Procesy jsou nevyhnutelnou součástí Windows a není neobvyklé, že jich ve Správci úloh vidíte desítky či stovky. Každý proces je program nebo část programu, který běží. Tvůrci malwaru to bohužel vědí a je známo, že skrývají škodlivý software za názvy legitimních procesů.
Zde jsou některé z nejčastěji unesených nebo duplicitních procesů spolu s tím, kde by se měly nacházet a jak odhalit škodlivou verzi.
1. Svchost.exe
Hostitel služby nebo svchost.exe je proces sdílené služby. Umožňuje různým dalším službám Windows sdílet procesy. To pomáhá snížit spotřebu zdrojů a zvyšuje efektivitu systému. Téměř jistě uvidíte více než jednu instanci Svchost.exe ve Správci úloh, ale to je normální. Pokud je jeden nebo více těchto souborů ohroženo malwarem, můžete zaznamenat výrazné snížení výkonu.
Legitimní soubory Svchost by měly být nalezeny v C:\Windows\System32
. Pokud máte podezření, že byl unesen, zkontrolujte C:\Windows\Temp. Pokud zde vidíte svchost.exe, může se jednat o škodlivý soubor. Naskenujte soubor pomocí antivirového softwaru a v případě potřeby jej umístěte do karantény.2. Explorer.exe
Explorer.exe je zodpovědný za grafický shell. Bez něj byste neměli žádný hlavní panel, nabídku Start, správce souborů nebo dokonce plochu. Proto je nezbytnou součástí systému Windows a nelze ji zakázat.
Několik virů se může pomocí souboru Explorer.exe skrýt, včetně trojan.w32.ZAPCHAST. Legitimní soubor bude in C:\Windows. Pokud to najdete v Systém 32, určitě byste to měli zkontrolovat pomocí svého antivirového softwaru.
3. Winlogon.exe
Proces Winlogon.exe je nezbytnou součástí operačního systému Windows. Zvládá věci, jako je načítání uživatelského profilu během přihlašování a zamykání počítače při spuštění spořiče obrazovky. Bohužel, protože zpracovává bezpečnostní prvky, Windows Logon a proces winlogon.exe jsou běžnými cíli hrozeb.
Několik trojských virů, včetně Vundo, může být skryto nebo maskováno jako winlogon.exe. Obvyklé umístění souboru Winlogon.exe je C:\Windows\System32. Pokud to najdete v C:\Windows\WinSecurity, mohlo by to být škodlivé. Jedním dobrým znamením, že proces byl unesen, je neobvykle vysoké využití paměti.
Viry a malware se neskrývají jen za procesy Windows. Tady nějaké jsou další způsoby, jak může malware zůstat nezjištěn a skrýt se ve vašem počítači.
4. Csrss.exe
Klient/Server Run-Time Subsystem neboli Csrss.exe je základním procesem Windows. Ačkoli není v moderních verzích Windows tak široce používán, systém jej stále vyžaduje a nelze jej zakázat.
Nimda. O viru E je známo, že napodobuje proces Csrss.exe, i když to není jediná potenciální hrozba. Legitimní soubor by měl být umístěn v Systém 32 nebo SysWOW64 složky. Klepněte pravým tlačítkem myši na proces Csrss.exe ve Správci úloh a vyberte Otevřít umístění souboru. Pokud se nachází kdekoli jinde, pravděpodobně se jedná o škodlivý soubor.
5. Lsass.exe
lsass.exe je základní proces zodpovědný za bezpečnostní politiku v systému Windows. Kromě jiných bezpečnostních postupů ověřuje přihlašovací jméno a heslo. Je nepravděpodobné, že by proces byl unesen. Pokud neběží správně, budete obvykle automaticky odhlášeni z počítače. Ale je známo, že viry používají název souboru ke skrytí.
Vyhledejte soubor Lsass.exe v C:\Windows\System32. Toto je jediné místo, kde byste to měli najít. Pokud jej uvidíte na jiném místě, např C:\Windows\system nebo C:\Program Files, jednejte s podezřením a prohledejte soubor pomocí antiviru.
6. Services.exe
Proces Services.exe je zodpovědný za spouštění a zastavování různých základních služeb systému Windows. Stejně jako ostatní procesy Windows v tomto seznamu se na ně zaměřují viry a malware, protože jim umožňuje skrýt se na očích.
Pokud je soubor unesen, můžete zaznamenat problémy během spouštění a vypínání počítače. Vyhledejte skutečný soubor Services.exe v souboru Systém 32 složku. Pokud se nachází kdekoli jinde, např C:\Windows\ConnectionStatus, soubor může být virus.
Zde uvedené procesy jsou nezbytné pro hladký chod Windows. Ale ne všechny jsou a mnohé nepodstatné procesy lze dokonce uzavřít, aby pomohly s výkonem.
7. Spoolsv.exe
Služba Windows Print Spooler Service neboli Spoolsv.exe je důležitou součástí tiskového rozhraní. Běží na pozadí a v případě potřeby čeká na správu věcí, jako je tisková fronta. Tento proces není závislý na připojení tiskárny, takže byste neměli být překvapeni, když jej uvidíte ve Správci úloh.
Možná proto, že Spoolsv.exe je snadno přehlédnutelný, může virus přijmout jméno, aby se zdál legitimní. Soubor true spools lze nalézt v C:\Windows\System32. Falešný soubor se často objeví v C:\Windowsnebo ve složce uživatelského profilu.
Jak zkontrolujete, zda je proces legitimní?
Správce úloh je vaším přítelem při hledání podezřelé aktivity. Infikované procesy se budou často chovat nevyzpytatelně a spotřebovávají více výkonu CPU a paměti než je obvyklé. Ale to není vždy případ, takže zde jsou některé další způsoby, jak zkontrolovat, zda je proces legitimní.
Většina zde uvedených základních procesů by se měla objevit pouze ve složce System32. Umístění podezřelého souboru můžete snadno zkontrolovat ve Správci úloh. Klepněte pravým tlačítkem myši na proces a vyberte Otevřít umístění souboru. Zkontrolujte cestu ke složce, která se otevře, abyste se ujistili, že je soubor na správném místě.
Dalším způsobem, jak zjistit, zda je soubor legitimní, je zkontrolovat velikost. Většina souborů .exe těchto základních procesů bude mít méně než 200 kb. Klikněte pravým tlačítkem na název procesu ve Správci úloh, vyberte Vlastnosti a podívej se na velikost. Pokud se vám zdá neobvykle velký, podívejte se blíže, abyste zjistili, zda je bezpečný.
Můžete také zkontrolujte certifikát souboru EXE. Autentický soubor bude mít bezpečnostní certifikát vydaný společností Microsoft. Pokud vidíte něco jiného, je to pravděpodobně škodlivé.
Poslední věcí, kterou musíte udělat, je skenovat podezřelé soubory pomocí aktuálního antivirového skeneru. Umístěte do karantény a odeberte všechny soubory, které jsou označeny jako infikované. Naštěstí jsou moderní verze systému Windows dodávány s vestavěným programem Microsoft Defender, takže se poučte jak skenovat jeden soubor nebo složku pomocí programu Microsoft Defender zkontrolovat všechny podezřelé soubory, které najdete.
Procesy Windows, které by mohly skrývat virus
Součástí ochrany počítače se systémem Windows před malwarem a viry je vědět, kde se skrývají. Někdy se škodlivý soubor bude chovat zvláštně a zabere příliš mnoho CPU a paměti. Ale ne vždy. Odhalit podezřelý soubor jinými způsoby je tedy užitečná dovednost.