تُعد العمليات جزءًا أساسيًا لا مفر منه من Windows ، وليس من غير المُعتاد رؤية العشرات أو المئات منها في مدير المهام. كل عملية عبارة عن تطبيق أو جزء منه قيد التشغيل. لسوء الحظ ، يعرف مُنشئو البرامج الضارة ذلك ومن المعروف أنهم يُخفون التعليمات البرمجية السيئة وراء أسماء العمليات المشروعة.
فيما يلي بعض العمليات الأكثر شيوعًا التي يتم الاستيلاء عليها أو تكرارها ، جنبًا إلى جنب مع المكان الذي يجب أن تتواجد فيه وكيفية اكتشاف إصدار ضار. تحقق من كيف تصل البرامج الضارة إلى متاجر التطبيقات؟
1. ملف Svchost.exe
مُضيف الخدمة ، أو Svchost.exe ، هي عملية خدمة مُشتركة. تسمح للعديد من خدمات Windows الأخرى بمشاركة العمليات. حيث يُساعد هذا في تقليل استخدام الموارد ، مما يجعل النظام أكثر كفاءة. من شبه المؤكد أنك سترى أكثر من مثيل واحد من Svchost.exe في مدير المهام ، لكن هذا أمر طبيعي. إذا تم اختراق ملف أو أكثر من هذه الملفات بواسطة البرامج الضارة ، فقد تُلاحظ انخفاضًا واضحًا في الأداء.
يجب العثور على ملفات Svchost الشرعية في المسار التالي:
C:\Windows\System32
إذا كنت تشك في أنه قد تم اختراق العملية ، فتحقق من المسار التالي:
C:\Windows\Temp
إذا رأيت ملف Svchost.exe هنا ، فقد يكون ملفًا ضارًا. قم بفحص الملف باستخدام تطبيق مُكافحة الفيروسات الخاص بك ، وقم بعزله إذا لزم الأمر. تحقق من ما هي عملية Svchost.exe ، وهل هي آمنة أم يجب إيقافها؟
2. Explorer.exe
Explorer.exe مسؤولة عن الغلاف الرسومي الذي تُشاهده. بدونها ، لن يكون لديك شريط مهام أو قائمة ابدأ أو مدير الملفات أو حتى سطح المكتب. لذلك ، فهي جزء أساسي من Windows ولا يُمكن تعطيلها.
يُمكن للعديد من الفيروسات استخدام اسم الملف Explorer.exe للاختباء خلفه ، بما في ذلك trojan.w32.ZAPCHAST. سيكون الملف الشرعي في المسار التالي:
C:\Windows
إذا وجدته في System32 ، فيجب عليك بالتأكيد التحقق منه باستخدام تطبيق مكافحة الفيروسات الذي تُفضله.
3. Winlogon.exe
تُعد عملية Winlogon.exe جزءًا أساسيًا من Windows. فهي تتعامل مع أشياء مثل تحميل ملف تعريف المستخدم أثناء تسجيل الدخول وقفل الكمبيوتر عند تشغيل شاشة التوقف. لسوء الحظ ، نظرًا لأنها تتعامل مع عناصر الأمان ، تُعد Windows Logon وعملية winlogon.exe أهدافًا شائعة للتهديدات.
يُمكن إخفاء العديد من فيروسات أحصنة طروادة ، بما في ذلك Vundo ، داخل الملف أو مُتخفية باسم winlogon.exe. المكان المُعتاد لملف Winlogon.exe هو المسار التالي:
C:\Windows\System32
إذا وجدته في المسار مُختلف ، فقد يكون ضارًا مثل:
C:\Windows\WinSecurity
أحد المُؤشرات الواضحة على تعرض العملية للاختطاف هو استخدام ذاكرة عالية بشكل غير اعتيادي.
لا تختبئ الفيروسات والبرامج الضارة خلف عمليات Windows فقط. فيما يلي بعض الطرق الأخرى التي يمكن بها عدم اكتشاف البرامج الضارة وإخفائها على الكمبيوتر الخاص بك.
4. Csrss.exe
تُعد النظام الفرعي لوقت تشغيل العميل/الخادم ، أو Csrss.exe ، إحدى عمليات Windows الأساسية. على الرغم من عدم استخدامها على نطاق واسع في إصدارات Windows الحديثة ، إلا أنها لا تزال مطلوبةً من قبل النظام ولا يُمكن تعطيلها.
من المعروف أنَّ فيروس Nimda.E يُحاكي عملية Csrss.exe ، على الرغم من أنَّ هذا ليس التهديد الوحيد المحتمل. يجب أن يكون الملف الشرعي موجودًا في مجلدات System32 أو SysWOW64. انقر بزر الماوس الأيمن فوق عملية Csrss.exe في مدير المهام واختر فتح مكان الملف. إذا كان موجودًا في أي مكان آخر ، فمن المحتمل أن يكون ملفًا ضارًا. تحقق من ما هي عملية Csrss.Exe في Windows وهل هي آمنة؟
5. Lsass.exe
lsass.exe هي عملية أساسية مسؤولة عن سياسة الأمان على Windows. حيث تتحقق من اسم تسجيل الدخول وكلمة السر ، من بين إجراءات أمنية أخرى. من غير المحتمل أن يتم اختطاف العملية. إذا لم تكن تعمل بشكل صحيح ، فسيتم عادةً تسجيل خروجك تلقائيًا من الكمبيوتر الخاص بك. لكن من المعروف أنَّ الفيروسات تستخدم اسم الملف للاختباء.
ابحث عن ملف Lsass.exe في المسار التالي:
C:\Windows\System32
هذا هو المكان الوحيد الذي يجب أن تجده فيه. إذا رأيته في مكان آخر ، مثل C:\Windows\system أو C:\Program Files ، فتصرف بالريبة وافحص الملف باستخدام تطبيق مكافحة الفيروسات. تحقق من ما هو اختراق الأجهزة وهل يجب أن تقلق منه؟
6. Services.exe
تُعتبر عملية Services.exe مسؤولة عن بدء تشغيل العديد من خدمات Windows الأساسية وإيقافها. مثل عمليات Windows الأخرى في هذه القائمة ، تستهدفها الفيروسات والبرامج الضارة لأنها تسمح لها بالاختباء في مرأى من الجميع.
إذا تم اختراق الملف ، فقد تُلاحظ مشاكل أثناء بدء تشغيل الكمبيوتر وإيقاف تشغيله. ابحث عن ملف Services.exe الحقيقي في المجلد System32. إذا كان موجودًا في أي مكان آخر ، كما هو الحال في المسار التالي:
C:\Windows\ConnectionStatus
فقد يكون الملف فيروسًا.
العمليات المذكورة هنا ضرورية للتشغيل السلس لنظام Windows. ولكن ليس كل شيء ، ويُمكن حتى إغلاق العديد من العمليات غير الأساسية للمساعدة في الأداء.
7. Spoolsv.exe
تعد خدمة Windows Print Spooler Service أو Spoolsv.exe جزءًا مُهمًا من واجهة الطباعة. يعمل في الخلفية ، في انتظار إدارة أشياء مثل قائمة انتظار الطباعة عند الحاجة. لا تعتمد العملية على توصيل طابعة ، لذلك لا ينبغي أن تفاجأ برؤيتها في مدير المهام.
ربما بسبب التغاضي عن Spoolsv.exe بسهولة ، يُمكن للفيروس أن يأخذ الاسم ليجعل نفسه يبدو شرعيًا. يُمكن العثور على ملف spools الحقيقي في المسار التالي:
C:\Windows\System32
غالبًا ما يظهر الملف المُزيف في C:\Windows ، أو في مجلد ملف تعريف المستخدم. تحقق من أيّ عمليات Windows يُمكنك إنهاؤها بأمان لتحسين الأداء؟
كيف تتحقق مما إذا كانت العملية مشروعة؟
مدير المهام هو صديقك عند البحث عن نشاط مشبوه. غالبًا ما تتصرف العمليات المُصابة بشكل متقطع ، مما يؤدي إلى استهلاك الطاقة والذاكرة وحدة المعالجة المركزية أكثر من المعتاد. لكن هذا ليس هو الحال دائمًا ، لذا إليك بعض الطرق الأخرى للتحقق من شرعية العملية.
يجب أن تظهر معظم العمليات الأساسية المدرجة هنا في مجلد System32 فقط. يُمكنك بسهولة التحقق من مكان ملف مشبوه في مدير المهام. انقر بزر الماوس الأيمن فوق العملية وحدد فتح مكان الملف. تحقق من مسار المجلد الذي يفتح للتأكد من أنَّ الملف في المكان الصحيح.
هناك طريقة أخرى لمعرفة ما إذا كان الملف شرعيًا وهي التحقق من الحجم. سيكون حجم معظم ملفات exe. لهذه العمليات الأساسية أقل من 200 كيلوبايت. انقر بزر الماوس الأيمن على اسم العملية في مدير المهام ، وحدد خصائص وانظر إلى الحجم. إذا بدت كبيرة بشكل غير عادي ، فقم بإلقاء نظرة فاحصة لتحديد ما إذا كانت آمنة.
يُمكنك أيضًا التحقق من شهادة ملف EXE. سيكون للملف الأصلي شهادة أمان صادرة عن Microsoft. إذا رأيت أي شيء آخر ، فمن المحتمل أن يكون ضارًا.
آخر شيء يجب القيام به هو فحص الملفات المشبوهة باستخدام فاحص مُحدث لمكافحة الفيروسات. عليك عزل وإزالة أي ملفات تم وضع علامة على أنها مصابة. لحسن الحظ ، تأتي الإصدارات الحديثة من Windows مدمجة مع Microsoft Defender ، لذا تعرف على كيفية فحص ملف أو مجلد واحد باستخدام Microsoft Defender للتحقق من أي ملفات مشبوهة تجدها. تحقق من كيفية حفظ قائمة العمليات قيد التشغيل في Windows.
عمليات Windows التي قد تُخفي فيروسًا
جزء من الحفاظ على الكمبيوتر الخاص بك الذي يعمل بنظام Windows في مأمن من البرامج الضارة والفيروسات هو معرفة مكان اختبائها. في بعض الأحيان ، يتصرف الملف الضار بشكل غريب ، حيث يستخدم الكثير من وحدة المعالجة المركزية والذاكرة. لكن ليس دائمًا. لذا فإنَّ اكتشاف ملف مشبوه بطرق أخرى يعد مهارة مُفيدة. يُمكنك الإطلاع الآن على هل يرتفع استخدام وحدة معالجة الرسومات إلى 100% على Windows؟ كيف تُصلحها.
