Οι διεργασίες αποτελούν αναπόφευκτο μέρος των Windows και δεν είναι ασυνήθιστο να βλέπουμε δεκάδες ή εκατοντάδες από αυτές στη Διαχείριση εργασιών. Κάθε διεργασία είναι ένα πρόγραμμα ή μέρος ενός προγράμματος που εκτελείται. Δυστυχώς, οι δημιουργοί κακόβουλου λογισμικού το γνωρίζουν αυτό και είναι γνωστό ότι κρύβουν κακόβουλο λογισμικό πίσω από τα ονόματα των νόμιμων διαδικασιών.
Ακολουθούν μερικές από τις πιο συχνά παραβιασμένες ή διπλές διεργασίες, μαζί με το πού πρέπει να βρίσκονται και πώς να εντοπίσετε μια κακόβουλη έκδοση.
1. Svchost.exe
Το Service Host ή svchost.exe είναι μια διαδικασία κοινόχρηστης υπηρεσίας. Επιτρέπει σε διάφορες άλλες υπηρεσίες των Windows να μοιράζονται διαδικασίες. Αυτό βοηθά στη μείωση της χρήσης πόρων, καθιστώντας το σύστημα πιο αποτελεσματικό. Θα δείτε σχεδόν σίγουρα περισσότερες από μία παρουσίες του Svchost.exe στη Διαχείριση εργασιών, αλλά αυτό είναι φυσιολογικό. Εάν ένα ή περισσότερα από αυτά τα αρχεία έχουν παραβιαστεί από κακόβουλο λογισμικό, μπορεί να παρατηρήσετε μια σαφή μείωση της απόδοσης.
Τα νόμιμα αρχεία Svchost θα πρέπει να βρίσκονται στο C:\Windows\System32. Εάν υποψιάζεστε ότι έχει κλαπεί, ελέγξτε C:\Windows\Temp. Αν δείτε το svchost.exe εδώ, θα μπορούσε να είναι κακόβουλο αρχείο. Σαρώστε το αρχείο με το λογισμικό προστασίας από ιούς και βάλτε το σε καραντίνα εάν χρειάζεται.
2. Explorer.exe
Το Explorer.exe είναι υπεύθυνο για το κέλυφος γραφικών. Χωρίς αυτό, δεν θα είχατε γραμμή εργασιών, μενού Έναρξης, Διαχείριση αρχείων ή ακόμη και επιφάνεια εργασίας. Επομένως, είναι απαραίτητο μέρος των Windows και δεν μπορεί να απενεργοποιηθεί.
Πολλοί ιοί μπορούν να χρησιμοποιήσουν το όνομα αρχείου Explorer.exe για να κρυφτούν πίσω, συμπεριλαμβανομένου του trojan.w32.ZAPCHAST. Το νόμιμο αρχείο θα βρίσκεται μέσα C:\Windows. Αν το βρείτε σε Σύστημα 32, θα πρέπει οπωσδήποτε να το ελέγξετε με το λογισμικό προστασίας από ιούς.
3. Winlogon.exe
Η διαδικασία Winlogon.exe είναι ουσιαστικό μέρος του λειτουργικού συστήματος των Windows. Χειρίζεται πράγματα όπως η φόρτωση του προφίλ χρήστη κατά τη σύνδεση και το κλείδωμα του υπολογιστή όταν εκτελείται η προφύλαξη οθόνης. Δυστυχώς, επειδή χειρίζεται στοιχεία ασφαλείας, η σύνδεση των Windows και η διαδικασία winlogon.exe αποτελούν κοινούς στόχους για απειλές.
Αρκετοί ιοί Trojan, συμπεριλαμβανομένου του Vundo, μπορούν να κρυφτούν ή να μεταμφιεστούν ως winlogon.exe. Η συνήθης θέση του αρχείου Winlogon.exe είναι C:\Windows\System32. Αν το βρείτε σε C:\Windows\WinSecurity, μπορεί να είναι κακόβουλο. Μια καλή ένδειξη ότι η διαδικασία έχει παραβιαστεί είναι η ασυνήθιστα υψηλή χρήση μνήμης.
Οι ιοί και το κακόβουλο λογισμικό δεν κρύβονται μόνο πίσω από τις διαδικασίες των Windows. Εδω είναι μερικά άλλοι τρόποι με τους οποίους το κακόβουλο λογισμικό μπορεί να μην εντοπιστεί και να κρυφτεί στον υπολογιστή σας.
4. Csrss.exe
Το υποσύστημα χρόνου εκτέλεσης πελάτη/διακομιστή ή Csrss.exe είναι μια βασική διαδικασία των Windows. Αν και δεν χρησιμοποιείται τόσο ευρέως στις σύγχρονες εκδόσεις των Windows, εξακολουθεί να απαιτείται από το σύστημα και δεν μπορεί να απενεργοποιηθεί.
Το Nimda. Ο ιός E είναι γνωστό ότι μιμείται τη διαδικασία Csrss.exe, αν και δεν είναι η μόνη πιθανή απειλή. Το νόμιμο αρχείο θα πρέπει να βρίσκεται στο Σύστημα 32 ή SysWOW64 φακέλους. Κάντε δεξί κλικ στη διαδικασία Csrss.exe στη Διαχείριση εργασιών και επιλέξτε Ανοίξτε την τοποθεσία αρχείου. Εάν βρίσκεται οπουδήποτε αλλού, είναι πιθανό να πρόκειται για κακόβουλο αρχείο.
5. Lsass.exe
Το lsass.exe είναι μια βασική διαδικασία που είναι υπεύθυνη για την πολιτική ασφαλείας στα Windows. Επαληθεύει το όνομα σύνδεσης και τον κωδικό πρόσβασης, μεταξύ άλλων διαδικασιών ασφαλείας. Είναι απίθανο να παραβιαστεί η διαδικασία. Εάν δεν εκτελείται σωστά, συνήθως θα αποσυνδεθείτε αυτόματα από τον υπολογιστή σας. Αλλά οι ιοί είναι γνωστό ότι χρησιμοποιούν το όνομα αρχείου για απόκρυψη.
Αναζητήστε το αρχείο Lsass.exe στο C:\Windows\System32. Αυτό είναι το μόνο μέρος που πρέπει να το βρείτε. Εάν το δείτε σε άλλη τοποθεσία, όπως π.χ C:\Windows\system ή C:\Program Files, ενεργήστε με καχυποψία και σαρώστε το αρχείο με το antivirus σας.
6. Services.exe
Η διαδικασία Services.exe είναι υπεύθυνη για την εκκίνηση και τη διακοπή διαφόρων βασικών υπηρεσιών των Windows. Όπως και οι άλλες διεργασίες των Windows σε αυτήν τη λίστα, οι ιοί και το κακόβουλο λογισμικό τις στοχεύουν επειδή τους επιτρέπει να κρύβονται σε κοινή θέα.
Εάν το αρχείο παραβιαστεί, ενδέχεται να παρατηρήσετε προβλήματα κατά την εκκίνηση και τον τερματισμό λειτουργίας του υπολογιστή σας. Αναζητήστε το πραγματικό αρχείο Services.exe στο Σύστημα 32 ντοσιέ. Εάν βρίσκεται οπουδήποτε αλλού, όπως π.χ C:\Windows\ConnectionStatus, το αρχείο μπορεί να είναι ιός.
Οι διαδικασίες που αναφέρονται εδώ είναι απαραίτητες για την ομαλή λειτουργία των Windows. Αλλά δεν είναι όλα, και πολλά δεν είναι απαραίτητα Οι διαδικασίες μπορούν ακόμη και να κλείσουν για να βοηθήσουν στην απόδοση.
7. Spoolsv.exe
Η υπηρεσία Windows Print Spooler Service ή Spoolsv.exe είναι ένα σημαντικό μέρος της διεπαφής εκτύπωσης. Εκτελείται στο παρασκήνιο, περιμένοντας να διαχειριστεί πράγματα όπως η ουρά εκτύπωσης όταν απαιτείται. Η διαδικασία δεν εξαρτάται από τη σύνδεση ενός εκτυπωτή, επομένως δεν θα πρέπει να εκπλαγείτε αν τη δείτε στη Διαχείριση εργασιών.
Ίσως επειδή το Spoolsv.exe παραβλέπεται εύκολα, ένας ιός μπορεί να πάρει το όνομα για να φαίνεται νόμιμος. Μπορείτε να βρείτε το αρχείο true spools στο C:\Windows\System32. Το ψεύτικο αρχείο θα εμφανίζεται συχνά στο C:\Windows, ή σε ένα φάκελο προφίλ χρήστη.
Πώς ελέγχετε εάν μια διαδικασία είναι νόμιμη;
Ο Διαχειριστής Εργασιών είναι ο φίλος σας όταν ψάχνετε για ύποπτη δραστηριότητα. Οι μολυσμένες διεργασίες συχνά συμπεριφέρονται ακανόνιστα, καταναλώνοντας περισσότερη ισχύ και μνήμη CPU από ό, τι συνήθως. Αλλά αυτό δεν συμβαίνει πάντα, επομένως εδώ είναι μερικοί άλλοι τρόποι για να ελέγξετε ότι μια διαδικασία είναι νόμιμη.
Οι περισσότερες από τις βασικές διαδικασίες που αναφέρονται εδώ θα πρέπει να εμφανίζονται μόνο στο φάκελο System32. Μπορείτε εύκολα να ελέγξετε τη θέση ενός ύποπτου αρχείου στη Διαχείριση εργασιών. Κάντε δεξί κλικ στη διαδικασία και επιλέξτε Ανοίξτε την τοποθεσία αρχείου. Ελέγξτε τη διαδρομή του φακέλου που ανοίγει για να βεβαιωθείτε ότι το αρχείο βρίσκεται στη σωστή θέση.
Ένας άλλος τρόπος για να διαπιστώσετε εάν ένα αρχείο είναι νόμιμο είναι να ελέγξετε το μέγεθος. Τα περισσότερα από τα αρχεία .exe αυτών των βασικών διεργασιών θα είναι κάτω από 200 kb. Κάντε δεξί κλικ στο όνομα της διαδικασίας στη Διαχείριση εργασιών, επιλέξτε Ιδιότητες και κοιτάξτε το μέγεθος. Εάν φαίνεται ασυνήθιστα μεγάλο, ρίξτε μια πιο προσεκτική ματιά για να διαπιστώσετε εάν είναι ασφαλές.
Μπορείτε επίσης να ελέγξτε το πιστοποιητικό του αρχείου EXE. Ένα αυθεντικό αρχείο θα έχει πιστοποιητικό ασφαλείας που εκδίδεται από τη Microsoft. Αν δείτε κάτι άλλο, είναι πιθανό να είναι κακόβουλο.
Το τελευταίο πράγμα που πρέπει να κάνετε είναι να σαρώσετε ύποπτα αρχεία με έναν ενημερωμένο σαρωτή προστασίας από ιούς. Θέστε σε καραντίνα και αφαιρέστε τυχόν αρχεία που έχουν επισημανθεί ως μολυσμένα. Ευτυχώς, οι σύγχρονες εκδόσεις των Windows διαθέτουν ενσωματωμένο Microsoft Defender, γι' αυτό μάθετε πώς να σαρώσετε ένα μεμονωμένο αρχείο ή φάκελο με το Microsoft Defender για να ελέγξετε τυχόν ύποπτα αρχεία που βρείτε.
Οι διεργασίες των Windows που μπορεί να κρύβουν έναν ιό
Μέρος της προστασίας του υπολογιστή σας με Windows από κακόβουλο λογισμικό και ιούς είναι να γνωρίζετε πού κρύβονται. Μερικές φορές ένα κακόβουλο αρχείο θα συμπεριφέρεται παράξενα, χρησιμοποιώντας υπερβολική CPU και μνήμη. Αλλά όχι πάντα. Επομένως, ο εντοπισμός ενός ύποπτου αρχείου με άλλους τρόπους είναι μια χρήσιμη δεξιότητα.
