Procesy sú nevyhnutnou súčasťou systému Windows a nie je nezvyčajné vidieť ich v Správcovi úloh desiatky či stovky. Každý proces je program alebo časť programu, ktorý je spustený. Žiaľ, tvorcovia malvéru to vedia a je známe, že skrývajú škodlivý softvér za názvy legitímnych procesov.
Tu sú niektoré z najčastejšie unesených alebo duplicitných procesov spolu s tým, kde by sa mali nachádzať a ako rozpoznať škodlivú verziu.
1. Svchost.exe
Hostiteľ služby alebo svchost.exe je proces zdieľanej služby. Umožňuje rôznym iným službám Windows zdieľať procesy. Pomáha to znížiť spotrebu zdrojov a zefektívniť systém. Takmer určite uvidíte viac ako jednu inštanciu Svchost.exe v Správcovi úloh, ale to je normálne. Ak je jeden alebo viacero z týchto súborov napadnutých škodlivým softvérom, môžete si všimnúť výrazné zníženie výkonu.
Legitímne súbory Svchost by sa mali nachádzať v
C:\Windows\System32. Ak máte podozrenie, že bol unesený, skontrolujte C:\Windows\Temp. Ak tu vidíte svchost.exe, môže ísť o škodlivý súbor. Naskenujte súbor pomocou antivírusového softvéru a v prípade potreby ho umiestnite do karantény.2. Explorer.exe
Explorer.exe je zodpovedný za grafický shell. Bez nej by ste nemali panel úloh, ponuku Štart, správcu súborov ani pracovnú plochu. Preto je nevyhnutnou súčasťou systému Windows a nedá sa vypnúť.
Niekoľko vírusov sa môže pomocou súboru Explorer.exe skryť, vrátane trojan.w32.ZAPCHAST. Legitímny súbor bude in C:\Windows. Ak to nájdete v Systém 32, určite by ste to mali skontrolovať pomocou antivírusového softvéru.
3. Winlogon.exe
Proces Winlogon.exe je nevyhnutnou súčasťou operačného systému Windows. Rieši veci ako načítanie používateľského profilu počas prihlásenia a uzamknutie počítača pri spustení šetriča obrazovky. Bohužiaľ, pretože spracováva bezpečnostné prvky, prihlásenie do systému Windows a proces winlogon.exe sú bežnými cieľmi hrozieb.
Niekoľko vírusov trójskych koní, vrátane Vundo, môže byť skrytých alebo zamaskovaných ako winlogon.exe. Zvyčajné umiestnenie súboru Winlogon.exe je C:\Windows\System32. Ak to nájdete v C:\Windows\WinSecurity, mohlo by to byť škodlivé. Jedným z dobrých náznakov, že proces bol unesený, je nezvyčajne vysoké využitie pamäte.
Vírusy a malvér sa neskrývajú len za procesmi Windows. Tu sú nejaké inými spôsobmi môže malvér zostať nerozpoznaný a skryť sa vo vašom počítači.
4. Csrss.exe
Klient/server Run-Time Subsystem alebo Csrss.exe je základným procesom Windows. Hoci v moderných verziách systému Windows nie je tak rozšírený, systém ho stále vyžaduje a nemožno ho vypnúť.
Nimda. Je známe, že vírus E napodobňuje proces Csrss.exe, hoci to nie je jediná potenciálna hrozba. Legitímny súbor by sa mal nachádzať v Systém 32 alebo SysWOW64 priečinky. Kliknite pravým tlačidlom myši na proces Csrss.exe v Správcovi úloh a vyberte si Otvorte umiestnenie súboru. Ak sa nachádza kdekoľvek inde, pravdepodobne ide o škodlivý súbor.
5. Lsass.exe
lsass.exe je nevyhnutný proces zodpovedný za bezpečnostnú politiku v systéme Windows. Okrem iných bezpečnostných postupov overuje prihlasovacie meno a heslo. Je nepravdepodobné, že proces bude unesený. Ak nefunguje správne, zvyčajne budete automaticky odhlásení z počítača. Ale je známe, že vírusy používajú názov súboru na skrytie.
Vyhľadajte súbor Lsass.exe v C:\Windows\System32. Toto je jediné miesto, kde by ste ho mali nájsť. Ak ho uvidíte v inej lokalite, ako napr C:\Windows\system alebo C:\Program Files, konajte s podozrením a skenujte súbor pomocou svojho antivírusu.
6. Services.exe
Proces Services.exe je zodpovedný za spustenie a zastavenie rôznych základných služieb systému Windows. Rovnako ako ostatné procesy systému Windows v tomto zozname, vírusy a malvér sa naň zameriavajú, pretože im umožňuje skryť sa na očiach.
Ak je súbor unesený, môžete si všimnúť problémy počas spúšťania a vypínania počítača. Vyhľadajte skutočný súbor Services.exe v súbore Systém 32 priečinok. Ak sa nachádza kdekoľvek inde, ako napr C:\Windows\ConnectionStatus, súbor môže byť vírus.
Tu uvedené procesy sú nevyhnutné pre bezproblémový chod systému Windows. Ale nie všetky sú a mnohé nepodstatné procesy môžu byť dokonca uzavreté, aby pomohli s výkonom.
7. Spoolsv.exe
Služba Windows Print Spooler Service alebo Spoolsv.exe je dôležitou súčasťou tlačového rozhrania. Beží na pozadí a v prípade potreby čaká na správu vecí, ako je tlačový front. Tento proces nie je závislý od pripojenej tlačiarne, takže by vás nemalo prekvapiť, že ho uvidíte v Správcovi úloh.
Možno preto, že Spoolsv.exe je ľahko prehliadnuteľný, vírus môže prevziať meno, aby sa sám zdal legitímny. Skutočný súbor spools možno nájsť v C:\Windows\System32. Falošný súbor sa často objaví v C:\Windowsalebo v priečinku používateľského profilu.
Ako skontrolujete, či je proces legitímny?
Správca úloh je vaším priateľom pri hľadaní podozrivej aktivity. Infikované procesy sa budú často správať nepravidelne, spotrebúvajú viac výkonu procesora a pamäte ako je obvyklé. Ale to nie je vždy prípad, takže tu je niekoľko ďalších spôsobov, ako skontrolovať, či je proces legitímny.
Väčšina tu uvedených základných procesov by sa mala objaviť iba v priečinku System32. Umiestnenie podozrivého súboru môžete jednoducho skontrolovať v Správcovi úloh. Kliknite pravým tlačidlom myši na proces a vyberte Otvorte umiestnenie súboru. Skontrolujte cestu k priečinku, ktorý sa otvorí, aby ste sa uistili, že súbor je na správnom mieste.
Ďalším spôsobom, ako zistiť, či je súbor legitímny, je skontrolovať veľkosť. Väčšina súborov .exe týchto základných procesov bude mať menej ako 200 kB. Kliknite pravým tlačidlom myši na názov procesu v Správcovi úloh, vyberte Vlastnosti a pozrite sa na veľkosť. Ak sa vám zdá nezvyčajne veľký, pozrite sa bližšie a zistite, či je bezpečný.
Môžete tiež skontrolujte certifikát súboru EXE. Autentický súbor bude mať bezpečnostný certifikát vydaný spoločnosťou Microsoft. Ak vidíte niečo iné, je to pravdepodobne škodlivé.
Posledná vec, ktorú musíte urobiť, je skenovať podozrivé súbory pomocou aktuálneho antivírusového skenera. Umiestnite do karantény a odstráňte všetky súbory, ktoré sú označené ako infikované. Našťastie sú moderné verzie systému Windows vybavené vstavaným programom Microsoft Defender, takže sa učte ako skenovať jeden súbor alebo priečinok pomocou programu Microsoft Defender skontrolovať všetky podozrivé súbory, ktoré nájdete.
Procesy systému Windows, ktoré môžu skrývať vírus
Súčasťou ochrany počítača so systémom Windows pred škodlivým softvérom a vírusmi je vedieť, kde sa skrývajú. Niekedy sa škodlivý súbor bude správať čudne, využíva príliš veľa CPU a pamäte. Ale nie vždy. Takže zistenie podozrivého súboru inými spôsobmi je užitočná zručnosť.
