Procesi so neizogiben del sistema Windows in ni nenavadno, da jih v upravitelju opravil vidite na desetine ali stotine. Vsak proces je program ali del programa, ki se izvaja. Na žalost se ustvarjalci zlonamerne programske opreme tega zavedajo in znani so po tem, da skrivajo zlonamerno programsko opremo za imeni legitimnih procesov.
Tukaj je nekaj najpogosteje ugrabljenih ali podvojenih procesov, skupaj s tem, kje naj se nahajajo in kako prepoznati zlonamerno različico.
1. Svchost.exe
Gostitelj storitve ali svchost.exe je proces storitve v skupni rabi. Različnim drugim storitvam Windows omogoča skupno rabo procesov. To pomaga zmanjšati porabo virov, zaradi česar je sistem učinkovitejši. Skoraj zagotovo boste v upravitelju opravil videli več kot en primerek Svchost.exe, vendar je to normalno. Če zlonamerna programska oprema ogrozi eno ali več teh datotek, boste morda opazili izrazito zmanjšanje učinkovitosti.
Zakonite datoteke Svchost je treba najti v C:\Windows\System32. Če sumite, da je bil ugrabljen, preverite C:\Windows\Temp. Če tukaj vidite svchost.exe, je to lahko zlonamerna datoteka. Preglejte datoteko s protivirusno programsko opremo in jo po potrebi postavite v karanteno.
2. Explorer.exe
Explorer.exe je odgovoren za grafično lupino. Brez njega ne bi imeli opravilne vrstice, menija Start, upravitelja datotek ali celo namizja. Zato je bistveni del sistema Windows in ga ni mogoče onemogočiti.
Številni virusi lahko uporabljajo ime datoteke Explorer.exe, da se skrijejo za njim, vključno s trojan.w32.ZAPCHAST. Zakonita datoteka bo notri C:\Windows. Če ga najdete v Sistem32, vsekakor preverite s svojo protivirusno programsko opremo.
3. Winlogon.exe
Proces Winlogon.exe je bistveni del operacijskega sistema Windows. Obravnava stvari, kot je nalaganje uporabniškega profila med prijavo in zaklepanje računalnika, ko se zažene ohranjevalnik zaslona. Na žalost sta prijava v sistem Windows in proces winlogon.exe pogosta tarča groženj, ker obravnava varnostne elemente.
Več trojanskih virusov, vključno z virusom Vundo, je mogoče skriti v winlogon.exe ali ga prikriti. Običajna lokacija datoteke Winlogon.exe je C:\Windows\System32. Če ga najdete v C:\Windows\WinSecurity, je lahko zlonamerno. Eden od dobrih znakov, da je bil proces ugrabljen, je nenavadno visoka poraba pomnilnika.
Virusi in zlonamerna programska oprema se ne skrivajo samo za procesi Windows. Tukaj je nekaj drugi načini, kako zlonamerna programska oprema ostane neodkrita in se skrije v vašem računalniku.
4. Csrss.exe
Izvajalni podsistem odjemalec/strežnik ali Csrss.exe je bistven proces sistema Windows. Čeprav se v sodobnih različicah sistema Windows ne uporablja tako pogosto, ga sistem še vedno zahteva in ga ni mogoče onemogočiti.
Nimda. Znano je, da virus E posnema proces Csrss.exe, čeprav to ni edina potencialna grožnja. Zakonita datoteka mora biti v Sistem32 oz SysWOW64 mape. Z desno tipko miške kliknite proces Csrss.exe v upravitelju opravil in izberite Odprite lokacijo datoteke. Če se nahaja kjer koli drugje, je verjetno zlonamerna datoteka.
5. Lsass.exe
lsass.exe je bistven proces, odgovoren za varnostno politiko v sistemu Windows. Med drugimi varnostnimi postopki preveri prijavno ime in geslo. Malo verjetno je, da bo postopek ugrabljen. Če ne deluje pravilno, boste običajno samodejno odjavljeni iz računalnika. Znano pa je, da virusi uporabljajo ime datoteke za skrivanje.
Poiščite datoteko Lsass.exe v C:\Windows\System32. To je edino mesto, kjer bi ga morali najti. Če ga vidite na drugi lokaciji, npr C:\Windows\system oz C:\Programske datoteke, ravnajte sumničavo in pregledajte datoteko s protivirusnim programom.
6. Services.exe
Proces Services.exe je odgovoren za zagon in zaustavitev različnih bistvenih storitev Windows. Tako kot drugi procesi sistema Windows na tem seznamu tudi virusi in zlonamerna programska oprema ciljajo nanj, ker jim omogoča, da se skrijejo na očeh.
Če je datoteka ugrabljena, boste morda opazili težave med zagonom in zaustavitvijo računalnika. Poiščite pravo datoteko Services.exe v Sistem32 mapo. Če se nahaja kje drugje, npr C:\Windows\Stanje povezave, je lahko datoteka virus.
Tukaj omenjeni procesi so bistveni za nemoteno delovanje sistema Windows. Vendar niso vsi in številni so nebistveni procesi se lahko celo zaprejo, da se izboljša učinkovitost.
7. Spoolsv.exe
Windows Print Spooler Service ali Spoolsv.exe je pomemben del vmesnika za tiskanje. Deluje v ozadju in čaka na upravljanje stvari, kot je čakalna vrsta za tiskanje, ko je to potrebno. Postopek ni odvisen od priključenega tiskalnika, zato ne bi smeli biti presenečeni, če ga vidite v upravitelju opravil.
Morda zato, ker se Spoolsv.exe zlahka spregleda, lahko virus prevzame ime, da se zdi legitimen. Pravo spool datoteko lahko najdete v C:\Windows\System32. Lažna datoteka se pogosto pojavi v C:\Windows, ali v mapi uporabniškega profila.
Kako preverite, ali je postopek zakonit?
Upravitelj opravil je vaš prijatelj pri iskanju sumljive dejavnosti. Okuženi procesi se bodo pogosto obnašali neenakomerno in porabili več energije procesorja in pomnilnika kot običajno. Vendar ni vedno tako, zato je tukaj nekaj drugih načinov za preverjanje zakonitosti postopka.
Večina bistvenih procesov, navedenih tukaj, bi se morala pojaviti samo v mapi System32. V upravitelju opravil lahko preprosto preverite lokacijo sumljive datoteke. Z desno miškino tipko kliknite postopek in izberite Odprite lokacijo datoteke. Preverite pot do mape, ki se odpre, da zagotovite, da je datoteka na pravem mestu.
Drug način, da ugotovite, ali je datoteka zakonita, je, da preverite velikost. Večina datotek .exe teh bistvenih procesov bo manjša od 200 kb. Z desno tipko miške kliknite ime procesa v upravitelju opravil, izberite Lastnosti in poglej velikost. Če se zdi nenavadno velik, ga pobližje oglejte, da ugotovite, ali je varen.
Lahko tudi preverite potrdilo datoteke EXE. Verodostojna datoteka bo imela varnostno potrdilo, ki ga je izdal Microsoft. Če vidite kar koli drugega, je verjetno zlonamerno.
Zadnja stvar, ki jo morate narediti, je skeniranje sumljivih datotek s posodobljenim protivirusnim skenerjem. Postavite v karanteno in odstranite vse datoteke, ki so označene kot okužene. Na srečo imajo sodobne različice sistema Windows vgrajen Microsoft Defender, zato se naučite kako pregledati posamezno datoteko ali mapo z Microsoft Defenderjem da preverite vse sumljive datoteke, ki jih najdete.
Procesi sistema Windows, ki morda skrivajo virus
Vedeti, kje se skrivajo, je del zaščite vašega računalnika z operacijskim sistemom Windows pred zlonamerno programsko opremo in virusi. Včasih se zlonamerna datoteka obnaša nenavadno, saj porabi preveč procesorja in pomnilnika. Ampak ne vedno. Zato je odkrivanje sumljive datoteke na druge načine koristna veščina.