Procesi su nezaobilazan dio Windowsa i nije neuobičajeno vidjeti ih na desetke ili stotine u Upravitelju zadataka. Svaki proces je program ili dio programa koji se izvodi. Nažalost, kreatori zlonamjernog softvera to znaju i poznato je da skrivaju zlonamjerni softver iza imena legitimnih procesa.
Ovdje su neki od najčešće otetih ili dupliciranih procesa, zajedno s mjestima gdje bi se trebali nalaziti i kako uočiti zlonamjernu verziju.
1. Svchost.exe
Host servisa ili svchost.exe proces je dijeljene usluge. Omogućuje raznim drugim Windows uslugama dijeljenje procesa. To pomaže smanjiti korištenje resursa, čineći sustav učinkovitijim. Gotovo ćete sigurno vidjeti više od jedne instance Svchost.exe u Upravitelju zadataka, ali to je normalno. Ako je jedna ili više ovih datoteka ugroženo zlonamjernim softverom, mogli biste primijetiti izrazito smanjenje performansi.
Trebalo bi pronaći legitimne Svchost datoteke C:\Windows\System32. Ako sumnjate da je otet, provjerite C:\Windows\Temp. Ako ovdje vidite svchost.exe, to bi mogla biti zlonamjerna datoteka. Skenirajte datoteku antivirusnim softverom i po potrebi je stavite u karantenu.
2. Explorer.exe
Explorer.exe odgovoran je za grafičku ljusku. Bez njega ne biste imali programsku traku, izbornik Start, upravitelj datoteka, pa čak ni radnu površinu. Stoga je to bitan dio sustava Windows i ne može se onemogućiti.
Nekoliko virusa može koristiti naziv datoteke Explorer.exe za skrivanje iza njega, uključujući trojan.w32.ZAPCHAST. Legitimna datoteka će biti unutra C:\Windows. Ako ga pronađete u Sustav32, svakako biste ga trebali provjeriti svojim antivirusnim softverom.
3. Winlogon.exe
Proces Winlogon.exe bitan je dio Windows OS-a. On upravlja stvarima poput učitavanja korisničkog profila tijekom prijave i zaključavanja računala kada se pokrene čuvar zaslona. Nažalost, budući da upravlja sigurnosnim elementima, prijava u sustav Windows i proces winlogon.exe česte su mete prijetnji.
Nekoliko trojanskih virusa, uključujući Vundo, može biti skriveno unutar ili maskirano u winlogon.exe. Uobičajeno mjesto datoteke Winlogon.exe je C:\Windows\System32. Ako ga pronađete u C:\Windows\WinSecurity, moglo bi biti zlonamjerno. Jedan dobar pokazatelj da je proces otet je neobično velika upotreba memorije.
Virusi i zlonamjerni softver ne skrivaju se samo iza Windows procesa. Evo nekih druge načine na koje zlonamjerni softver može proći neotkriven i sakriti se na vašem računalu.
4. Csrss.exe
Client/Server Run-Time Subsystem, ili Csrss.exe, bitan je Windows proces. Iako nije tako široko korišten u modernim verzijama Windowsa, još uvijek je potreban sustavu i ne može se onemogućiti.
Nimda. Poznato je da virus E oponaša proces Csrss.exe, iako to nije jedina potencijalna prijetnja. Legitimna datoteka trebala bi se nalaziti u Sustav32 ili SysWOW64 mape. Desnom tipkom miša kliknite proces Csrss.exe u Upravitelju zadataka i odaberite Otvorite lokaciju datoteke. Ako se nalazi bilo gdje drugdje, vjerojatno je zlonamjerna datoteka.
5. Lsass.exe
lsass.exe bitan je proces odgovoran za sigurnosnu politiku u sustavu Windows. Provjerava ime za prijavu i lozinku, između ostalih sigurnosnih postupaka. Malo je vjerojatno da će proces biti preuzet. Ako ne radi ispravno, obično ćete biti automatski odjavljeni sa svog računala. Ali poznato je da virusi koriste naziv datoteke za skrivanje.
Potražite datoteku Lsass.exe C:\Windows\System32. Ovo je jedino mjesto gdje biste ga trebali pronaći. Ako ga vidite na drugom mjestu, npr C:\Windows\sustav ili C:\Programske datoteke, ponašajte se sumnjičavo i skenirajte datoteku antivirusnim programom.
6. Services.exe
Proces Services.exe odgovoran je za pokretanje i zaustavljanje raznih bitnih Windows usluga. Kao i drugi Windows procesi na ovom popisu, virusi i zlonamjerni softver ciljaju na njega jer im omogućuje da se sakriju na vidljivom mjestu.
Ako je datoteka oteta, možete primijetiti probleme tijekom pokretanja i gašenja vašeg računala. Potražite pravu datoteku Services.exe u Sustav32 mapa. Ako se nalazi bilo gdje drugdje, npr. u C:\Windows\Status veze, datoteka bi mogla biti virus.
Ovdje spomenuti procesi ključni su za besprijekoran rad sustava Windows. Ali nisu svi, a mnogi nisu bitni procesi se čak mogu zatvoriti kako bi se poboljšala izvedba.
7. Spoolsv.exe
Windows Print Spooler Service ili Spoolsv.exe važan je dio sučelja za ispis. Radi u pozadini, čekajući da upravlja stvarima kao što je red čekanja za ispis kada je potrebno. Proces ne ovisi o priključenju pisača, pa se ne biste trebali iznenaditi da ga vidite u Upravitelju zadataka.
Možda zato što se Spoolsv.exe lako previdi, virus može uzeti ime kako bi se doimao legitimnim. Prava spool datoteka može se pronaći u C:\Windows\System32. Lažna datoteka često će se pojavljivati u C:\Windows, ili u mapi korisničkog profila.
Kako provjeriti je li proces legitiman?
Upravitelj zadataka vaš je prijatelj kada tražite sumnjivu aktivnost. Zaraženi procesi često će se ponašati nepravilno, trošeći više procesorske snage i memorije nego što je uobičajeno. Ali to nije uvijek slučaj, pa evo nekih drugih načina da provjerite je li proces legitiman.
Većina ovdje navedenih bitnih procesa trebala bi se pojaviti samo u mapi System32. Možete jednostavno provjeriti mjesto sumnjive datoteke u Upravitelju zadataka. Desnom tipkom miša kliknite proces i odaberite Otvorite lokaciju datoteke. Provjerite putanju mape koja se otvara kako biste bili sigurni da je datoteka na ispravnom mjestu.
Drugi način da saznate je li datoteka legitimna je provjera veličine. Većina .exe datoteka ovih bitnih procesa bit će ispod 200 kb. Desnom tipkom miša kliknite naziv procesa u Upravitelju zadataka, odaberite Svojstva i pogledajte veličinu. Ako se čini neuobičajeno velik, bolje ga pogledajte kako biste utvrdili je li siguran.
Također možete provjerite certifikat EXE datoteke. Autentična datoteka imat će sigurnosni certifikat koji izdaje Microsoft. Ako vidite još nešto, vjerojatno je zlonamjerno.
Posljednja stvar koju trebate učiniti je skenirati sumnjive datoteke najnovijim antivirusnim skenerom. Karantenu i uklonite sve datoteke koje su označene kao zaražene. Srećom, moderne verzije sustava Windows dolaze s ugrađenim Microsoft Defenderom, stoga naučite kako skenirati jednu datoteku ili mapu s Microsoft Defenderom kako biste provjerili sve sumnjive datoteke koje pronađete.
Windows procesi koji bi mogli skrivati virus
Dio zaštite vašeg računala sa sustavom Windows od zlonamjernog softvera i virusa jest znati gdje se skrivaju. Ponekad će se zlonamjerna datoteka ponašati čudno, koristeći previše CPU-a i memorije. Ali ne uvijek. Stoga je uočavanje sumnjive datoteke na druge načine korisna vještina.
