Processer är en oundviklig del av Windows, och det är inte ovanligt att se dussintals eller hundratals av dem i Aktivitetshanteraren. Varje process är ett program eller del av ett program som körs. Tyvärr vet skapare av skadlig programvara detta och är kända för att dölja skadlig programvara bakom namnen på legitima processer.
Här är några av de vanligaste kapade eller duplicerade processerna, tillsammans med var de ska placeras och hur man upptäcker en skadlig version.
1. Svchost.exe
Tjänstevärden, eller svchost.exe, är en process för delad tjänst. Det tillåter olika andra Windows-tjänster att dela processer. Detta hjälper till att minska resursanvändningen, vilket gör systemet mer effektivt. Du kommer nästan säkert att se mer än en instans av Svchost.exe i Aktivitetshanteraren, men detta är normalt. Om en eller flera av dessa filer äventyras av skadlig programvara kan du märka en tydlig minskning av prestanda.
De legitima Svchost-filerna ska finnas i C:\Windows\System32. Om du misstänker att den har kapats, kontrollera C:\Windows\Temp. Om du ser svchost.exe här kan det vara en skadlig fil. Skanna filen med ditt antivirusprogram och sätt den i karantän vid behov.
2. Explorer.exe
Explorer.exe är ansvarig för det grafiska skalet. Utan det skulle du inte ha någon aktivitetsfält, startmeny, filhanterare eller ens skrivbordet. Därför är det en viktig del av Windows och kan inte inaktiveras.
Flera virus kan använda filnamnet Explorer.exe för att gömma sig bakom, inklusive trojan.w32.ZAPCHAST. Den legitima filen kommer att finnas i C:\Windows. Om du hittar den i System32, bör du definitivt kontrollera det med ditt antivirusprogram.
3. Winlogon.exe
Winlogon.exe-processen är en viktig del av Windows OS. Den hanterar saker som att ladda användarprofilen under inloggning och låsa datorn när skärmsläckaren körs. Tyvärr, eftersom den hanterar säkerhetselement, är Windows Logon och winlogon.exe-processen vanliga mål för hot.
Flera trojanska virus, inklusive Vundo, kan döljas i eller förklädda som winlogon.exe. Den vanliga platsen för filen Winlogon.exe är C:\Windows\System32. Om du hittar den i C:\Windows\WinSecurity, det kan vara skadligt. En bra indikation på att processen har kapats är ovanligt hög minnesanvändning.
Virus och skadlig programvara gömmer sig inte bara bakom Windows-processer. Här är några andra sätt kan skadlig programvara förbli oupptäckt och gömma sig på din dator.
4. Csrss.exe
Client/Server Run-Time Subsystem, eller Csrss.exe, är en viktig Windows-process. Även om det inte är lika utbrett i moderna Windows-versioner, krävs det fortfarande av systemet och kan inte inaktiveras.
Nimda. E-virus har varit känt för att härma Csrss.exe-processen, även om det inte är det enda potentiella hotet. Den legitima filen bör finnas i System32 eller SysWOW64 mappar. Högerklicka på Csrss.exe-processen i Aktivitetshanteraren och välj Öppna filplats. Om den finns någon annanstans är det sannolikt en skadlig fil.
5. Lsass.exe
lsass.exe är en viktig process som ansvarar för säkerhetspolicyn på Windows. Den verifierar inloggningsnamnet och lösenordet, bland andra säkerhetsprocedurer. Det är osannolikt att processen kommer att kapas. Om den inte fungerar korrekt kommer du vanligtvis automatiskt att loggas ut från din dator. Men virus är kända för att använda filnamnet för att gömma sig.
Leta efter filen Lsass.exe i C:\Windows\System32. Det här är det enda stället du bör hitta det. Om du ser det på en annan plats, som t.ex C:\Windows\system eller C:\Program Files, agera med misstänksamhet och skanna filen med ditt antivirusprogram.
6. Services.exe
Services.exe-processen är ansvarig för att starta och stoppa olika viktiga Windows-tjänster. Liksom de andra Windows-processerna i den här listan, riktar sig virus och skadlig kod mot det eftersom det tillåter dem att gömma sig direkt.
Om filen kapas kan du märka problem under uppstart och avstängning av din PC. Leta efter den riktiga Services.exe-filen i System32 mapp. Om den finns någon annanstans, t.ex C:\Windows\ConnectionStatus, kan filen vara ett virus.
Processerna som nämns här är viktiga för att Windows ska fungera smidigt. Men alla är det inte, och många är oväsentliga processer kan till och med stängas för att hjälpa till med prestanda.
7. Spoolsv.exe
Windows Print Spooler Service, eller Spoolsv.exe, är en viktig del av utskriftsgränssnittet. Den körs i bakgrunden och väntar på att hantera saker som utskriftskön vid behov. Processen är inte beroende av att ha en skrivare ansluten, så du borde inte bli förvånad över att se den i Aktivitetshanteraren.
Kanske för att Spoolsv.exe lätt förbises kan ett virus ta namnet för att få sig att verka legitimt. True spools-filen finns i C:\Windows\System32. Den falska filen kommer ofta att dyka upp i C:\Windows, eller i en användarprofilmapp.
Hur kontrollerar du om en process är legitim?
Aktivitetshanteraren är din vän när du letar efter misstänkt aktivitet. Infekterade processer kommer ofta att bete sig oregelbundet och förbrukar mer CPU-kraft och minne än vad som är vanligt. Men det är inte alltid fallet, så här är några andra sätt att kontrollera att en process är legitim.
De flesta viktiga processer som listas här bör endast visas i mappen System32. Du kan enkelt kontrollera platsen för en misstänkt fil i Aktivitetshanteraren. Högerklicka på processen och välj Öppna filplats. Kontrollera sökvägen till mappen som öppnas för att säkerställa att filen är på rätt plats.
Ett annat sätt att se om en fil är legitim är att kontrollera storleken. De flesta av .exe-filerna för dessa viktiga processer kommer att vara mindre än 200 kb. Högerklicka på processnamnet i Aktivitetshanteraren, välj Egenskaper och titta på storleken. Om det verkar ovanligt stort, ta en närmare titt för att avgöra om det är säkert.
Du kan också kontrollera certifikatet för EXE-filen. En autentisk fil kommer att ha ett säkerhetscertifikat utfärdat av Microsoft. Om du ser något annat är det troligt att det är skadligt.
Det sista du ska göra är att skanna misstänkta filer med en uppdaterad antivirusskanner. Sätt i karantän och ta bort alla filer som har flaggats som infekterade. Lyckligtvis kommer moderna versioner av Windows med Microsoft Defender inbyggt, så lär dig hur man skannar en enskild fil eller mapp med Microsoft Defender för att kontrollera eventuella misstänkta filer du hittar.
Windows-processerna som kan gömma ett virus
En del av att skydda din Windows-dator från skadlig programvara och virus är att veta var de gömmer sig. Ibland kommer en skadlig fil att bete sig konstigt och använda för mycket CPU och minne. Men inte alltid. Så att upptäcka en misstänkt fil på andra sätt är en användbar färdighet.