Protsessid on Windowsi vältimatu osa ja pole ebatavaline näha neid kümneid või sadu tegumihalduris. Iga protsess on töötav programm või programmi osa. Kahjuks teavad pahavara loojad seda ja peidavad pahatahtlikku tarkvara legitiimsete protsesside nimede taha.
Siin on mõned kõige sagedamini kaaperdatud või dubleeritud protsessid, kus need peaksid asuma ja kuidas pahatahtlikku versiooni tuvastada.
1. Svchost.exe
Teenusehost ehk svchost.exe on jagatud teenuse protsess. See võimaldab erinevatel teistel Windowsi teenustel protsesse jagada. See aitab vähendada ressursikasutust, muutes süsteemi tõhusamaks. Peaaegu kindlasti näete tegumihalduris rohkem kui ühte Svchost.exe eksemplari, kuid see on normaalne. Kui ühte või mitut neist failidest kahjustab pahavara, võite märgata jõudluse märgatavat vähenemist.
Õiged Svchost-failid peaksid leiduma C:\Windows\System32
. Kui kahtlustate, et see on kaaperdatud, kontrollige C:\Windows\Temp. Kui näete siin faili svchost.exe, võib see olla pahatahtlik fail. Skannige fail oma viirusetõrjetarkvaraga ja vajadusel karantiini.2. Explorer.exe
Explorer.exe vastutab graafilise kesta eest. Ilma selleta poleks teil tegumiriba, menüüd Start, failihaldurit ega isegi töölauda. Seetõttu on see Windowsi oluline osa ja seda ei saa keelata.
Mitmed viirused, sealhulgas trojan.w32.ZAPCHAST, võivad peitumiseks kasutada failinime Explorer.exe. Õiguspärane fail sisestatakse C:\Windows. Kui leiate selle sisse Süsteem 32, peaksite seda kindlasti oma viirusetõrjetarkvaraga kontrollima.
3. Winlogon.exe
Protsess Winlogon.exe on Windowsi OS-i oluline osa. See tegeleb selliste asjadega nagu kasutajaprofiili laadimine sisselogimise ajal ja arvuti lukustamine, kui ekraanisäästja töötab. Kuna Windowsi sisselogimine ja winlogon.exe protsess käsitleb turvaelemente, on see kahjuks levinud ohtude sihtmärgid.
Mitmed Trooja viirused, sealhulgas Vundo, võivad olla winlogon.exe sees või maskeeritud. Faili Winlogon.exe tavaline asukoht on C:\Windows\System32. Kui leiate selle sisse C:\Windows\WinSecurity, võib see olla pahatahtlik. Üks hea märk selle kohta, et protsess on kaaperdatud, on ebatavaliselt suur mälukasutus.
Viirused ja pahavara ei peitu ainult Windowsi protsesside taha. Siin on mõned muul viisil võib pahavara teie arvutisse avastamata jääda ja peituda.
4. Csrss.exe
Kliendi/serveri tööaja alamsüsteem ehk Csrss.exe on oluline Windowsi protsess. Kuigi seda ei kasutata tänapäevastes Windowsi versioonides nii laialdaselt, nõuab süsteem seda siiski ja seda ei saa keelata.
Nimda. On teada, et E viirus jäljendab Csrss.exe protsessi, kuigi see pole ainus potentsiaalne oht. Õiguspärane fail peaks asuma Süsteem 32 või SysWOW64 kaustad. Paremklõpsake tegumihalduris Csrss.exe protsessi ja valige Ava faili asukoht. Kui see asub kusagil mujal, on tõenäoliselt tegemist pahatahtliku failiga.
5. Lsass.exe
Lsass.exe on oluline protsess, mis vastutab Windowsi turbepoliitika eest. See kontrollib muude turvaprotseduuride hulgas ka sisselogimisnime ja parooli. On ebatõenäoline, et protsess kaaperdatakse. Kui see ei tööta korralikult, logitakse teid tavaliselt arvutist automaatselt välja. Kuid teadaolevalt kasutavad viirused peitmiseks failinime.
Otsige üles fail Lsass.exe C:\Windows\System32. See on ainus koht, mille peaksite selle leidma. Kui näete seda mõnes teises kohas, nt C:\Windows\system või C:\Programmifailid, käituge kahtlustavalt ja skannige faili oma viirusetõrjega.
6. Services.exe
Protsess Services.exe vastutab mitmesuguste oluliste Windowsi teenuste käivitamise ja peatamise eest. Sarnaselt teistele selles loendis olevatele Windowsi protsessidele sihivad viirused ja pahavara seda, kuna see võimaldab neil end nähtavasti peita.
Kui fail on kaaperdatud, võite arvuti käivitamisel ja sulgemisel märgata probleeme. Otsige failist tõelist Services.exe faili Süsteem 32 kausta. Kui see asub kusagil mujal, näiteks linnas C:\Windows\ConnectionStatus, võib fail olla viirus.
Siin mainitud protsessid on Windowsi sujuvaks tööks hädavajalikud. Kuid mitte kõik pole seda ja paljud on ebaolulised protsesse saab jõudluse parandamiseks isegi sulgeda.
7. Spoolsv.exe
Windowsi prindispuuleri teenus ehk Spoolsv.exe on printimisliidese oluline osa. See töötab taustal, oodates, et saaks vajadusel hallata selliseid asju nagu prindijärjekord. Protsess ei sõltu sellest, kas printer on ühendatud, nii et te ei tohiks olla üllatunud, kui näete seda tegumihalduris.
Võib-olla seetõttu, et Spoolsv.exe jäetakse kergesti tähelepanuta, võib viirus seda nime kasutada nii, et see näib olevat õigustatud. Tõelise spoolide faili leiate C:\Windows\System32. Võltsfail ilmub sageli sisse C:\Windowsvõi kasutajaprofiili kaustas.
Kuidas kontrollida, kas protsess on seaduslik?
Task Manager on teie sõber, kui otsite kahtlast tegevust. Nakatunud protsessid käituvad sageli ebakorrektselt, tarbides tavapärasest rohkem protsessori võimsust ja mälu. Kuid see ei ole alati nii, seega on siin mõned muud viisid protsessi seaduslikkuse kontrollimiseks.
Enamik siin loetletud olulisi protsesse peaks ilmuma ainult kaustas System32. Tegumihalduris saate hõlpsalt kontrollida kahtlase faili asukohta. Paremklõpsake protsessil ja valige Ava faili asukoht. Kontrollige avaneva kausta teed, et veenduda, et fail on õiges kohas.
Teine viis faili õigsuse kindlakstegemiseks on suuruse kontrollimine. Enamik nende oluliste protsesside exe-failidest on alla 200 kb. Paremklõpsake tegumihalduris protsessi nimel ja valige Omadused ja vaata suurust. Kui see tundub ebatavaliselt suur, vaadake lähemalt, kas see on ohutu.
Sa saad ka kontrollige EXE-faili sertifikaati. Autentsel failil on Microsofti väljastatud turvasertifikaat. Kui näete midagi muud, on see tõenäoliselt pahatahtlik.
Viimane asi, mida teha, on skannida kahtlased failid ajakohase viirusetõrjeskanneriga. Karantiini ja eemaldage kõik nakatunuks märgitud failid. Õnneks on Windowsi kaasaegsetel versioonidel Microsoft Defender sisse ehitatud, nii et õppige kuidas skannida ühte faili või kausta Microsoft Defenderiga leitud kahtlaste failide kontrollimiseks.
Windowsi protsessid, mis võivad viirust peita
Üks osa teie Windowsi arvuti kaitsmisest pahavara ja viiruste eest on teadmine, kus need peituvad. Mõnikord käitub pahatahtlik fail veidralt, kasutades liiga palju protsessorit ja mälu. Aga mitte alati. Seega on kahtlase faili tuvastamine muul viisil kasulik oskus.
