Prosesser er en uunngåelig del av Windows, og det er ikke uvanlig å se dusinvis eller hundrevis av dem i Task Manager. Hver prosess er et program eller en del av et program som kjører. Dessverre vet skapere av skadelig programvare dette og er kjent for å skjule ondsinnet programvare bak navnene på legitime prosesser.
Her er noen av de oftest kaprede eller dupliserte prosessene, sammen med hvor de skal være plassert og hvordan du finner en ondsinnet versjon.
1. Svchost.exe
Tjenesteverten, eller svchost.exe, er en delt tjenesteprosess. Det lar forskjellige andre Windows-tjenester dele prosesser. Dette bidrar til å redusere ressursbruken, og gjør systemet mer effektivt. Du vil nesten helt sikkert se mer enn én forekomst av Svchost.exe i Task Manager, men dette er normalt. Hvis én eller flere av disse filene er kompromittert av skadelig programvare, kan du merke en tydelig reduksjon i ytelsen.
De legitime Svchost-filene skal finnes i C:\Windows\System32. Hvis du mistenker at den har blitt kapret, sjekk C:\Windows\Temp. Hvis du ser svchost.exe her, kan det være en skadelig fil. Skann filen med antivirusprogramvaren, og sett den i karantene om nødvendig.
2. Explorer.exe
Explorer.exe er ansvarlig for det grafiske skallet. Uten den ville du ikke ha noen oppgavelinje, startmeny, filbehandling eller til og med skrivebordet. Derfor er det en viktig del av Windows og kan ikke deaktiveres.
Flere virus kan bruke Explorer.exe-filnavnet til å gjemme seg bak, inkludert trojan.w32.ZAPCHAST. Den legitime filen vil være i C:\Windows. Hvis du finner det i System32, bør du definitivt sjekke det med antivirusprogramvaren din.
3. Winlogon.exe
Winlogon.exe-prosessen er en viktig del av Windows OS. Den håndterer ting som å laste inn brukerprofilen under pålogging og låse datamaskinen når skjermspareren kjører. Dessverre, fordi den håndterer sikkerhetselementer, er Windows-pålogging og winlogon.exe-prosessen vanlige mål for trusler.
Flere trojanske virus, inkludert Vundo, kan skjules i eller forkledd som winlogon.exe. Den vanlige plasseringen til Winlogon.exe-filen er C:\Windows\System32. Hvis du finner det i C:\Windows\WinSecurity, kan det være ondsinnet. En god indikasjon på at prosessen har blitt kapret er uvanlig høy minnebruk.
Virus og skadelig programvare gjemmer seg ikke bare bak Windows-prosesser. Her er det noe andre måter skadelig programvare kan forbli uoppdaget og gjemme seg på datamaskinen din.
4. Csrss.exe
Client/Server Run-Time Subsystem, eller Csrss.exe, er en viktig Windows-prosess. Selv om det ikke er så mye brukt i moderne Windows-versjoner, kreves det fortsatt av systemet og kan ikke deaktiveres.
Nimdaen. E-virus har vært kjent for å etterligne Csrss.exe-prosessen, selv om det ikke er den eneste potensielle trusselen. Den legitime filen skal være plassert i System32 eller SysWOW64 mapper. Høyreklikk på Csrss.exe-prosessen i Task Manager og velg Åpne fil plassering. Hvis den er plassert et annet sted, er det sannsynligvis en ondsinnet fil.
5. Lsass.exe
lsass.exe er en viktig prosess som er ansvarlig for sikkerhetspolicyen på Windows. Den verifiserer påloggingsnavnet og passordet, blant andre sikkerhetsprosedyrer. Det er lite sannsynlig at prosessen vil bli kapret. Hvis den ikke kjører som den skal, blir du vanligvis automatisk logget ut av datamaskinen. Men virus er kjent for å bruke filnavnet til å skjule.
Se etter Lsass.exe-filen i C:\Windows\System32. Dette er det eneste stedet du bør finne det. Hvis du ser det på et annet sted, som f.eks C:\Windows\system eller C:\Program Files, handle med mistenksomhet og skann filen med antivirusprogrammet ditt.
6. Services.exe
Services.exe-prosessen er ansvarlig for å starte og stoppe ulike viktige Windows-tjenester. I likhet med de andre Windows-prosessene i denne listen, retter virus og skadelig programvare mot det fordi det lar dem gjemme seg i vanlig syn.
Hvis filen blir kapret, kan du oppdage problemer under oppstart og avslutning av PC-en. Se etter den virkelige Services.exe-filen i System32 mappe. Hvis den er plassert et annet sted, for eksempel i C:\Windows\ConnectionStatus, kan filen være et virus.
Prosessene som er nevnt her er avgjørende for en jevn drift av Windows. Men ikke alle er det, og mange er ikke-essensielle prosesser kan til og med lukkes for å hjelpe med ytelsen.
7. Spoolsv.exe
Windows Print Spooler Service, eller Spoolsv.exe, er en viktig del av utskriftsgrensesnittet. Den kjører i bakgrunnen og venter på å administrere ting som utskriftskøen når det er nødvendig. Prosessen er ikke avhengig av å ha en skriver tilkoblet, så du bør ikke bli overrasket over å se den i Task Manager.
Kanskje fordi Spoolsv.exe lett blir oversett, kan et virus ta navnet for å få seg til å virke legitimt. Den sanne spoolfilen finner du i C:\Windows\System32. Den falske filen vil ofte vises i C:\Windows, eller i en brukerprofilmappe.
Hvordan sjekker du om en prosess er legitim?
Oppgavebehandlingen er din venn når du leter etter mistenkelig aktivitet. Infiserte prosesser vil ofte oppføre seg uberegnelig og forbruke mer CPU-kraft og minne enn det som er vanlig. Men det er ikke alltid tilfelle, så her er noen andre måter å sjekke at en prosess er legitim.
De fleste av de essensielle prosessene som er oppført her, skal bare vises i System32-mappen. Du kan enkelt sjekke plasseringen til en mistenkelig fil i Oppgavebehandling. Høyreklikk på prosessen og velg Åpne fil plassering. Sjekk banen til mappen som åpnes for å sikre at filen er på riktig sted.
En annen måte å finne ut om en fil er legitim, er å sjekke størrelsen. De fleste .exe-filene til disse essensielle prosessene vil være under 200 kb. Høyreklikk på prosessnavnet i Oppgavebehandling, velg Egenskaper og se på størrelsen. Hvis det virker uvanlig stort, ta en nærmere titt for å finne ut om det er trygt.
Du kan også sjekk sertifikatet til EXE-filen. En autentisk fil vil ha et sikkerhetssertifikat utstedt av Microsoft. Hvis du ser noe annet, er det sannsynligvis skadelig.
Den siste tingen å gjøre er å skanne mistenkte filer med en oppdatert antivirusskanner. Sett i karantene og fjern alle filer som er merket som infiserte. Heldigvis kommer moderne versjoner av Windows med Microsoft Defender innebygd, så lær deg hvordan du skanner en enkelt fil eller mappe med Microsoft Defender for å sjekke eventuelle mistenkelige filer du finner.
Windows-prosessene som kan skjule et virus
En del av å holde Windows-PCen din trygg mot skadelig programvare og virus er å vite hvor de gjemmer seg. Noen ganger vil en ondsinnet fil oppføre seg merkelig og bruke for mye CPU og minne. Men ikke alltid. Så å oppdage en mistenkelig fil på andre måter er en nyttig ferdighet.