Procesele sunt o parte inevitabilă a Windows și nu este neobișnuit să vedeți zeci sau sute de ele în Managerul de activități. Fiecare proces este un program sau o parte dintr-un program care rulează. Din păcate, creatorii de programe malware știu acest lucru și sunt cunoscuți că ascund software rău intenționat în spatele numelor proceselor legitime.
Iată câteva dintre cele mai frecvent deturnate sau duplicate procese, împreună cu unde ar trebui să fie localizate și cum să depistați o versiune rău intenționată.
1. Svchost.exe
Serviciul Gazdă, sau svchost.exe, este un proces de serviciu partajat. Permite altor servicii Windows să partajeze procese. Acest lucru ajută la reducerea utilizării resurselor, făcând sistemul mai eficient. Aproape sigur veți vedea mai mult de o instanță de Svchost.exe în Task Manager, dar acest lucru este normal. Dacă unul sau mai multe dintre aceste fișiere sunt compromise de programe malware, este posibil să observați o reducere distinctă a performanței.
Fișierele Svchost legitime ar trebui să fie găsite în C:\Windows\System32. Dacă bănuiți că a fost deturnat, verificați C:\Windows\Temp. Dacă vedeți svchost.exe aici, ar putea fi un fișier rău intenționat. Scanați fișierul cu software-ul antivirus și puneți-l în carantină dacă este necesar.
2. Explorer.exe
Explorer.exe este responsabil pentru shell-ul grafic. Fără el, nu ai avea nicio bară de activități, meniu Start, Manager de fișiere sau chiar desktop. Prin urmare, este o parte esențială a Windows și nu poate fi dezactivată.
Mai mulți viruși pot folosi numele de fișier Explorer.exe pentru a se ascunde în spate, inclusiv trojan.w32.ZAPCHAST. Dosarul legitim va fi în C:\Windows. Daca il gasesti in Sistem32, cu siguranță ar trebui să-l verificați cu software-ul antivirus.
3. Winlogon.exe
Procesul Winlogon.exe este o parte esențială a sistemului de operare Windows. Se ocupă de lucruri precum încărcarea profilului de utilizator în timpul autentificării și blocarea computerului atunci când rulează screensaverul. Din păcate, deoarece se ocupă de elemente de securitate, Windows Logon și procesul winlogon.exe sunt ținte comune pentru amenințări.
Mai mulți viruși troieni, inclusiv Vundo, pot fi ascunși sau deghizați în winlogon.exe. Locația obișnuită a fișierului Winlogon.exe este C:\Windows\System32. Daca il gasesti in C:\Windows\WinSecurity, ar putea fi rău intenționat. Un bun indiciu că procesul a fost deturnat este utilizarea neobișnuit de mare a memoriei.
Virușii și programele malware nu se ascund doar în spatele proceselor Windows. Aici sunt câteva alte moduri în care programele malware pot rămâne nedetectate și se pot ascunde pe computer.
4. Csrss.exe
Subsistemul Client/Server Run-Time, sau Csrss.exe, este un proces esențial Windows. Deși nu este la fel de utilizat în versiunile moderne de Windows, este încă solicitat de sistem și nu poate fi dezactivat.
Nimda. Se știe că virusul E imită procesul Csrss.exe, deși aceasta nu este singura amenințare potențială. Fișierul legitim ar trebui să fie localizat în Sistem32 sau SysWOW64 foldere. Faceți clic dreapta pe procesul Csrss.exe din Task Manager și alegeți Deschide locația fișierului. Dacă se află în altă parte, este probabil să fie un fișier rău intenționat.
5. Lsass.exe
lsass.exe este un proces esențial responsabil pentru politica de securitate pe Windows. Acesta verifică numele de conectare și parola, printre alte proceduri de securitate. Este puțin probabil ca procesul să fie deturnat. Dacă nu rulează corect, de obicei veți fi deconectat automat de la computer. Dar se știe că virușii folosesc numele fișierului pentru a ascunde.
Căutați fișierul Lsass.exe în C:\Windows\System32. Acesta este singurul loc în care ar trebui să-l găsești. Dacă îl vedeți în altă locație, cum ar fi C:\Windows\system sau C:\Fișiere de program, acționați cu suspiciune și scanați fișierul cu antivirusul dvs.
6. Services.exe
Procesul Services.exe este responsabil pentru pornirea și oprirea diferitelor servicii Windows esențiale. La fel ca celelalte procese Windows din această listă, virușii și programele malware îl vizează, deoarece le permite să se ascundă la vedere.
Dacă fișierul este deturnat, este posibil să observați probleme în timpul pornirii și închiderii computerului. Căutați fișierul real Services.exe în fișierul Sistem32 pliant. Dacă se află în altă parte, cum ar fi în C:\Windows\ConnectionStatus, fișierul ar putea fi un virus.
Procesele menționate aici sunt esențiale pentru buna funcționare a Windows. Dar nu toate sunt și multe neesențiale procesele pot fi chiar închise pentru a ajuta la performanță.
7. Spoolsv.exe
Serviciul Windows Print Spooler, sau Spoolsv.exe, este o parte importantă a interfeței de imprimare. Se rulează în fundal, așteptând să gestioneze lucruri precum coada de imprimare atunci când este necesar. Procesul nu depinde de conectarea unei imprimante, așa că nu ar trebui să fii surprins să o vezi în Task Manager.
Poate pentru că Spoolsv.exe este ușor trecut cu vederea, un virus poate lua numele pentru a părea legitim. Fișierul spools adevărat poate fi găsit în C:\Windows\System32. Fișierul fals va apărea adesea în C:\Windows, sau într-un folder de profil de utilizator.
Cum verificați dacă un proces este legitim?
Managerul de activități este prietenul tău atunci când cauți activități suspecte. Procesele infectate se vor comporta adesea neregulat, consumând mai multă putere și memorie CPU decât este de obicei. Dar nu este întotdeauna cazul, așa că iată câteva alte modalități de a verifica că un proces este legitim.
Majoritatea proceselor esențiale enumerate aici ar trebui să apară doar în folderul System32. Puteți verifica cu ușurință locația unui fișier suspect în Managerul de activități. Faceți clic dreapta pe proces și selectați Deschide locația fișierului. Verificați calea folderului care se deschide pentru a vă asigura că fișierul este în locul corect.
O altă modalitate de a afla dacă un fișier este legitim este să verificați dimensiunea. Majoritatea fișierelor .exe ale acestor procese esențiale vor fi sub 200 kb. Faceți clic dreapta pe numele procesului în Managerul de activități, selectați Proprietăți și uită-te la dimensiune. Dacă pare neobișnuit de mare, aruncați o privire mai atentă pentru a determina dacă este sigur.
Poti de asemenea verificați certificatul fișierului EXE. Un fișier autentic va avea un certificat de securitate emis de Microsoft. Dacă vedeți altceva, este posibil să fie rău intenționat.
Ultimul lucru de făcut este să scanați fișierele suspecte cu un scaner antivirus actualizat. Puneți în carantină și eliminați toate fișierele marcate ca infectate. Din fericire, versiunile moderne de Windows vin cu Microsoft Defender încorporat, așa că învață cum să scanați un singur fișier sau folder cu Microsoft Defender pentru a verifica orice fișiere suspecte pe care le găsiți.
Procesele Windows care ar putea ascunde un virus
O parte a menținerii PC-ului tău Windows în siguranță de malware și viruși este să știi unde se ascund. Uneori, un fișier rău intenționat se va comporta ciudat, folosind prea mult CPU și memorie. Dar nu in totdeauna. Deci, identificarea unui fișier suspect în alte moduri este o abilitate utilă.
