32\rundll32.exe, caso apareça em outro diretório (como System ao invés de System32) este serviço não é o “original” do Windows, provavelmente é um spyware. Finalizar esta tarefa, finalizaria muitas dll´s, logo vários programas deixariam de funcionar corretamente.

DLLHOST.EXE

Outro executável do Windows responsável por gerir funções do Sistema operacional Microsoft Windows, um dos serviços residentes no DLLHOST é o IIS (Internet Information Services), também é comum alguns malwares usarem o dllhost como hospedeiro, mas a princípio não representa ameaça, basta ter um bom antivírus atualizado. Finalizar este processo pode causar a interrupção de aplicativos e serviços do sistema.

LSASS.EXE
O LSASS é uma função ou processo que faz parte do sistema operacional Microsoft Windows. Tem como função manter ativas as configurações de segurança do sistema, isso inclui acessos não autorizados e malwares (vírus)
É através do LSASS que os usuários administradores podem alterar ou criar novas senhas e arquivos usuário, e todas estas alterações são salvas nos logs de segurança do Windows. e o mesmo arquivo evita que pessoas não autorizadas executem funções administrativas no Windows. Este é um serviço que não pode ser finalizado por razões de segurança do sistema, mesmo que o usuário tente finalizá-lo, esta proteção existe para que malwares não possam finalizá-lo para tornar o computador vulnerável.

CSRSS.EXE
O processo csrss.exe é um processo existente no Windows NT/2000/XP que serve a gerir as janelas e os elementos gráficos de Windows. O Windows utiliza o subsistema csrss.exe no processo de gestão da maioria dos conjuntos de instruções gráficas no sistema operacional Microsoft Windows. O Csrss.exe como tal fornece as funções críticas do sistema operacional, e tentar finalizá-lo pode resultar em uma tela azul da morte.

Finalizando:
É claro que os executáveis que aparecem no gerenciador de tarefas varia muito de computador para computador, dependendo dos programas que estão instalados ou rodando no momento, como antivírus que aparecem na lista abaixo:

msseces.exe = Antivírus da Microsoft Security Essentials
ashAvast.exe = Antivírus Avast
avp.exe = Antivírus Kaspersky

Espero ter ajudado a “clarear” as dúvidas sobre o gerenciador de Tarefas do Windows.

Um abraço a todos.