Processer er en uundgåelig del af Windows, og det er ikke usædvanligt at se snesevis eller hundredvis af dem i Task Manager. Hver proces er et program eller en del af et program, der kører. Desværre ved malware-skabere dette og er kendt for at skjule ondsindet software bag navnene på legitime processer.
Her er nogle af de mest almindeligt kaprede eller duplikerede processer, sammen med hvor de skal placeres, og hvordan man finder en ondsindet version.
1. Svchost.exe
Serviceværten eller svchost.exe er en delt serviceproces. Det tillader forskellige andre Windows-tjenester at dele processer. Dette er med til at reducere ressourceforbruget, hvilket gør systemet mere effektivt. Du vil næsten helt sikkert se mere end én forekomst af Svchost.exe i Task Manager, men dette er normalt. Hvis en eller flere af disse filer er kompromitteret af malware, vil du muligvis bemærke en markant reduktion i ydeevnen.
De legitime Svchost-filer skal findes i C:\Windows\System32. Hvis du har mistanke om, at den er blevet kapret, så tjek C:\Windows\Temp. Hvis du ser svchost.exe her, kan det være en ondsindet fil. Scan filen med din antivirussoftware, og sæt den i karantæne, hvis det er nødvendigt.
2. Explorer.exe
Explorer.exe er ansvarlig for den grafiske shell. Uden det ville du ikke have nogen proceslinje, startmenu, filhåndtering eller endda skrivebordet. Derfor er det en væsentlig del af Windows og kan ikke deaktiveres.
Flere vira kan bruge Explorer.exe-filnavnet til at gemme sig bagved, herunder trojan.w32.ZAPCHAST. Den legitime fil vil være i C:\Windows. Hvis du finder det i System 32, bør du helt sikkert tjekke det med din antivirussoftware.
3. Winlogon.exe
Winlogon.exe-processen er en vigtig del af Windows OS. Den håndterer ting som at indlæse brugerprofilen under login og låse computeren, når pauseskærmen kører. Desværre, fordi det håndterer sikkerhedselementer, er Windows Logon og winlogon.exe-processen almindelige mål for trusler.
Adskillige trojanske vira, inklusive Vundo, kan være skjult i eller forklædt som winlogon.exe. Den sædvanlige placering af filen Winlogon.exe er C:\Windows\System32. Hvis du finder det i C:\Windows\WinSecurity, kan det være ondsindet. En god indikation på, at processen er blevet kapret, er usædvanligt højt hukommelsesforbrug.
Virus og malware gemmer sig ikke kun bag Windows-processer. Her er nogle andre måder, hvorpå malware kan blive uopdaget og gemme sig på din computer.
4. Csrss.exe
Client/Server Run-Time Subsystem, eller Csrss.exe, er en vigtig Windows-proces. Selvom det ikke er så udbredt i moderne Windows-versioner, kræves det stadig af systemet og kan ikke deaktiveres.
Nimdaen. E-virus har været kendt for at efterligne Csrss.exe-processen, selvom det ikke er den eneste potentielle trussel. Den legitime fil skal være placeret i System 32 eller SysWOW64 mapper. Højreklik på Csrss.exe-processen i Task Manager og vælg Åbn filplacering. Hvis det er placeret et andet sted, er det sandsynligvis en ondsindet fil.
5. Lsass.exe
lsass.exe er en vigtig proces, der er ansvarlig for sikkerhedspolitikken på Windows. Det verificerer loginnavnet og adgangskoden, blandt andre sikkerhedsprocedurer. Det er usandsynligt, at processen bliver kapret. Hvis den ikke kører korrekt, bliver du normalt automatisk logget ud af din computer. Men virus er kendt for at bruge filnavnet til at skjule.
Se efter filen Lsass.exe i C:\Windows\System32. Dette er det eneste sted, du bør finde det. Hvis du ser det et andet sted, som f.eks C:\Windows\system eller C:\Program Files, handle med mistænksomhed og scan filen med dit antivirus.
6. Services.exe
Services.exe-processen er ansvarlig for at starte og stoppe forskellige vigtige Windows-tjenester. Ligesom de andre Windows-processer på denne liste, er virus og malware rettet mod det, fordi det giver dem mulighed for at gemme sig i almindelighed.
Hvis filen er kapret, kan du bemærke problemer under opstart og nedlukning af din pc. Se efter den rigtige Services.exe-fil i System 32 folder. Hvis det er placeret et andet sted, som f.eks C:\Windows\ConnectionStatus, kan filen være en virus.
De processer, der er nævnt her, er essentielle for, at Windows kan køre glat. Men ikke alle er det, og mange er ikke-essentielle processer kan endda lukkes for at hjælpe med ydeevnen.
7. Spoolsv.exe
Windows Print Spooler Service, eller Spoolsv.exe, er en vigtig del af udskrivningsgrænsefladen. Den kører i baggrunden og venter på at styre ting som printkøen, når det kræves. Processen er ikke afhængig af at have en printer tilsluttet, så du bør ikke blive overrasket over at se den i Task Manager.
Måske fordi Spoolsv.exe let overses, kan en virus tage navnet for at få sig selv til at virke legitim. Den ægte spool-fil kan findes i C:\Windows\System32. Den falske fil vil ofte dukke op i C:\Windows, eller i en brugerprofilmappe.
Hvordan kontrollerer du, om en proces er legitim?
Task Manager er din ven, når du leder efter mistænkelig aktivitet. Inficerede processer vil ofte opføre sig uregelmæssigt og forbruge mere CPU-strøm og hukommelse end normalt. Men det er ikke altid tilfældet, så her er nogle andre måder at kontrollere, at en proces er legitim.
De fleste af de væsentlige processer, der er anført her, bør kun vises i mappen System32. Du kan nemt kontrollere placeringen af en mistænkelig fil i Task Manager. Højreklik på processen og vælg Åbn filplacering. Kontroller stien til den mappe, der åbnes, for at sikre, at filen er på det rigtige sted.
En anden måde at se, om en fil er legitim, er at kontrollere størrelsen. De fleste af .exe-filerne i disse væsentlige processer vil være under 200 kb. Højreklik på procesnavnet i Task Manager, vælg Ejendomme og se på størrelsen. Hvis det virker usædvanligt stort, så tag et nærmere kig for at afgøre, om det er sikkert.
Du kan også tjek certifikatet for EXE-filen. En autentisk fil vil have et sikkerhedscertifikat udstedt af Microsoft. Hvis du ser noget andet, er det sandsynligvis ondsindet.
Den sidste ting at gøre er at scanne mistænkelige filer med en opdateret antivirusscanner. Sæt i karantæne og fjern alle filer, der er markeret som inficerede. Heldigvis kommer moderne versioner af Windows med Microsoft Defender indbygget, så lær det hvordan man scanner en enkelt fil eller mappe med Microsoft Defender for at kontrollere eventuelle mistænkelige filer, du finder.
Windows-processerne, der muligvis skjuler en virus
En del af at holde din Windows-pc sikker mod malware og vira er at vide, hvor de gemmer sig. Nogle gange vil en ondsindet fil opføre sig mærkeligt og bruge for meget CPU og hukommelse. Men ikke altid. Så at opdage en mistænkelig fil på andre måder er en nyttig færdighed.
