Procesy Windows hrají důležitou roli ve správném provozu vašeho počítače nebo notebooku. Některé z nich, jako csrss.exe a winlogon.exe, jsou tak důležité, že pokud se je rozhodnete omylem ukončit, můžete skončit se zhroucením počítače. Autoři malwaru využívají tohoto životně důležitého k infikování zdravých systémů Windows. Předpokladem je, že viry, adware, spyware a trojské koně lze nazvat jakkoli – dokonce i pojmenovat podle standardních procesů systému Windows.
Jak zjistit, zda jsou procesy Windows legitimní
Existují dva způsoby, jak zkontrolovat, zda jsou procesy Windows legitimní nebo zda jsou zdrojem malwaru: prostřednictvím vlastností jejich aplikace a pomocí nástrojů třetích stran, jako je CrowdInspect od CrowdStrike.
1. Ověřte legitimitu procesů Windows podle jejich vlastností
Všechny autorizované soubory procesů Windows jsou propojeny s Microsoftem, oficiálním vývojářem softwaru/aplikací nebo s vestavěným účtem Microsoft, jako je TrustedInstaller.exe, který řídí složky, jako je WindowsApps.
Chcete-li zjistit, zda je proces Windows 11 nebo 10 legitimní a není zdrojem malwaru, musíte se podívat pod pokličku ve vlastnostech jeho aplikace. Přejděte na kartu "detaily" A hledejte oficiálního vlastníka autorských práv procesu. Pokud je to Microsoft, vývojář aplikací nebo TrustedInstaller, můžete začít.
Také ve Windows 11/10 můžete zkontrolovat kartu "digitální podpisy" na vlastnosti zpracování. Zde najdete oficiální digitální podpisy s nejnovějšími časovými razítky, které vám poskytují další vrstvu jistoty.
Protože podepisování je hnacím motorem těchto procesů Vyžaduje standardní oprávnění od společnosti Microsoft (Navíc je zabráněno jakémukoli neoprávněnému přístupu do kořenového adresáře zařízení Zabezpečené spouštění UEFI), je nyní pro autory malwaru nemožné falšovat digitální podpisy ve Windows 11.
Od banálních až po velmi důležité, jako services.exe .و "svchost.exe" Všechny procesy Windows 11 jsou digitálně podepsány s časovými razítky. Při každé úspěšné aktualizaci systému Windows je toto ověření ověřeno.
Na druhou stranu ve vlastnostech procesu Windows 10 může zcela chybět karta digitálních podpisů. Některé procesy také nemusí správně zobrazovat informace o autorských právech.
I v systému Windows 10 však tyto informace vždy zobrazují kritické interní systémové procesy, jako je Winlogon.exe. Autenticitu softwaru můžete ověřit jinými způsoby. Pokud navíc nainstalujete nepodepsané ovladače ve Windows 10 nebo 11, při následném restartu se neobjeví žádné digitální podpisy.
2. Zkontrolujte legitimitu procesů Windows pomocí CrowdInspect
V systému Windows 10 i Windows 11 můžete zkontrolovat platnost souboru procesu pomocí externí softwarové aplikace: CrowdInspect od CrowdStrike. CrowdInspect je bezplatný hostitelský nástroj pro skenování procesů v reálném čase, který na pozadí vyhledává malware pomocí detekčních nástrojů, jako je VirusTotal.
- Stáhněte si CrowdInspect ZIP soubor z oficiálního odkazu A kliknutím na dekomprimovaný program jej spusťte. Nemusíte nic instalovat.
- Přijměte licenční smlouvu a přejděte na obrazovku, kde můžete provést hybridní analýzu všech procesů na pozadí na vašem počítači se systémem Windows. Použijte vestavěný klíč API a klikněte na "OK".
3. Počkejte, až CrowdInspect zaplní vaši obrazovku úplnou sadou programů a procesů na pozadí ve vašem zařízení Windows.
Stav programů můžete zkontrolovat pomocí barevných kódů. Jakákoli čistá položka je označena zelenou ikonou. Pokud existují pochybnosti, uvidíte vedle ikony otazníky. U předmětů s nízkým rizikem je žlutá ikona. Vysoce rizikové položky jsou označeny červenou ikonou. Pokud je zařízení v pořádku, neuvidíte žádné žluté ani červené ikony.
4. Chcete-li dále ověřit, že neexistují žádné problémy s malwarem, klikněte pravým tlačítkem na proces a klikněte na Zobrazit výsledky testu HA. Neměli byste si všimnout žádných chyb, jedná se o bezpečné označení, že se nejedná o žádný malware.
Seznam běžných procesů Windows 11/10, které vypadají jako malware
1. explorer.exe
Univerzální program průzkumníka souborů Windows, explorer.exe, je snadno dostupný z hlavního panelu a plochy. Jeho hlavním účelem je fungovat jako správce souborů pro všechny soubory a složky vašeho zařízení s Windows 11/10. Pro svou zásadní důležitost je explorer.exe oblíbeným cílem útočníků.
Detekce virů: Malware explorer.exe se obvykle objevuje jako trojské koně, ransomware (zejména e-mail) a soubory Adobe Flash. Legitimní software je vždy k nalezení na "C:\Windows", Na jednotce D, programových souborech, skrytých složkách nebo v jakémkoli jiném umístění počítače se mohou objevit duplikáty.
Akce: Pokud jsou na vašem počítači dvě až tři instance explorer.exe, neměli byste si dělat starosti, pokud mají všechny platné digitální podpisy a umístění. Pokud CPU spotřebovává více procesů, vyberte fiktivní procesy v CrowdInspect a poté klikněte pravým tlačítkem K zastavení procesu.
2.lsass.exe
lsass.exe je zkratka pro Local Security Authority Subsystem Service, která běží za ověřováním uživatele systému Windows. Kromě malwaru byste nikdy neměli ukončit původní procesy, protože to povede ke ztrátě přístupu vašeho systému Účty správce a místní účty , což způsobí restart zařízení.
Detekce virů: Běžnou metodou používanou autory malwaru k maskování lsass je nahrazení malých písmen "L" s dopisem "I" velkými nebo velkými písmeny "L." Dejte si pozor na jakékoli úmyslné překlepy. Také všechny neplatné digitální podpisy a soubory jsou mimo složku „C: \ Windows \ System32“ Je to zjevný dar.
Akce: Ukončete fiktivní procesy lsass ze správce úloh. Pokud si nejste jisti, zda charakter "L" Matka "I" , udělejte totéž z CrowdInspect. Více platných instancí lsass je v pořádku a není třeba si s nimi zahrávat.
3. RuntimeBroker.exe
RuntimeBroker.exe je zabezpečený proces společnosti Microsoft, jehož úkolem je spravovat oprávnění všech aplikací stažených z obchodu Microsoft Store. Ověřuje pravost softwaru, jako je aplikace Fotky. Pokud nějaká aplikace nepatří do vašeho počítače se systémem Windows, Runtime Broker vás upozorní tím, že spotřebovává příliš mnoho paměti navíc.
Detekce virů: Pokud je váš počítač se systémem Windows infikován virem RuntimeBroker.exe, uvidíte jeho přítomnost v jiných umístěních počítače než "C:\Windows\System32." Protože je software nelegální, úniky paměti dramaticky narostou a přetíží váš procesor. U falešných případů si také všimnete neplatného digitálního podpisu.
Akce: Otevřeno Správce úloh. Klikněte Více instancí Platí pro Runtime Broker a klikněte "dokončit práci". Tím ukončíte všechny problémy s konkrétní aplikací. U falešných záznamů RuntimeBroker.exe je ukončete z CrowdInspect.
4.winlogon.exe
Pokud jde o procesy na pozadí Windows, nic není ve schématu věcí důležitější než winlogon.exe. Nejenže řídí proces přihlašování, ale také načítá uživatelské profily, ovládá spořič obrazovky a připojuje se k více sítím. Je umístěn v "C:\Windows\System32."
Detekce virů: Obvykle spyware nebo keylogger, winlogon.exe je velmi nebezpečný malware, který může způsobit, že systémy začnou padat, což lze snadno identifikovat. Pokud máte spuštěný Windows Defender, upozorní vás na okamžité smazání souboru a ukončení všech použitých vektorů (e-mail, webový prohlížeč).
Akce: Bezpečný spustitelný soubor winlogon.exe nebude obsahovat více než jednu instanci v CrowdInspect. Další falešné instance by měly být po příjezdu odstraněny pomocí návrhů programu Windows Defender.
5. svchost.exe
Svchost.exe odkazuje na Hostitel služby Windows , což je proces sdílené služby, který funguje jako shell pro načítání různých služeb Windows. V závislosti na počtu otevřených aplikací je obvykle mnoho instancí svchost.exe spuštěných jako jednotlivé procesy.
Detekce virů: Na smyčku malwaru svchost.exe narazíte, když najde chráněnou složku nebo program, který je blokován duplicitním procesem nebo pravopisnými proměnnými, jako je "svhosts.exe". Většinou se jedná o ransomware nebo nástroje bankovních podvodů. Jejich zdrojové vektory zahrnují PDF, ZIP soubory a JavaScript.
Akce: Tyto trojské koně jsou obvykle hrozbou nízké úrovně, ale měly by být co nejdříve odstraněny. Standardní antivirové nástroje a Windows Defender jsou vybaveny k odstranění všech hostitelských instancí služby, které nejsou v "C:\Windows\System32".
6. OfficeClickToRun.exe
Pokud používáte nástroje Office – jako je Word, Excel nebo PowerPoint – pak jste narazili na spustitelný soubor s názvem OfficeClickToRun.exe. Jeho úkolem je spouštět nejnovější verze Microsoft Office na vašem zařízení a zpracovávat aktualizace. I když se nejedná o malware, OfficeClickToRun.exe může zabírat paměť na vašem CPU. Pokud však dočasné soubory pravidelně odstraňujete, bude to mnohem menší zátěž.
Detekce virů: Je spustitelný soubor umístěn jinde než Program Files ve sdílené složce Microsoft? Další soubor není pro váš systém v pořádku. Ve vašem počítači se systémem Windows by také měla být spuštěna pouze jedna instance OfficeClickToRun.exe. Ověřte digitální podpisy všech ostatních.
Akce: Ačkoli to samo o sobě není škodlivé, falešné instance OfficeClickToRun.exe mohou ucpat vaši systémovou paměť. Obvykle narazí na infikované soubory a dokumenty, které musí být okamžitě smazány.
7.igfxem.exe
igfxEM.exe je neznámý proces na pozadí, který je nezbytný pro správu grafické karty Intel, a proto je velmi důležitý pro zobrazení grafické karty. Dodává se předinstalovaný na vašem zařízení a měl by být ponechán sám, protože pro systém není vůbec zátěží.
Detekce virů: Pokud máte více než jednu instanci igfxEM (a překlepy, jak je uvedeno), ověřte správnost digitálních podpisů. Pokud zobrazuje Intel a Microsoft, pak nejde o žádný malware. Jinak nemáte původní soubor igfxEM a tento proces by měl být odstraněn.
Akce: Pokud máte platné digitální podpisy, neměli byste nic dělat – dokonce ani s více instancemi Intel. Pokud se zdá, že vaše původní grafická karta Intel je poškozená, zkuste přeinstalovat ovladač z "devmgmt. msc", Správce zařízení v nabídce Start.
8.Csrss.exe
Csrss.exe je zkratka pro Client Server Runtime Subsystem a je to legitimní uživatelský proces určený ke správě aktivit Windows Graphics, jako je vypínání GUI a služeb systémové konzoly. Je velmi časté zaměňovat jej s malwarem. Jejich ukončení může být pro váš systém fatální, což má za následek zaručenou havárii.
Detekce virů: Stejně jako ostatní programy v „C:\Windows\System32“ , csrss.exe zůstává tiše na pozadí a v CrowdInspect najdete pouze jednu nebo dvě instance. Jakékoli podezřelé soubory budou obsahovat neplatné digitální podpisy a ztratí podrobnosti o autorských právech.
Akce: csrss.exe je často používán nepoctivými společnostmi zabývajícími se bezpečnostním softwarem a technickými podvodníky jako „důkaz“, že je zařízení infikováno. Toto není skutečný malware, takže byste nikdy neměli ukončit aktuální proces kvůli nesprávným technickým radám.
9. Soubor GoogleCrashHandler.exe
Pokud máte na svém počítači se systémem Windows nějaké programy Google, včetně Google Chrome, najdete spustitelný soubor s názvem GoogleCrashHandler.exe, který je součástí balíčků Google Updater. Toto není kritická součást systému Windows a lze ji bezpečně a snadno odstranit, ale ne vždy se jedná o škodlivý software.
Detekce virů: Pokud je digitální podpis Google CrashHandler.exe neplatný, to znamená, že není podepsán společností Google, pak hledáme možné známky infekce spywarem nebo rootkitem, protože normální provoz je bezpečný.
Akce: Odeberte všechny nebo všechny instance GoogleCrashHandler.exe ze správce úloh systému, i když se vždy nejedná o malware. Nechcete zbytečně zatěžovat CPU, pokud nechcete posílat zprávy o selhání do Googlu.
10.Spoolsv.exe
Spoolsv.exe je nativní proces Windows integrovaný se službou Printing Spooler, který překládá písma a grafiku na hardware tiskárny a jakékoli virtuální tiskárny. Toto je základní proces Windows, který existuje již od počátku systému MS-DOS. Ukončení jakékoli platné položky pro proces spoolsv.exe způsobí selhání zařízení a restartování systému.
Detekce virů: Ačkoli to vypadá jako nějaký malware, spoolsv.exe je bezpečný a legitimní proces pro Windows. Jakékoli další procesy budou postrádat digitální podpisy od společnosti Microsoft. Pokud autoři malwaru používají podobný název k cílení na váš systém, Windows Defender by vás měl upozornit.
Akce: Pokud byl proces spoolsv.exe ověřen digitálním podpisem společnosti Microsoft, neměla by být provedena žádná akce. V opačném případě přejděte do správce úloh a proces ukončete.
11. Správce úloh
Správce úloh systému Windows (taskmgr.exe) je velmi důležitý program, který řídí všechny základní procesy Windows a také aplikace. Vypnutí tohoto kořenového programu a jeho derivátů, jako je taskhostw.exe, může být pro váš systém fatální a autoři malwaru jsou si toho vědomi.
Detekce virů: Pokud máte pocit, že program spojený se Správcem úloh nefunguje správně, zkontrolujte umístění jeho souboru, které by mělo být na "C:\Windows\System32". Restartujte zařízení, abyste zjistili, zda problém zmizel. Pokud podezřelá instance Správce úloh přetrvává, vyhledáme možný malware. Dalším znakem je jeho digitální podpis, který bude neplatný.
Akce: Lze zadat libovolné "Správce úloh" – Stejně jako spustitelný soubor – infikován malwarem a ukončen ze samotného správce úloh. Pokud však čelíte chybě TaskSchedulerHelper.dll v systému Windows 10, proveďte nápravné kroky, jak je uvedeno na obrázku.
Shrnutí: Varovné signály malwaru, které jsou podobné procesům Windows
Zde je rychlé shrnutí, jak se vypořádat s jakýmikoli podezřelými procesy, které jsou podobné standardním procesům systému Windows. Můžete nebo nemusíte mít co do činění s nějakým malwarem, ale je důležité tyto varovné signály sledovat.
- Zkontrolujte podrobnosti o vlastnostech aplikace pro správná autorská práva: Každý program ve Windows 11 a Windows 10 má umístění souboru. Odtud můžete přistupovat "detaily" v záložce "Vlastnosti". Ujistěte se, že autorská práva patří systému Windows, TrustedInstaller nebo legitimním vlastníkům procesů, jako je Google, Intel, NVIDIA atd. Pokud ne, hledáme možný zdroj malwaru, který je potřeba ze systému odstranit.
- Zkontrolujte využití procesoru pro programy Windows Process: Je normální, že využití procesoru Windows prudce stoupá, když několik systémů spolupracuje. Mnoho případů stejného softwaru zpomalujícího systém však vyvolává obavy. Nepotřebné programy by měly být identifikovány a okamžitě uzavřeny.
- Zkontrolujte, zda podezřelé procesy Windows neobsahují digitální podpisy: Toto je nejdůležitější a nejjednodušší způsob ověření procesu. Pokud digitální podpis procesu není platný a nepochází z důvěryhodných zdrojů, je vysoká pravděpodobnost, že se jedná o malware.
- Zkontrolujte umístění souborů podezřelých procesů: Většina procesů souborů systému Windows má ve vašem počítači dobře definované umístění. Může to být buď „C:\Windows\System32“ , Program Files nebo nějaké jiné dobře definované umístění. Instance tohoto procesu byste neměli najít v jiných oblastech, jako je jednotka D, protože to naznačuje možný malware.
Často kladené otázky
Otázka 1. Co je třeba udělat, pokud je určitý proces Windows již škodlivý?
Odpovědět. Žádný legitimní proces Windows nemůže poškodit váš systém. Pokud však existují duplicitní instance takových procesů obsahujících malware, přejděte na CrowdInspect, klikněte pravým tlačítkem na proces a poté klikněte na "Ukončit proces". Pokud je spuštěn program Windows Defender, postará se o tyto instance malwaru. Přečtěte si také, proč Windows Defender je jediný antivirus, který potřebujete.
Otázka 2: Co se stane, když je ukončen platný proces systému Windows a jak se odtud obnovíte?
Odpovědět. Pokud omylem ukončíte platný proces Windows, následky budou záviset na tom, jak kritický je proces pro váš systém. Pokud se jedná o zbytečný softwarový proces, nebude to mít žádný dopad na počítač se systémem Windows.
U vysoce účinných procesů, jako jsou winlogon.exe a csrss.exe, má systém Windows vestavěný mechanismus, který zabraňuje jejich náhodnému ukončení. Pokud však vytrváte a pokusíte se zabít systém ze správce úloh, vaše zařízení se samo vypne a bude vyžadovat restart. V nejhorším případě to může vést k úplnému výpadku proudu a trvalému poškození v důsledku roztavení.
Pokud je součástí plánovaného spuštění a údržby systému Windows proces s nízkým dopadem, systém ohlásí kritickou poruchu a automaticky jej vypnout. po spuštění , problém zmizí.
