Procesi ir neizbēgama Windows sastāvdaļa, un nav nekas neparasts, ka uzdevumu pārvaldniekā to redzat desmitiem vai simtiem. Katrs process ir programma vai programmas daļa, kas darbojas. Diemžēl ļaunprātīgas programmatūras veidotāji to zina un slēpj ļaunprātīgu programmatūru aiz likumīgu procesu nosaukumiem.
Šeit ir daži no visbiežāk nolaupītajiem vai dublētajiem procesiem, kā arī to atrašanās vieta un ļaunprātīgas versijas pamanīšana.
1. Svchost.exe
Pakalpojuma resursdators jeb svchost.exe ir koplietota pakalpojuma process. Tas ļauj dažādiem citiem Windows pakalpojumiem koplietot procesus. Tas palīdz samazināt resursu izmantošanu, padarot sistēmu efektīvāku. Gandrīz noteikti uzdevumu pārvaldniekā redzēsit vairāk nekā vienu Svchost.exe gadījumu, taču tas ir normāli. Ja vienu vai vairākus no šiem failiem apdraud ļaunprātīga programmatūra, iespējams, pamanīsit ievērojamu veiktspējas samazināšanos.
Leģitīmie Svchost faili ir jāatrod C:\Windows\System32. Ja jums ir aizdomas, ka tas ir nolaupīts, pārbaudiet C:\Windows\Temp. Ja šeit redzat svchost.exe, tas varētu būt ļaunprātīgs fails. Skenējiet failu ar pretvīrusu programmatūru un, ja nepieciešams, novietojiet to karantīnā.
2. Explorer.exe
Explorer.exe ir atbildīgs par grafisko apvalku. Bez tā jums nebūtu uzdevumjoslas, izvēlnes Sākt, failu pārvaldnieka vai pat darbvirsmas. Tāpēc tā ir būtiska Windows sastāvdaļa, un to nevar atspējot.
Vairāki vīrusi var izmantot Explorer.exe faila nosaukumu, lai paslēptos aiz tā, tostarp trojan.w32.ZAPCHAST. Leģitīmais fails būs iekšā C:\Windows. Ja atrodat to iekšā Sistēma 32, jums tas noteikti jāpārbauda ar savu pretvīrusu programmatūru.
3. Winlogon.exe
Winlogon.exe process ir būtiska Windows OS sastāvdaļa. Tas apstrādā tādas lietas kā lietotāja profila ielāde pieteikšanās laikā un datora bloķēšana, kad darbojas ekrānsaudzētājs. Diemžēl, tā kā Windows pieteikšanās un winlogon.exe process apstrādā drošības elementus, tas ir izplatīti draudu mērķi.
Vairākus Trojas vīrusus, tostarp Vundo, var paslēpt vai maskēt kā winlogon.exe. Parastā faila Winlogon.exe atrašanās vieta ir C:\Windows\System32. Ja atrodat to iekšā C:\Windows\WinSecurity, tas varētu būt ļaunprātīgs. Viena laba norāde, ka process ir nolaupīts, ir neparasti liels atmiņas lietojums.
Vīrusi un ļaunprātīga programmatūra neslēpjas tikai aiz Windows procesiem. Te ir daži citi veidi, kā ļaunprātīga programmatūra var palikt neatklāta un paslēpties jūsu datorā.
4. Csrss.exe
Klienta/servera izpildlaika apakšsistēma jeb Csrss.exe ir būtisks Windows process. Lai gan tas nav tik plaši izmantots mūsdienu Windows versijās, sistēma to joprojām pieprasa, un to nevar atspējot.
Nimda. Ir zināms, ka E vīruss atdarina Csrss.exe procesu, lai gan tas nav vienīgais iespējamais apdraudējums. Leģitīmajam failam jāatrodas Sistēma 32 vai SysWOW64 mapes. Ar peles labo pogu noklikšķiniet uz Csrss.exe procesa uzdevumu pārvaldniekā un izvēlieties Atveriet Faila atrašanās vietu. Ja tas atrodas citur, iespējams, tas ir ļaunprātīgs fails.
5. Lsass.exe
lsass.exe ir būtisks process, kas atbild par drošības politiku operētājsistēmā Windows. Tas pārbauda pieteikšanās vārdu un paroli, kā arī citas drošības procedūras. Maz ticams, ka process tiks nolaupīts. Ja tas nedarbojas pareizi, parasti jūs automātiski tiksiet izrakstīts no datora. Bet ir zināms, ka vīrusi izmanto faila nosaukumu, lai paslēptu.
Meklējiet failu Lsass.exe C:\Windows\System32. Šī ir vienīgā vieta, kur to vajadzētu atrast. Ja redzat to citā vietā, piemēram, C:\Windows\system vai C:\Programmu faili, rīkojieties ar aizdomām un skenējiet failu ar savu pretvīrusu.
6. Services.exe
Process Services.exe ir atbildīgs par dažādu būtisku Windows pakalpojumu palaišanu un apturēšanu. Tāpat kā citi Windows procesi šajā sarakstā, vīrusi un ļaunprātīga programmatūra ir vērsti uz to, jo tas ļauj tiem paslēpties skaidri redzamā vietā.
Ja fails ir nolaupīts, datora startēšanas un izslēgšanas laikā varat pamanīt problēmas. Meklējiet īsto Services.exe failu mapē Sistēma 32 mapi. Ja tas atrodas citur, piemēram, C:\Windows\ConnectionStatus, fails varētu būt vīruss.
Šeit minētie procesi ir būtiski Windows vienmērīgai darbībai. Bet ne visi ir, un daudzi nav būtiski procesus var pat slēgt, lai uzlabotu veiktspēju.
7. Spoolsv.exe
Windows drukas spolētāja pakalpojums jeb Spoolsv.exe ir svarīga drukāšanas saskarnes daļa. Tas darbojas fonā, gaidot, lai vajadzības gadījumā pārvaldītu tādas lietas kā drukas rindu. Process nav atkarīgs no tā, vai ir pievienots printeris, tāpēc jums nevajadzētu būt pārsteigtam, redzot to uzdevumu pārvaldniekā.
Iespējams, tāpēc, ka Spoolsv.exe ir viegli neievērot, vīruss var izmantot šo nosaukumu, lai padarītu sevi likumīgu. Īsto spoļu failu var atrast C:\Windows\System32. Viltus fails bieži tiks parādīts C:\Windowsvai lietotāja profila mapē.
Kā pārbaudīt, vai process ir likumīgs?
Uzdevumu pārvaldnieks ir jūsu draugs, meklējot aizdomīgas darbības. Inficētie procesi bieži darbosies neregulāri, patērējot vairāk CPU jaudas un atmiņas nekā parasti. Bet tas ne vienmēr tā ir, tāpēc šeit ir daži citi veidi, kā pārbaudīt procesa likumīgumu.
Lielākajai daļai šeit uzskaitīto būtisku procesu vajadzētu parādīties tikai mapē System32. Uzdevumu pārvaldniekā varat viegli pārbaudīt aizdomīga faila atrašanās vietu. Ar peles labo pogu noklikšķiniet uz procesa un atlasiet Atveriet Faila atrašanās vietu. Pārbaudiet atvērtās mapes ceļu, lai pārliecinātos, ka fails atrodas pareizajā vietā.
Vēl viens veids, kā noteikt, vai fails ir likumīgs, ir pārbaudīt tā lielumu. Lielākā daļa šo būtisko procesu .exe failu būs mazāki par 200 kb. Ar peles labo pogu noklikšķiniet uz procesa nosaukuma uzdevumu pārvaldniekā, atlasiet Īpašības un paskaties uz izmēru. Ja tas šķiet neparasti liels, apskatiet to tuvāk, lai noteiktu, vai tas ir drošs.
Jūs varat arī pārbaudiet EXE faila sertifikātu. Autentiskam failam būs Microsoft izsniegts drošības sertifikāts. Ja redzat kaut ko citu, tas, visticamāk, ir ļaunprātīgs.
Pēdējā lieta, kas jādara, ir skenēt aizdomīgos failus, izmantojot atjauninātu pretvīrusu skeneri. Karantīnā un noņemiet visus failus, kas ir atzīmēti kā inficēti. Par laimi, mūsdienu Windows versijās ir iebūvēts Microsoft Defender, tāpēc mācieties kā skenēt vienu failu vai mapi, izmantojot Microsoft Defender lai pārbaudītu visus atrastos aizdomīgos failus.
Windows procesi, kas var slēpt vīrusu
Daļa no tā, kā aizsargāt savu Windows datoru pret ļaunprātīgu programmatūru un vīrusiem, ir zināt, kur tie slēpjas. Dažreiz ļaunprātīgs fails izturēsies savādi, izmantojot pārāk daudz CPU un atmiņas. Bet ne vienmēr. Tāpēc aizdomīga faila pamanīšana citos veidos ir noderīga prasme.