Процессы — важная и неизбежная часть Windows, и нет ничего необычного в том, что в диспетчере задач их десятки или сотни. Каждый процесс представляет собой работающее приложение или его часть. К сожалению, создатели вредоносных программ знают об этом и, как известно, прячут плохой код за законными именами процессов.
Вот некоторые из наиболее распространенных взломанных или реплицированных процессов, а также то, где вам нужно быть и как обнаружить вредоносную версию. Проверять Как вредоносное ПО попадает в магазины приложений?
1. svchost.exe
Узел службы, или svchost.exe, — это общий процесс службы. Позволяет многим другим службам Windows совместно использовать процессы. Это помогает сократить использование ресурсов, делая систему более эффективной. Вы почти наверняка увидите более одного экземпляра svchost.exe в диспетчере задач, но это нормально. Если один или несколько из этих файлов скомпрометированы вредоносным ПО, вы можете заметить значительное снижение производительности.
Легитимные файлы svchost должны быть найдены по следующему пути:
C:\Windows\System32
Если вы подозреваете, что процесс был скомпрометирован, проверьте следующий путь:
C:\Windows\Temp
Если вы видите здесь svchost.exe, это может быть вредоносный файл. Отсканируйте файл антивирусным приложением и при необходимости поместите его в карантин. Проверять Что такое процесс svchost.exe, безопасен ли он или его нужно останавливать?
2. Проводник.exe
Explorer.exe отвечает за просматриваемую вами графическую оболочку. Без него у вас не было бы панели задач, меню «Пуск», файлового менеджера или даже рабочего стола. Поэтому они являются неотъемлемой частью Windows и не могут быть отключены.
Многие вирусы могут использовать имя файла Explorer.exe, чтобы спрятаться за ним, включая trojan.w32.ZAPCHAST. Законный файл будет находиться по следующему пути:
C:\Windows
Если вы найдете его в System32, обязательно проверьте его с помощью предпочтительного антивирусного приложения.
3.winlogon.exe
Процесс Winlogon.exe является неотъемлемой частью Windows. Он обрабатывает такие вещи, как загрузка профиля пользователя во время входа в систему и блокировка компьютера во время работы экранной заставки. К сожалению, из-за того, что они имеют дело с элементами безопасности, Windows Logon и процесс winlogon.exe часто становятся объектами угроз.
Многие трояны, включая Vundo, могут быть скрыты внутри файла или замаскированы под winlogon.exe. Обычно Winlogon.exe находится по следующему пути:
C:\Windows\System32
Если вы найдете его по другому пути, он может быть вредоносным, например:
C:\Windows\WinSecurity
Одним из явных признаков того, что процесс был захвачен, является необычно высокое использование памяти.
Вирусы и вредоносное ПО не просто прячутся за процессами Windows. Вот несколько других способов, которыми он может Вредоносное ПО не обнаруживается и скрывается на вашем компьютере.
4. Csrss.exe
Подсистема выполнения клиент/сервер, или Csrss.exe, является одним из основных процессов Windows. Хотя они не используются широко в последних версиях Windows, они по-прежнему требуются системе и не могут быть отключены.
Известно, что вирус Nimda.E имитирует процесс Csrss.exe, хотя это не единственная возможная угроза. Подлинный файл должен находиться в папках System32 или SysWOW64. Щелкните правой кнопкой мыши процесс Csrss.exe в диспетчере задач и выберите Csrss.exe. местонахождение открытого файла. Если он находится в другом месте, скорее всего, это вредоносный файл. Проверять Что такое процесс Csrss.Exe в Windows и насколько он безопасен?
5. Lsass.exe
lsass.exe — это основной процесс, отвечающий за политику безопасности в Windows. Где вы подтверждаете свое имя пользователя и пароль, среди других мер безопасности. Процесс вряд ли будет захвачен. Если он не работает должным образом, он обычно автоматически выводит вас из вашего компьютера. Однако известно, что вирусы используют имя файла для сокрытия.
Найдите файл Lsass.exe по следующему пути:
C:\Windows\System32
Это единственное место, где вы должны его найти. Если вы видите это в другом месте, например C:\Windows\система или же C: \ Program Files Действуйте подозрительно и просканируйте файл антивирусным приложением. Проверять Что такое аппаратный взлом и стоит ли об этом беспокоиться?
6. Службы.exe
Процесс Services.exe отвечает за запуск и остановку многих важных служб Windows. Как и другие процессы Windows в этом списке, вирусы и вредоносные программы нацелены на них, потому что это позволяет им прятаться на виду.
Если файл скомпрометирован, могут возникнуть проблемы при запуске и выключении компьютера. Найдите настоящий файл Services.exe в папке System32. Если он находится в другом месте, например, по следующему пути:
C:\Windows\ConnectionStatus
Файл может быть вирусом.
Упомянутые здесь процессы необходимы для бесперебойной работы Windows. Но не все и даже многие второстепенные процессы можно закрыть для повышения производительности.
7. Спулсв.exe
Служба диспетчера очереди печати Windows или Spoolsv.exe является важной частью интерфейса печати. Он работает в фоновом режиме, ожидая, когда это необходимо, чтобы управлять такими вещами, как очередь печати. Процесс не зависит от подключения принтера, поэтому не стоит удивляться, увидев его в диспетчере задач.
Возможно, из-за того, что Spoolsv.exe так легко упустить из виду, вирус может взять это имя, чтобы казаться легитимным. Настоящий файл spools можно найти по следующему пути:
C:\Windows\System32
Поддельный файл часто появляется в C: \ Windows или в папке профиля пользователя. Проверять Какие процессы Windows можно безопасно завершить для повышения производительности?
Как вы проверяете, является ли процесс законным?
Диспетчер задач — ваш друг при поиске подозрительной активности. Зараженные процессы часто ведут себя хаотично, потребляя больше энергии, памяти и ЦП, чем обычно. Но это не всегда так, поэтому вот несколько других способов проверить законность процесса.
Большинство перечисленных здесь основных процессов должны появляться только в папке System32. Вы можете легко проверить местонахождение подозрительного файла в диспетчере задач. Щелкните правой кнопкой мыши процесс и выберите местонахождение открытого файла. Проверьте путь к открывающейся папке, чтобы убедиться, что файл находится в правильном месте.
Еще один способ узнать, является ли файл законным, — проверить его размер. Это будет размер большинства файлов .exe. Для этих основных операций менее 200 КБ. Щелкните правой кнопкой мыши имя процесса в диспетчере задач и выберите ئصائص И посмотрите на размер. Если он кажется необычно большим, присмотритесь, чтобы определить, безопасно ли это.
Вы также можете проверить сертификат EXE-файла. Исходный файл будет иметь сертификат безопасности, выданный Microsoft. Если вы видите что-то еще, это, вероятно, вредоносное ПО.
Последнее, что нужно сделать, это проверить подозрительные файлы обновленным антивирусным сканером. Поместите в карантин и удалите все файлы, помеченные как зараженные. К счастью, последние версии Windows поставляются в комплекте с Microsoft Defender, так что узнайте Как проверить файл Или одну папку с Microsoft Defender для проверки любых подозрительных файлов, которые вы найдете. Проверять Как сохранить список запущенных процессов в Windows.
Процессы Windows, которые могут скрывать вирус
Чтобы защитить компьютер с Windows от вредоносных программ и вирусов, нужно знать, где они прячутся. Иногда вредоносный файл ведет себя странно, используя много ресурсов процессора и памяти. Но не всегда. Так что обнаружение подозрительного файла другими способами — полезный навык. Вы можете просмотреть сейчас Доходит ли использование графического процессора до 100% в Windows? Как это исправить.
