תהליכים הם מרכיב עיקרי של Windows, וזה לא נדיר לראות עשרות או מאות מהם במנהל המשימות.
כל תהליך הוא תוכנית או חלק מתוכנית הפועלת כעת. לרוע המזל, יוצרי תוכנות זדוניות יודעים זאת וידועים כמסתירים וירוסים מאחורי שמות תהליכים לגיטימיים.
הנה כמה מהתהליכים שנחטפו או משוכפלים הנפוצים ביותר, יחד עם היכן הם צריכים להיות וכיצד לזהות גרסה זדונית.
Svchost.exe
מארח השירות, או svchost.exe, הוא תהליך שירות משותף. זה מאפשר לשירותי Windows שונים אחרים לשתף תהליכים. זה עוזר להפחית את השימוש במשאבים והופך את המערכת ליעילה יותר. אתה בהחלט תראה יותר ממופע אחד של svchost.exe במנהל המשימות, אבל זה נורמלי. אם אחד או יותר מהקבצים הללו נפגעים על ידי תוכנה זדונית, ייתכן שתחווה ירידה משמעותית בביצועי המחשב שלך.
קבצי svchost לגיטימיים נמצאים בC:\Windows\System32. אם אתה חושב שהם נחטפו, בדוק את C:\Windows\Temp. אם אתה רואה שם svchost.exe, זה יכול להיות קובץ זדוני. סרוק את הקובץ עם תוכנת האנטי-וירוס שלך והסגר אותו במידת הצורך.
Explorer.exe
Explorer.exe אחראי על הממשק הגרפי של Windows. בלעדיו, לא תהיה לך שורת משימות, תפריט התחל, מנהל קבצים או אפילו שולחן עבודה. לכן זהו חלק חיוני של Windows שלא ניתן להשבית אותו.
מספר וירוסים יכולים להשתמש בשם הקובץ explorer.exe כדי להסתיר, כולל trojan.w32.ZAPCHAST. הקובץ הלגיטימי נמצא בC:\Windows. אם אתה מוצא את זה ב-System32, אתה בהחלט צריך לבדוק את זה עם תוכנת האנטי וירוס שלך.
Winlogon.exe
תהליך winlogon.exe הוא חלק חיוני ממערכת ההפעלה Windows. הוא מטפל בדברים כמו טעינת פרופיל המשתמש במהלך הכניסה ונעילת המחשב כאשר שומר המסך פועל. למרבה הצער, מכיוון שהם מטפלים ברכיבי אבטחה, כניסת Windows ותהליך winlogon.exe הם יעדים נפוצים לאיומים.
ניתן להסתיר מספר סוסים טרויאניים, כולל Vundo, או להסוות אותם כ-winlogon.exe. המיקום הרגיל עבור קובץ winlogon.exe הואC:\Windows\System32. אם אתה מוצא אותו ב-C:\Windows\WinSecurity, זה עלול להיות זדוני. שימוש חריג בזיכרון הוא אינדיקציה טובה לכך שתהליך winlogon.exe נחטף.
Csrss.exe
ה-Client/Server Runtime Subsystem, או csrss.exe, הוא תהליך חיוני של Windows. למרות שהוא אינו בשימוש נרחב בגירסאות מודרניות של Windows, הוא עדיין נדרש על ידי המערכת ולא ניתן להשבית אותו.
ידוע שוירוס Nimda.E מחקה את תהליך csrss.exe, אבל זה לא האיום הפוטנציאלי היחיד. הקובץ הלגיטימי צריך להיות ממוקם בתיקיות System32 או SysWOW64. לחץ לחיצה ימנית על התהליךcsrss.exeב-מנהל משימותולבחורפתח את מיקום הקובץ. אם הוא ממוקם במקום אחר, זה כנראה קובץ זדוני.
Lsass.exe
Lsass.exe הוא תהליך חיוני שאחראי למדיניות האבטחה של Windows. הוא בודק את שם הכניסה והסיסמה, בין נהלי אבטחה אחרים. לא סביר שתהליך זה ייחטף. אם זה לא עובד כראוי, בדרך כלל תתנתק אוטומטית מהמחשב שלך. אבל ידוע שוירוסים משתמשים בשם הקובץ כדי להסתיר.
מצא את הקובץlsass.exeבC:\Windows\System32. זה המקום היחיד שאתה צריך למצוא אותו. אם אתה מוצא אותו במיקום אחר, כמו C:\Windows\System או C:\Program Files, פעל בחשדנות וסרוק את הקובץ באמצעות האנטי-וירוס שלך.
Services.exe
תהליך services.exe אחראי על הפעלה ועצירה של שירותי Windows חיוניים שונים. בדומה לתהליכים אחרים של Windows ברשימה זו, וירוסים ותוכנות זדוניות מכוונים אליו מכיוון שהם מאפשרים להם להסתתר.
אם הקובץ נחטף, אתה עלול להיתקל בבעיות בהפעלה וכיבוי של המחשב. מצא את הקובץ האמיתיservices.exeבקובץמערכת 32. אם הוא ממוקם במקום אחר, למשל ב-C:\Windows\ConnectionStatus, זה יכול להיות וירוס.
Spoolsv.exe
שירות Windows Print Spooler, או spoolsv.exe, הוא חלק חשוב מממשק ההדפסה. זה פועל ברקע, מחכה לטפל בדברים כמו תור ההדפסה בעת הצורך. התהליך אינו תלוי בחיבור מדפסת, כך שלא תופתעו לראות אותו במנהל המשימות.
אולי זה בגלל שמתעלמים בקלות מ-spoolsv.exe שוירוס יכול לקחת את השם הזה כדי לגרום לעצמו להיראות לגיטימי. הקובץ spoolsv.exe בפועל נמצא ב-C:\Windows\System32. הקובץ המזויף מופיע לרוב ב-C:\Windows, או בתיקייה בפרופיל המשתמש.
התהליכים המוזכרים כאן חיוניים כדי ש-Windows יפעל כראוי. אבל לא כולם, וניתן אפילו לסגור תהליכים רבים שאינם חיוניים כדי לשפר את הביצועים.
איך בודקים אם תהליך לגיטימי?
מנהל המשימות הוא החבר שלך כשאתה מחפש פעילות חשודה. תהליכים נגועים מתנהגים לעתים קרובות בצורה לא סדירה, וצורכים יותר כוח CPU וזיכרון מהרגיל. אבל זה לא תמיד המצב. להלן דרכים נוספות לבדוק את הלגיטימיות של תהליך.
רוב התהליכים החיוניים המפורטים כאן צריכים להופיע רק בתיקיית System32. אתה יכול בקלות לבדוק את המיקום של קובץ חשוד במנהל המשימות. לחץ לחיצה ימנית על תהליך ובחרפתח את מיקום הקובץ. בדוק את הנתיב של התיקיה שנפתחת כדי לוודא שהקובץ נמצא במיקום הנכון.
דרך נוספת לדעת אם קובץ לגיטימי היא לבדוק את גודלו. רוב קבצי ה-.exe עבור תהליכים חיוניים אלה הם פחות מ-200 KB. לחץ לחיצה ימנית על שם התהליך ב-מנהל משימות, בחרנכסיםולבדוק את הגודל שלו. אם גודל התהליך נראה גדול בצורה יוצאת דופן, עיין בו מקרוב כדי לקבוע אם הוא בטוח.
אתה יכול גם לבדוק את האישור של קובץ ה-EXE. לקובץ אותנטי יש אישור אבטחה שהונפק על ידי Microsoft. אם אתה רואה משהו אחר, סביר להניח שזה קובץ זדוני.
הדבר האחרון שצריך לעשות הוא לסרוק קבצים חשודים באמצעות אנטי וירוס עדכני. הסגר ומחק את כל הקבצים שדווחו כנגועים. למרבה המזל, גרסאות מודרניות של Windows כוללות את Microsoft Defender.
מַסְקָנָה
כדי להגן על מחשב Windows שלך מפני תוכנות זדוניות ווירוסים, עליך לדעת היכן הם מתחבאים. לפעמים קובץ זדוני מתנהג בצורה מוזרה, משתמש ביותר מדי מעבד וזיכרון. אבל זה לא תמיד המצב. לכן כדאי לדעת איך לזהות קובץ חשוד באמצעים אחרים.