Prosessit ovat väistämätön osa Windowsia, eikä ole epätavallista nähdä niitä kymmeniä tai satoja Task Managerissa. Jokainen prosessi on käynnissä oleva ohjelma tai osa ohjelmaa. Valitettavasti haittaohjelmien tekijät tietävät tämän ja heidän tiedetään piilottavan haittaohjelmia laillisten prosessien nimien taakse.
Tässä on joitain yleisimmin kaapatuista tai kopioiduista prosesseista sekä niiden sijainti ja haitallisen version havaitseminen.
1. Svchost.exe
Palvelupalvelin eli svchost.exe on jaetun palvelun prosessi. Sen avulla monet muut Windows-palvelut voivat jakaa prosesseja. Tämä vähentää resurssien käyttöä ja tekee järjestelmästä tehokkaamman. Näet lähes varmasti useamman kuin yhden Svchost.exe-esiintymän Task Managerissa, mutta tämä on normaalia. Jos yksi tai useampi näistä tiedostoista on vaarantunut haittaohjelmien toimesta, saatat huomata selkeän suorituskyvyn heikkenemisen.
Lailliset Svchost-tiedostot on löydettävä C:\Windows\System32. Jos epäilet, että se on kaapattu, tarkista C:\Windows\Temp. Jos näet täällä svchost.exe, se voi olla haitallinen tiedosto. Tarkista tiedosto virustorjuntaohjelmistollasi ja aseta se tarvittaessa karanteeniin.
2. Explorer.exe
Explorer.exe vastaa graafisesta kuoresta. Ilman sitä sinulla ei olisi tehtäväpalkkia, Käynnistä-valikkoa, tiedostonhallintaa tai edes työpöytää. Siksi se on olennainen osa Windowsia, eikä sitä voi poistaa käytöstä.
Useat virukset voivat piiloutua Explorer.exe-tiedoston taakse, mukaan lukien trojan.w32.ZAPCHAST. Laillinen tiedosto tulee sisään C:\Windows. Jos löydät sen Järjestelmä 32, sinun tulee ehdottomasti tarkistaa se virustorjuntaohjelmistollasi.
3. Winlogon.exe
Winlogon.exe-prosessi on olennainen osa Windows-käyttöjärjestelmää. Se hoitaa esimerkiksi käyttäjäprofiilin lataamisen sisäänkirjautumisen aikana ja tietokoneen lukitsemisen, kun näytönsäästäjä toimii. Valitettavasti, koska se käsittelee suojauselementtejä, Windowsin sisäänkirjautuminen ja winlogon.exe-prosessi ovat yleisiä uhkien kohteita.
Useita troijalaisia viruksia, mukaan lukien Vundo, voidaan piilottaa winlogon.exe-tiedostoon tai naamioida sellaiseksi. Winlogon.exe-tiedoston tavallinen sijainti on C:\Windows\System32. Jos löydät sen C:\Windows\WinSecurity, se voi olla haitallista. Yksi hyvä merkki siitä, että prosessi on kaapattu, on epätavallisen suuri muistin käyttö.
Virukset ja haittaohjelmat eivät vain piiloudu Windows-prosessien taakse. Tässä on joitain muilla tavoilla haittaohjelmat voivat jäädä havaitsematta ja piiloutua tietokoneellesi.
4. Csrss.exe
Client/Server Run-Time Subsystem eli Csrss.exe on olennainen Windows-prosessi. Vaikka sitä ei käytetä niin laajasti nykyaikaisissa Windows-versioissa, järjestelmä vaatii sitä silti, eikä sitä voi poistaa käytöstä.
Nimda. E-viruksen on tiedetty jäljittelevän Csrss.exe-prosessia, vaikka se ei ole ainoa mahdollinen uhka. Laillisen tiedoston tulee sijaita Järjestelmä 32 tai SysWOW64 kansiot. Napsauta hiiren kakkospainikkeella Csrss.exe-prosessia Task Managerissa ja valitse Avaa tiedoston sijainti. Jos se sijaitsee muualla, se on todennäköisesti haitallinen tiedosto.
5. Lsass.exe
lsass.exe on olennainen prosessi, joka vastaa Windowsin suojauskäytännöistä. Se vahvistaa kirjautumistunnuksen ja salasanan muiden turvatoimenpiteiden ohella. On epätodennäköistä, että prosessia kaapataan. Jos se ei toimi oikein, sinut kirjataan yleensä automaattisesti ulos tietokoneesta. Mutta virusten tiedetään käyttävän tiedostonimeä piiloutuakseen.
Etsi Lsass.exe-tiedosto C:\Windows\System32. Tämä on ainoa paikka, jonka sinun pitäisi löytää. Jos näet sen toisessa paikassa, esim C:\Windows\system tai C:\Ohjelmatiedostot, toimi epäluuloisesti ja skannaa tiedosto virustorjuntaohjelmallasi.
6. Services.exe
Services.exe-prosessi vastaa useiden olennaisten Windows-palvelujen käynnistämisestä ja pysäyttämisestä. Kuten muutkin tässä luettelossa olevat Windows-prosessit, virukset ja haittaohjelmat kohdistuvat siihen, koska ne voivat piiloutua näkyvästi.
Jos tiedosto kaapataan, saatat huomata ongelmia tietokoneesi käynnistyksen ja sammutuksen aikana. Etsi oikea Services.exe-tiedosto tiedostosta Järjestelmä 32 kansio. Jos se sijaitsee jossain muualla, esim C:\Windows\ConnectionStatus, tiedosto voi olla virus.
Tässä mainitut prosessit ovat välttämättömiä Windowsin sujuvan toiminnan kannalta. Mutta kaikki eivät ole, ja monet eivät ole välttämättömiä prosessit voidaan jopa sulkea suorituskyvyn parantamiseksi.
7. Spoolsv.exe
Windows Print Spooler Service eli Spoolsv.exe on tärkeä osa tulostuskäyttöliittymää. Se toimii taustalla ja odottaa hallitakseen asioita, kuten tulostusjonoa tarvittaessa. Prosessi ei ole riippuvainen tulostimen liittämisestä, joten sinun ei pitäisi olla yllättynyt nähdessäsi sen Task Managerissa.
Ehkä siksi, että Spoolsv.exe jää helposti huomiotta, virus voi saada nimen näyttämään aidolta. Oikea kelatiedosto löytyy osoitteesta C:\Windows\System32. Väärennetyt tiedostot näkyvät usein C:\Windowstai käyttäjäprofiilikansiossa.
Kuinka tarkistat, onko prosessi laillinen?
Tehtävienhallinta on ystäväsi, kun etsit epäilyttävää toimintaa. Tartunnan saaneet prosessit käyttäytyvät usein epäsäännöllisesti ja kuluttavat enemmän suorittimen tehoa ja muistia kuin tavallisesti. Mutta näin ei aina ole, joten tässä on joitain muita tapoja tarkistaa prosessin laillisuus.
Useimpien tässä lueteltujen olennaisten prosessien pitäisi näkyä vain System32-kansiossa. Voit helposti tarkistaa epäilyttävän tiedoston sijainnin Task Managerissa. Napsauta prosessia hiiren kakkospainikkeella ja valitse Avaa tiedoston sijainti. Tarkista avautuvan kansion polku varmistaaksesi, että tiedosto on oikeassa paikassa.
Toinen tapa selvittää, onko tiedosto aito, on tarkistaa koko. Suurin osa näiden olennaisten prosessien .exe-tiedostoista on alle 200 kt. Napsauta hiiren kakkospainikkeella prosessin nimeä Task Managerissa, valitse Ominaisuudet ja katso kokoa. Jos se näyttää epätavallisen suurelta, katso tarkemmin, onko se turvallinen.
Voit myös tarkista EXE-tiedoston varmenne. Aidolla tiedostolla on Microsoftin myöntämä suojaussertifikaatti. Jos näet jotain muuta, se on todennäköisesti haitallista.
Viimeinen tehtävä on skannata epäilyttävät tiedostot ajan tasalla olevalla virustorjuntaohjelmistolla. Aseta karanteeniin ja poista kaikki tiedostot, jotka on merkitty tartunnan saaneiksi. Onneksi nykyaikaisissa Windows-versioissa on sisäänrakennettu Microsoft Defender, joten opi kuinka skannata yksittäinen tiedosto tai kansio Microsoft Defenderillä tarkistaaksesi löytämäsi epäilyttävät tiedostot.
Windows-prosessit, jotka saattavat piilottaa viruksen
Osa Windows-tietokoneesi suojaamisesta haittaohjelmilta ja viruksilta on tietää, missä ne piiloutuvat. Joskus haitallinen tiedosto käyttäytyy oudosti ja käyttää liikaa suoritinta ja muistia. Mutta ei aina. Joten epäilyttävän tiedoston havaitseminen muilla tavoilla on hyödyllinen taito.