Процесите са неизбежна част от Windows и не е необичайно да видите десетки или стотици от тях в диспечера на задачите. Всеки процес е програма или част от програма, която се изпълнява. За съжаление създателите на злонамерен софтуер знаят това и е известно, че крият злонамерен софтуер зад имената на легитимни процеси.
Ето някои от най-често отвличаните или дублирани процеси, заедно с това къде трябва да бъдат разположени и как да забележите злонамерена версия.
1. Svchost.exe
Хостът на услугата или svchost.exe е процес на споделена услуга. Той позволява на различни други услуги на Windows да споделят процеси. Това помага да се намали използването на ресурси, което прави системата по-ефективна. Почти сигурно ще видите повече от едно копие на Svchost.exe в диспечера на задачите, но това е нормално. Ако един или повече от тези файлове са компрометирани от зловреден софтуер, може да забележите значително намаляване на производителността.
Законните Svchost файлове трябва да бъдат намерени в C:\Windows\System32. Ако подозирате, че е бил отвлечен, проверете C:\Windows\Temp. Ако видите svchost.exe тук, това може да е злонамерен файл. Сканирайте файла с вашия антивирусен софтуер и го поставете под карантина, ако е необходимо.
2. Explorer.exe
Explorer.exe отговаря за графичната обвивка. Без него нямаше да имате лента на задачите, меню "Старт", файлов мениджър или дори работен плот. Следователно той е съществена част от Windows и не може да бъде деактивиран.
Няколко вируса могат да използват името на файла Explorer.exe, за да се скрият зад него, включително trojan.w32.ZAPCHAST. Легитимният файл ще бъде вътре C:\Windows. Ако го намерите в Система32, определено трябва да го проверите с вашия антивирусен софтуер.
3. Winlogon.exe
Процесът Winlogon.exe е съществена част от операционната система Windows. Той обработва неща като зареждане на потребителския профил по време на влизане и заключване на компютъра, когато скрийнсейвърът работи. За съжаление, тъй като обработва елементи за сигурност, влизането в Windows и процесът winlogon.exe са често срещани цели за заплахи.
Няколко троянски вируса, включително Vundo, могат да бъдат скрити в или маскирани като winlogon.exe. Обичайното местоположение на файла Winlogon.exe е C:\Windows\System32. Ако го намерите в C:\Windows\WinSecurity, може да е злонамерено. Една добра индикация, че процесът е бил отвлечен, е необичайно високото използване на паметта.
Вирусите и зловреден софтуер не се крият само зад процесите на Windows. Ето няколко други начини, по които зловреден софтуер може да остане незабелязан и да се скрие на вашия компютър.
4. Csrss.exe
Подсистемата за изпълнение на клиент/сървър или Csrss.exe е основен процес на Windows. Въпреки че не се използва толкова широко в съвременните версии на Windows, той все още се изисква от системата и не може да бъде деактивиран.
Нимда. Известно е, че вирусът E имитира процеса Csrss.exe, въпреки че това не е единствената потенциална заплаха. Легитимният файл трябва да се намира в Система32 или SysWOW64 папки. Щракнете с десния бутон върху процеса Csrss.exe в диспечера на задачите и изберете Отворете местоположението на файла. Ако се намира някъде другаде, вероятно е злонамерен файл.
5. Lsass.exe
lsass.exe е основен процес, отговорен за политиката за сигурност на Windows. Той проверява името за вход и паролата, наред с други процедури за сигурност. Малко вероятно е процесът да бъде отвлечен. Ако не работи правилно, обикновено автоматично излизате от компютъра си. Но е известно, че вирусите използват името на файла, за да се скрият.
Потърсете файла Lsass.exe в C:\Windows\System32. Това е единственото място, където трябва да го намерите. Ако го видите на друго място, като напр C:\Windows\система или C:\Програмни файлове, действайте подозрително и сканирайте файла с вашата антивирусна програма.
6. Services.exe
Процесът Services.exe е отговорен за стартирането и спирането на различни основни услуги на Windows. Подобно на другите процеси на Windows в този списък, вирусите и зловреден софтуер са насочени към него, защото им позволява да се скрият на видно място.
Ако файлът е отвлечен, може да забележите проблеми по време на стартиране и изключване на вашия компютър. Потърсете истинския файл Services.exe в Система32 папка. Ако се намира някъде другаде, например в C:\Windows\ConnectionStatus, файлът може да е вирус.
Споменатите тук процеси са от съществено значение за безпроблемната работа на Windows. Но не всички са и много несъществени процесите могат дори да бъдат затворени, за да подпомогнат производителността.
7. Spoolsv.exe
Услугата Windows Print Spooler или Spoolsv.exe е важна част от интерфейса за печат. Той работи във фонов режим и чака да управлява неща като опашката за печат, когато е необходимо. Процесът не зависи от наличието на свързан принтер, така че не бива да се изненадвате да го видите в диспечера на задачите.
Може би защото Spoolsv.exe лесно се пренебрегва, вирусът може да вземе името, за да изглежда легитимен. Истинският spool файл може да бъде намерен в C:\Windows\System32. Фалшивият файл често се появява в C:\Windows, или в папка на потребителски профил.
Как да проверите дали даден процес е легитимен?
Диспечерът на задачите е ваш приятел, когато търсите подозрителна дейност. Заразените процеси често се държат нестабилно, консумирайки повече мощност на процесора и памет, отколкото обикновено. Но това не винаги е така, така че ето някои други начини да проверите дали даден процес е легитимен.
Повечето от основните процеси, изброени тук, трябва да се показват само в папката System32. Можете лесно да проверите местоположението на подозрителен файл в диспечера на задачите. Щракнете с десния бутон върху процеса и изберете Отворете местоположението на файла. Проверете пътя на папката, която се отваря, за да сте сигурни, че файлът е на правилното място.
Друг начин да разберете дали даден файл е легитимен е да проверите размера. Повечето от .exe файловете на тези основни процеси ще бъдат под 200kb. Щракнете с десния бутон върху името на процеса в диспечера на задачите, изберете Имоти и вижте размера. Ако изглежда необичайно голямо, погледнете го по-отблизо, за да определите дали е безопасно.
Можете също проверете сертификата на EXE файла. Автентичният файл ще има сертификат за сигурност, издаден от Microsoft. Ако видите нещо друго, вероятно е злонамерено.
Последното нещо, което трябва да направите, е да сканирате подозрителни файлове с актуален антивирусен скенер. Поставете под карантина и премахнете всички файлове, които са маркирани като заразени. За щастие модерните версии на Windows идват с вграден Microsoft Defender, така че научете как да сканирате един файл или папка с Microsoft Defender за да проверите всички съмнителни файлове, които намерите.
Процесите на Windows, които може да крият вирус
Част от предпазването на вашия компютър с Windows от зловреден софтуер и вируси е да знаете къде се крият. Понякога злонамерен файл ще се държи странно, използвайки твърде много процесор и памет. Но не винаги. Така че откриването на подозрителен файл по други начини е полезно умение.