Procesy są nieuniknioną częścią systemu Windows i nie jest niczym niezwykłym widzieć ich dziesiątki lub setki w Menedżerze zadań. Każdy proces jest programem lub częścią uruchomionego programu. Niestety, twórcy złośliwego oprogramowania wiedzą o tym i są znani z ukrywania złośliwego oprogramowania pod nazwami legalnych procesów.
Oto niektóre z najczęściej przejmowanych lub powielanych procesów, wraz z informacją, gdzie powinny się znajdować i jak wykryć złośliwą wersję.
1. Svchost.exe
Host usługi, czyli svchost.exe, to proces usługi udostępnionej. Umożliwia różnym innym usługom Windows współdzielenie procesów. Pomaga to zmniejszyć zużycie zasobów, czyniąc system bardziej wydajnym. Prawie na pewno zobaczysz więcej niż jedno wystąpienie Svchost.exe w Menedżerze zadań, ale jest to normalne. Jeśli co najmniej jeden z tych plików zostanie naruszony przez złośliwe oprogramowanie, możesz zauważyć wyraźny spadek wydajności.
Prawdziwe pliki Svchost powinny znajdować się w C:\Windows\System32. Jeśli podejrzewasz, że został przejęty, sprawdź C:\Windows\Temp. Jeśli widzisz tutaj plik svchost.exe, może to być złośliwy plik. Przeskanuj plik za pomocą oprogramowania antywirusowego i w razie potrzeby poddaj go kwarantannie.
2. Eksplorator.exe
Explorer.exe jest odpowiedzialny za powłokę graficzną. Bez niego nie miałbyś paska zadań, menu Start, menedżera plików, a nawet pulpitu. Dlatego jest istotną częścią systemu Windows i nie można go wyłączyć.
Kilka wirusów może używać nazwy pliku Explorer.exe do ukrywania się, w tym trojan.w32.ZAPCHAST. Prawidłowy plik będzie w C:\Windows. Jeśli znajdziesz to w System32, zdecydowanie powinieneś to sprawdzić za pomocą oprogramowania antywirusowego.
3. Winlogon.exe
Proces Winlogon.exe jest istotną częścią systemu operacyjnego Windows. Obsługuje takie rzeczy, jak ładowanie profilu użytkownika podczas logowania i blokowanie komputera, gdy działa wygaszacz ekranu. Niestety, ponieważ obsługuje elementy bezpieczeństwa, Windows Logon i proces winlogon.exe są częstymi celami zagrożeń.
Kilka wirusów trojańskich, w tym Vundo, może być ukrytych lub zamaskowanych jako winlogon.exe. Typowa lokalizacja pliku Winlogon.exe to C:\Windows\System32. Jeśli znajdziesz to w C:\Windows\WinSecurity, może być złośliwy. Jedną dobrą wskazówką, że proces został przejęty, jest niezwykle wysokie zużycie pamięci.
Wirusy i złośliwe oprogramowanie nie tylko ukrywają się za procesami systemu Windows. Oto niektóre inne sposoby, w jakie złośliwe oprogramowanie może pozostać niewykryte i ukryć się na komputerze.
4. csrss.exe
Podsystem czasu wykonywania klienta/serwera lub Csrss.exe to niezbędny proces systemu Windows. Chociaż nie jest tak szeroko stosowany w nowoczesnych wersjach systemu Windows, nadal jest wymagany przez system i nie można go wyłączyć.
Nimda. Wiadomo, że wirus E naśladuje proces Csrss.exe, chociaż nie jest to jedyne potencjalne zagrożenie. Prawidłowy plik powinien znajdować się w System32 Lub SysWOW64 lornetka składana. Kliknij prawym przyciskiem myszy proces Csrss.exe w Menedżerze zadań i wybierz Otwórz lokalizację pliku. Jeśli znajduje się gdziekolwiek indziej, prawdopodobnie jest to złośliwy plik.
5. Lsass.exe
lsass.exe to niezbędny proces odpowiedzialny za politykę bezpieczeństwa w systemie Windows. Weryfikuje nazwę logowania i hasło, a także inne procedury bezpieczeństwa. Jest mało prawdopodobne, że proces zostanie przechwycony. Jeśli nie działa poprawnie, zwykle nastąpi automatyczne wylogowanie z komputera. Wiadomo jednak, że wirusy używają nazwy pliku do ukrywania się.
Poszukaj pliku Lsass.exe w C:\Windows\System32. To jedyne miejsce, w którym powinieneś go znaleźć. Jeśli zobaczysz go w innym miejscu, np C:\Windows\system Lub C:\Pliki programów, zachowuj się podejrzliwie i przeskanuj plik swoim programem antywirusowym.
6. Usługi.exe
Proces Services.exe jest odpowiedzialny za uruchamianie i zatrzymywanie różnych podstawowych usług systemu Windows. Podobnie jak inne procesy systemu Windows z tej listy, wirusy i złośliwe oprogramowanie atakują go, ponieważ pozwala im ukryć się na widoku.
Jeśli plik został przejęty, możesz zauważyć problemy podczas uruchamiania i wyłączania komputera. Poszukaj prawdziwego pliku Services.exe w System32 teczka. Jeśli znajduje się w innym miejscu, np C:\Windows\Stan połączenia, plik może być wirusem.
Wymienione tutaj procesy są niezbędne do sprawnego działania systemu Windows. Ale nie wszystkie są, a wiele nieistotnych procesy można nawet zamknąć, aby poprawić wydajność.
7. Spoolsv.exe
Usługa buforowania wydruku systemu Windows lub Spoolsv.exe jest ważną częścią interfejsu drukowania. Działa w tle, czekając, aby w razie potrzeby zarządzać takimi rzeczami, jak kolejka wydruku. Proces ten nie jest zależny od podłączonej drukarki, więc nie powinieneś być zaskoczony, widząc go w Menedżerze zadań.
Być może dlatego, że Spoolsv.exe można łatwo przeoczyć, wirus może przyjąć nazwę, aby wyglądać na legalną. Prawdziwy plik spools można znaleźć w C:\Windows\System32. Fałszywy plik często pojawia się w C:\Windowslub w folderze profilu użytkownika.
Jak sprawdzić, czy proces jest uzasadniony?
Menedżer zadań jest Twoim przyjacielem, gdy szukasz podejrzanej aktywności. Zainfekowane procesy często zachowują się nieprawidłowo, zużywając więcej mocy procesora i pamięci niż zwykle. Ale nie zawsze tak jest, więc oto kilka innych sposobów sprawdzenia, czy proces jest prawidłowy.
Większość wymienionych tutaj podstawowych procesów powinna pojawiać się tylko w folderze System32. Możesz łatwo sprawdzić lokalizację podejrzanego pliku w Menedżerze zadań. Kliknij proces prawym przyciskiem myszy i wybierz Otwórz lokalizację pliku. Sprawdź ścieżkę otwieranego folderu, aby upewnić się, że plik znajduje się we właściwym miejscu.
Innym sposobem stwierdzenia, czy plik jest prawidłowy, jest sprawdzenie rozmiaru. Większość plików .exe tych podstawowych procesów będzie miała mniej niż 200 KB. Kliknij prawym przyciskiem myszy nazwę procesu w Menedżerze zadań, wybierz Nieruchomości i spójrz na rozmiar. Jeśli wydaje się niezwykle duży, przyjrzyj się bliżej, aby ustalić, czy jest bezpieczny.
Możesz również sprawdź certyfikat pliku EXE. Autentyczny plik będzie posiadał certyfikat bezpieczeństwa wydany przez firmę Microsoft. Jeśli widzisz coś innego, prawdopodobnie jest to złośliwe.
Na koniec przeskanuj podejrzane pliki aktualnym skanerem antywirusowym. Poddaj kwarantannie i usuń wszystkie pliki oznaczone jako zainfekowane. Na szczęście nowoczesne wersje systemu Windows mają wbudowaną usługę Microsoft Defender, więc ucz się jak przeskanować pojedynczy plik lub folder za pomocą usługi Microsoft Defender aby sprawdzić znalezione podejrzane pliki.
Procesy systemu Windows, które mogą ukrywać wirusa
Częścią ochrony komputera z systemem Windows przed złośliwym oprogramowaniem i wirusami jest wiedza, gdzie się one ukrywają. Czasami złośliwy plik zachowuje się dziwnie, zużywając zbyt dużo procesora i pamięci. Ale nie zawsze. Tak więc wykrywanie podejrzanego pliku w inny sposób jest przydatną umiejętnością.
