A folyamatok a Windows megkerülhetetlen részét képezik, és nem szokatlan, hogy több tucat vagy több százat látunk belőlük a Feladatkezelőben. Minden folyamat egy futó program vagy egy program része. Sajnos a rosszindulatú programok készítői tudják ezt, és köztudottan a rosszindulatú szoftvereket törvényes folyamatok nevei mögé rejtik.
Íme néhány a leggyakrabban eltérített vagy sokszorosított folyamatok, valamint azok helye és a rosszindulatú verzió észlelésének módja.
1. Svchost.exe
A Service Host vagy az svchost.exe egy megosztott szolgáltatású folyamat. Lehetővé teszi számos más Windows-szolgáltatásnak a folyamatok megosztását. Ez segít csökkenteni az erőforrás-felhasználást, és hatékonyabbá teszi a rendszert. Szinte biztos, hogy egynél több Svchost.exe példányt fog látni a Feladatkezelőben, de ez normális. Ha ezen fájlok közül egyet vagy többet rosszindulatú program veszélyeztetett, a teljesítmény jelentős csökkenését észlelheti.
A törvényes Svchost fájlokat itt kell megtalálni C:\Windows\System32. Ha gyanítja, hogy eltérítették, ellenőrizze C:\Windows\Temp. Ha itt látja az svchost.exe fájlt, akkor az egy rosszindulatú fájl lehet. Vizsgálja át a fájlt víruskereső szoftverével, és tegye karanténba, ha szükséges.
2. Explorer.exe
Az Explorer.exe felelős a grafikus héjért. Enélkül nem lenne tálcája, Start menüje, Fájlkezelője vagy akár az asztala sem. Ezért a Windows elengedhetetlen része, és nem lehet letiltani.
Számos vírus használhatja az Explorer.exe fájlnevet, hogy elbújjon mögé, például a trojan.w32.ZAPCHAST. A törvényes fájl bekerül C:\Windows. Ha megtalálod benne Rendszer32, mindenképpen ellenőrizze a víruskereső szoftverével.
3. Winlogon.exe
A Winlogon.exe folyamat a Windows operációs rendszer elengedhetetlen része. Olyan dolgokat kezel, mint a felhasználói profil betöltése bejelentkezéskor, és a számítógép zárolása, amikor a képernyővédő fut. Sajnos, mivel a biztonsági elemeket kezeli, a Windows bejelentkezés és a winlogon.exe folyamat a fenyegetések gyakori célpontjai.
Számos trójai vírus, köztük a Vundo, elrejthető a winlogon.exe fájlban vagy annak álcázva. A Winlogon.exe fájl szokásos helye: C:\Windows\System32. Ha megtalálod benne C:\Windows\WinSecurity, rosszindulatú lehet. Az egyik jó jel arra, hogy a folyamatot eltérítették, a szokatlanul magas memóriahasználat.
A vírusok és a rosszindulatú programok nem csak a Windows-folyamatok mögött bújnak meg. Itt van néhány más módon a rosszindulatú programok észrevétlenül maradhatnak, és elrejtőzhetnek a számítógépén.
4. Csrss.exe
A kliens/szerver futásidejű alrendszer vagy a Csrss.exe egy alapvető Windows-folyamat. Bár a modern Windows-verziókban nem használják olyan széles körben, a rendszer továbbra is megköveteli, és nem lehet letiltani.
A Nimda. Az E vírusról ismert, hogy utánozza a Csrss.exe folyamatot, bár nem ez az egyetlen lehetséges veszély. A törvényes fájlnak a Rendszer32 vagy SysWOW64 mappákat. Kattintson jobb gombbal a Csrss.exe folyamatra a Feladatkezelőben, és válassza a lehetőséget Nyissa meg a Fájl helye lehetőséget. Ha máshol található, akkor valószínűleg rosszindulatú fájl.
5. Lsass.exe
Az lsass.exe egy alapvető folyamat, amely a Windows biztonsági szabályzatáért felelős. Ellenőrzi a bejelentkezési nevet és jelszót az egyéb biztonsági eljárások mellett. Nem valószínű, hogy a folyamatot eltérítik. Ha nem működik megfelelően, rendszerint automatikusan kijelentkeztetik a számítógépéről. De ismert, hogy a vírusok a fájlnevet használják elrejtőzésre.
Keresse meg az Lsass.exe fájlt C:\Windows\System32. Ez az egyetlen hely, ahol meg kell találnia. Ha más helyen látja, pl C:\Windows\system vagy C:\Program Files, járjon el gyanakodva, és vizsgálja át a fájlt vírusirtójával.
6. Services.exe
A Services.exe folyamat felelős a különféle alapvető Windows-szolgáltatások elindításáért és leállításáért. A listán szereplő többi Windows-folyamathoz hasonlóan a vírusok és a rosszindulatú programok is célba veszik, mert lehetővé teszi számukra, hogy jól láthatóan elrejtőzzenek.
Ha a fájlt eltérítették, problémákat észlelhet a számítógép indítása és leállítása során. Keresse meg a valódi Services.exe fájlt a Rendszer32 mappát. Ha bárhol máshol található, pl C:\Windows\ConnectionStatus, a fájl vírus lehet.
Az itt említett folyamatok elengedhetetlenek a Windows zökkenőmentes működéséhez. De nem mindegyik, és sok nem nélkülözhetetlen a folyamatok akár le is zárhatók a teljesítmény elősegítése érdekében.
7. Spoolsv.exe
A Windows Print Spooler Service vagy a Spoolsv.exe a nyomtatási felület fontos része. A háttérben fut, és szükség esetén olyan dolgok kezelésére vár, mint a nyomtatási sor. A folyamat nem függ a nyomtató csatlakoztatásától, így nem kell meglepődnie, ha a Feladatkezelőben látja.
Talán azért, mert a Spoolsv.exe fájlt könnyen figyelmen kívül hagyják, egy vírus felveheti a nevet, hogy legitimnek tűnjön. A valódi spool fájl megtalálható a C:\Windows\System32. A hamis fájl gyakran megjelenik C:\Windows, vagy egy felhasználói profil mappájában.
Hogyan ellenőrizhető, hogy egy folyamat jogszerű-e?
A Feladatkezelő az Ön barátja, ha gyanús tevékenységet keres. A fertőzött folyamatok gyakran szabálytalanul viselkednek, és a szokásosnál több CPU-teljesítményt és memóriát fogyasztanak. De ez nem mindig van így, ezért itt van néhány más módszer a folyamat jogszerűségének ellenőrzésére.
Az itt felsorolt alapvető folyamatok többsége csak a System32 mappában jelenhet meg. Könnyen ellenőrizheti a gyanús fájlok helyét a Feladatkezelőben. Kattintson a jobb gombbal a folyamatra, és válassza ki Nyissa meg a Fájl helye lehetőséget. Ellenőrizze a megnyíló mappa elérési útját, és győződjön meg arról, hogy a fájl a megfelelő helyen van.
Egy másik módszer annak megállapítására, hogy egy fájl jogos-e, a méret ellenőrzése. Ezen alapvető folyamatok .exe-fájljainak többsége 200 kb-nál kisebb lesz. Kattintson a jobb gombbal a folyamat nevére a Feladatkezelőben, és válassza ki Tulajdonságok és nézd meg a méretet. Ha szokatlanul nagynak tűnik, nézze meg közelebbről, hogy eldöntse, biztonságos-e.
Te is ellenőrizze az EXE fájl tanúsítványát. A hiteles fájl a Microsoft által kiállított biztonsági tanúsítvánnyal rendelkezik. Ha bármi mást lát, az valószínűleg rosszindulatú.
Az utolsó teendő a gyanús fájlok vizsgálata egy naprakész víruskeresővel. Tegye karanténba, és távolítsa el a fertőzöttként megjelölt fájlokat. Szerencsére a Windows modern verziói beépített Microsoft Defenderrel rendelkeznek, ezért tanuljon hogyan lehet beolvasni egyetlen fájlt vagy mappát a Microsoft Defenderrel hogy ellenőrizze a talált gyanús fájlokat.
A Windows-folyamatok, amelyek vírust rejthetnek
A Windows PC-t a rosszindulatú programoktól és vírusoktól való biztonságban részesíti, hogy tudja, hol rejtőznek. Néha egy rosszindulatú fájlok furcsán viselkednek, túl sok CPU-t és memóriát használnak. De nem mindig. Tehát a gyanús fájlok más módon történő észlelése hasznos készség.