Procesai yra neišvengiama „Windows“ dalis, todėl užduočių tvarkytuvėje nėra neįprasta jų matyti dešimtis ar šimtus. Kiekvienas procesas yra vykdoma programa arba programos dalis. Deja, kenkėjiškų programų kūrėjai tai žino ir slepia kenkėjišką programinę įrangą už teisėtų procesų pavadinimų.
Štai keletas dažniausiai užgrobtų ar pasikartojančių procesų, taip pat kur jie turėtų būti ir kaip aptikti kenkėjišką versiją.
1. Svchost.exe
Paslaugų priegloba arba svchost.exe yra bendrinamos paslaugos procesas. Tai leidžia įvairioms kitoms „Windows“ tarnyboms dalytis procesais. Tai padeda sumažinti išteklių naudojimą, todėl sistema tampa efektyvesnė. Beveik neabejotinai užduočių tvarkytuvėje pamatysite daugiau nei vieną Svchost.exe egzempliorių, tačiau tai normalu. Jei vieną ar kelis iš šių failų pažeidžia kenkėjiška programa, galite pastebėti akivaizdų našumo sumažėjimą.
Teisėtus Svchost failus reikia rasti C:\Windows\System32. Jei įtariate, kad jis buvo užgrobtas, patikrinkite C:\Windows\Temp. Jei čia matote svchost.exe, tai gali būti kenkėjiškas failas. Nuskaitykite failą naudodami antivirusinę programinę įrangą ir, jei reikia, palikite jį karantine.
2. Explorer.exe
Explorer.exe yra atsakinga už grafinį apvalkalą. Be jo neturėtumėte užduočių juostos, meniu Pradėti, failų tvarkyklės ar net darbalaukio. Todėl tai yra esminė „Windows“ dalis ir jos negalima išjungti.
Keletas virusų gali naudoti Explorer.exe failo pavadinimą, kad galėtų pasislėpti, įskaitant trojan.w32.ZAPCHAST. Teisėtas failas bus įkeltas C:\Windows. Jei jį rasite Sistema 32, tikrai turėtumėte tai patikrinti naudodami antivirusinę programinę įrangą.
3. Winlogon.exe
„Winlogon.exe“ procesas yra esminė „Windows“ OS dalis. Jis tvarko tokius dalykus kaip vartotojo profilio įkėlimas prisijungimo metu ir kompiuterio užrakinimas, kai veikia ekrano užsklanda. Deja, kadangi jis tvarko saugos elementus, „Windows Logon“ ir „winlogon.exe“ procesas yra dažni grėsmių objektai.
Keletas Trojos arklių virusų, įskaitant Vundo, gali būti paslėpti arba užmaskuoti kaip winlogon.exe. Įprasta failo Winlogon.exe vieta yra C:\Windows\System32. Jei jį rasite C:\Windows\WinSecurity, tai gali būti kenkėjiška. Vienas geras požymis, kad procesas buvo užgrobtas, yra neįprastai didelis atminties naudojimas.
Virusai ir kenkėjiškos programos slepiasi ne tik už „Windows“ procesų. Stai keleta kitais būdais, kaip kenkėjiška programa gali likti nepastebėta ir paslėpti kompiuteryje.
4. Csrss.exe
Kliento / serverio veikimo laiko posistemis arba Csrss.exe yra esminis „Windows“ procesas. Nors jis nėra taip plačiai naudojamas šiuolaikinėse „Windows“ versijose, jis vis tiek reikalingas sistemai ir negali būti išjungtas.
Nimda. Buvo žinoma, kad E virusas imituoja Csrss.exe procesą, nors tai nėra vienintelė galima grėsmė. Teisėtas failas turi būti Sistema 32 arba SysWOW64 aplankus. Dešiniuoju pelės mygtuku spustelėkite Csrss.exe procesą Task Manager ir pasirinkite Atidarykite failo vietą. Jei jis yra kur nors kitur, greičiausiai tai yra kenkėjiškas failas.
5. Lsass.exe
lsass.exe yra esminis procesas, atsakingas už saugos politiką sistemoje Windows. Jis patikrina prisijungimo vardą ir slaptažodį, be kitų saugumo procedūrų. Mažai tikėtina, kad procesas bus užgrobtas. Jei jis veikia netinkamai, paprastai būsite automatiškai atjungti nuo kompiuterio. Tačiau žinoma, kad virusai naudoja failo pavadinimą norėdami pasislėpti.
Ieškokite failo Lsass.exe C:\Windows\System32. Tai vienintelė vieta, kurią turėtumėte rasti. Jei matote jį kitoje vietoje, pvz C:\Windows\sistema arba C:\Programų failai, elkitės įtariai ir nuskaitykite failą naudodami antivirusinę programą.
6. Services.exe
„Services.exe“ procesas yra atsakingas už įvairių pagrindinių „Windows“ paslaugų paleidimą ir sustabdymą. Kaip ir kiti šiame sąraše esantys Windows procesai, virusai ir kenkėjiškos programos yra nukreiptos į jį, nes leidžia jiems pasislėpti.
Jei failas yra užgrobtas, galite pastebėti problemų paleidžiant ir išjungiant kompiuterį. Ieškokite tikro Services.exe failo Sistema 32 aplanką. Jei jis yra kur nors kitur, pvz C:\Windows\ConnectionStatus, failas gali būti virusas.
Čia paminėti procesai yra būtini sklandžiam „Windows“ veikimui. Tačiau ne visi yra, o daugelis nėra būtini procesus galima net uždaryti, kad padidėtų našumas.
7. Spoolsv.exe
„Windows Print Spooler Service“ arba „Spoolsv.exe“ yra svarbi spausdinimo sąsajos dalis. Jis veikia fone ir laukia, kol prireikus tvarkys tokius dalykus kaip spausdinimo eilė. Procesas nepriklauso nuo prijungto spausdintuvo, todėl neturėtumėte nustebti pamatę jį užduočių tvarkyklėje.
Galbūt dėl to, kad Spoolsv.exe yra lengvai nepastebėtas, virusas gali pavadinti save, kad jis atrodytų teisėtas. Tikrąjį ritės failą galite rasti C:\Windows\System32. Suklastotas failas dažnai bus rodomas C:\Windows, arba vartotojo profilio aplanke.
Kaip patikrinti, ar procesas yra teisėtas?
Užduočių tvarkyklė yra jūsų draugas ieškant įtartinos veiklos. Užkrėsti procesai dažnai elgsis netvarkingai, sunaudos daugiau procesoriaus galios ir atminties nei įprastai. Tačiau taip yra ne visada, todėl čia yra keletas kitų būdų, kaip patikrinti, ar procesas yra teisėtas.
Dauguma čia išvardytų esminių procesų turėtų būti rodomi tik aplanke System32. Užduočių tvarkyklėje galite lengvai patikrinti įtartino failo vietą. Dešiniuoju pelės mygtuku spustelėkite procesą ir pasirinkite Atidarykite failo vietą. Patikrinkite atidaryto aplanko kelią, kad įsitikintumėte, jog failas yra tinkamoje vietoje.
Kitas būdas sužinoti, ar failas yra teisėtas, yra patikrinti jo dydį. Dauguma šių esminių procesų .exe failų bus mažesni nei 200 kb. Dešiniuoju pelės mygtuku spustelėkite proceso pavadinimą Task Manager, pasirinkite Savybės ir pažiūrėk į dydį. Jei jis atrodo neįprastai didelis, atidžiau pažiūrėkite, ar jis saugus.
Tu taip pat gali patikrinkite EXE failo sertifikatą. Autentiškas failas turės „Microsoft“ išduotą saugos sertifikatą. Jei matote ką nors kita, greičiausiai tai yra kenkėjiška.
Paskutinis dalykas, kurį reikia padaryti, yra nuskaityti įtartinus failus naudojant naujausią antivirusinį skaitytuvą. Karantiną ir pašalinkite visus failus, pažymėtus kaip užkrėstus. Laimei, šiuolaikinėse „Windows“ versijose yra integruotas „Microsoft Defender“, todėl mokykitės kaip nuskaityti vieną failą ar aplanką naudojant „Microsoft Defender“. kad patikrintumėte visus rastus įtartinus failus.
„Windows“ procesai, kurie gali slėpti virusą
Dalis „Windows“ kompiuterio apsaugos nuo kenkėjiškų programų ir virusų yra žinojimas, kur jie slepiasi. Kartais kenkėjiškas failas elgsis keistai, naudodamas per daug procesoriaus ir atminties. Bet ne visada. Taigi įtartiną failą aptikti kitais būdais yra naudingas įgūdis.
