Процессы — неизбежная часть Windows, и нередко можно увидеть десятки или сотни их в диспетчере задач. Каждый процесс представляет собой программу или часть программы, которая выполняется. К сожалению, создатели вредоносных программ знают об этом и, как известно, прячут вредоносные программы за именами законных процессов.
Вот некоторые из наиболее часто захваченных или дублированных процессов, а также их местонахождение и способы обнаружения вредоносной версии.
1. Svchost.exe
Узел службы, или svchost.exe, является общим сервисным процессом. Это позволяет различным другим службам Windows совместно использовать процессы. Это помогает сократить использование ресурсов, делая систему более эффективной. Вы почти наверняка увидите более одного экземпляра Svchost.exe в диспетчере задач, но это нормально. Если один или несколько из этих файлов скомпрометированы вредоносным ПО, вы можете заметить заметное снижение производительности.
Легитимные файлы Svchost должны быть найдены в C:\Windows\System32. Если вы подозреваете, что его угнали, проверьте C:\виндовс\темп. Если вы видите здесь svchost.exe, это может быть вредоносный файл. Сканируйте файл с помощью антивирусной программы и при необходимости поместите его в карантин.
2. Explorer.exe
Explorer.exe отвечает за графическую оболочку. Без него у вас не было бы панели задач, меню «Пуск», файлового менеджера или даже рабочего стола. Следовательно, это неотъемлемая часть Windows, и ее нельзя отключить.
Несколько вирусов могут использовать имя файла Explorer.exe, чтобы спрятаться за ним, в том числе trojan.w32.ZAPCHAST. Легальный файл будет в C:\виндовс. Если вы найдете его в Система32, вы обязательно должны проверить его с помощью своего антивирусного программного обеспечения.
3. Winlogon.exe
Процесс Winlogon.exe является неотъемлемой частью ОС Windows. Он обрабатывает такие вещи, как загрузка профиля пользователя во время входа в систему и блокировка компьютера при запуске заставки. К сожалению, из-за обработки элементов безопасности Windows Logon и процесс winlogon.exe часто становятся объектами угроз.
Несколько троянских вирусов, в том числе Vundo, могут быть скрыты внутри или замаскированы под winlogon.exe. Обычное расположение файла Winlogon.exe: C:\Windows\System32. Если вы найдете его в C:\Windows\WinSecurity, это может быть вредоносным. Хорошим признаком того, что процесс был взломан, является необычно высокое использование памяти.
Вирусы и вредоносное ПО не просто прячутся за процессами Windows. Вот некоторые другие способы, которыми вредоносное ПО может остаться незамеченным и спрятаться на вашем компьютере.
4. csrss.exe
Подсистема времени выполнения клиент/сервер, или Csrss.exe, является важным процессом Windows. Хотя он не так широко используется в современных версиях Windows, он по-прежнему требуется системе и не может быть отключен.
Нимда. Известно, что вирус E имитирует процесс Csrss.exe, хотя это не единственная потенциальная угроза. Легитимный файл должен находиться в папке Система32 или SysWOW64 папки. Щелкните правой кнопкой мыши процесс Csrss.exe в диспетчере задач и выберите Местонахождение открытого файла. Если он находится в другом месте, скорее всего, это вредоносный файл.
5. Lsass.exe
lsass.exe — это важный процесс, отвечающий за политику безопасности в Windows. Он проверяет имя пользователя и пароль, а также другие процедуры безопасности. Маловероятно, что процесс будет захвачен. Если он работает неправильно, вы, как правило, автоматически выходите из своего компьютера. Но известно, что вирусы используют имя файла для сокрытия.
Найдите файл Lsass.exe в C:\Windows\System32. Это единственное место, где вы должны его найти. Если вы видите его в другом месте, например, C:\Windows\система или C:\Программные файлы, действуйте с подозрением и просканируйте файл своим антивирусом.
6. Services.exe
Процесс Services.exe отвечает за запуск и остановку различных важных служб Windows. Как и другие процессы Windows в этом списке, вирусы и вредоносные программы нацелены на него, потому что он позволяет им прятаться на виду.
Если файл взломан, вы можете заметить проблемы во время запуска и выключения вашего ПК. Найдите настоящий файл Services.exe в Система32 папка. Если он находится в другом месте, например, в C:\Windows\ConnectionStatus, файл может быть вирусом.
Упомянутые здесь процессы необходимы для бесперебойной работы Windows. Но не все, и многие несущественные процессы могут быть даже закрыты, чтобы повысить производительность.
7. Spoolsv.exe
Служба диспетчера очереди печати Windows, или Spoolsv.exe, является важной частью интерфейса печати. Он работает в фоновом режиме, ожидая, когда это потребуется, чтобы управлять такими вещами, как очередь печати. Этот процесс не зависит от наличия подключенного принтера, поэтому не стоит удивляться, увидев его в диспетчере задач.
Возможно, из-за того, что Spoolsv.exe легко упустить из виду, вирус может взять это имя, чтобы казаться легитимным. Настоящий файл spools можно найти в C:\Windows\System32. Поддельный файл часто появляется в C:\виндовсили в папке профиля пользователя.
Как проверить законность процесса?
Диспетчер задач — ваш друг при поиске подозрительной активности. Зараженные процессы часто ведут себя хаотично, потребляя больше ресурсов процессора и памяти, чем обычно. Но это не всегда так, поэтому вот несколько других способов проверить, является ли процесс законным.
Большинство основных процессов, перечисленных здесь, должны появляться только в папке System32. Вы можете легко проверить местоположение подозрительного файла в диспетчере задач. Щелкните правой кнопкой мыши процесс и выберите Местонахождение открытого файла. Проверьте путь к открывающейся папке, чтобы убедиться, что файл находится в нужном месте.
Еще один способ узнать, является ли файл законным, — проверить его размер. Размер большинства .exe-файлов этих важных процессов не превышает 200 КБ. Щелкните правой кнопкой мыши имя процесса в диспетчере задач, выберите Характеристики и посмотрите на размер. Если он кажется необычно большим, присмотритесь, чтобы определить, безопасно ли это.
Вы также можете проверить сертификат EXE-файла. Подлинный файл будет иметь сертификат безопасности, выданный Microsoft. Если вы видите что-то еще, это может быть вредоносным.
Последнее, что нужно сделать, — это просканировать подозрительные файлы современным антивирусным сканером. Поместите в карантин и удалите все файлы, помеченные как зараженные. К счастью, современные версии Windows поставляются со встроенным Microsoft Defender, так что изучите как сканировать один файл или папку с помощью Microsoft Defender чтобы проверить любые подозрительные файлы, которые вы найдете.
Процессы Windows, которые могут скрывать вирус
Частью защиты вашего ПК с Windows от вредоносных программ и вирусов является знание того, где они прячутся. Иногда вредоносный файл ведет себя странно, используя слишком много ресурсов процессора и памяти. Но не всегда. Так что обнаружение подозрительного файла другими способами — полезный навык.
