11 legitime Windows-Prozesse, die als Malware erscheinen können

Windows-Prozesse spielen eine wichtige Rolle für den ordnungsgemäßen Betrieb Ihres Computers oder Laptops. Einige von ihnen, wie csrss.exe und winlogon.exe, sind so kritisch, dass Sie Ihren Computer zum Absturz bringen können, wenn Sie sich entscheiden, sie versehentlich zu beenden. Malware-Autoren nutzen dies aus, um gesunde Windows-Systeme zu infizieren. Die Prämisse ist, dass Viren, Adware, Spyware und Trojanische Pferde beliebig benannt werden können – sogar nach Standard-Windows-Systemprozessen.

Hier sind einige der führenden Windows 11- und 10-Prozesse, die oft mit gleichnamiger Malware verwechselt werden. Erfahren Sie, wie Sie Fälschungen erkennen, wenn sie auf Ihrem System erscheinen.

So erkennen Sie, ob Windows-Prozesse legitim sind

Es gibt zwei Möglichkeiten, um zu überprüfen, ob Windows-Prozesse legitim oder eine Quelle von Malware sind: über ihre Anwendungseigenschaften und mithilfe von Tools von Drittanbietern wie CrowdInspect von CrowdStrike.

1. Überprüfen Sie die Legitimität von Windows-Prozessen anhand ihrer Eigenschaften

Alle autorisierten Windows-Prozessdateien sind mit Microsoft, dem offiziellen Software-/Anwendungsentwickler oder einem integrierten Microsoft-Konto wie TrustedInstaller.exe verbunden, das Ordner wie WindowsApps verwaltet.

Um festzustellen, ob ein Windows 11- oder 10-Prozess legitim und keine Quelle von Malware ist, müssen Sie in seinen Anwendungseigenschaften hinter die Kulissen schauen. Gehen Sie zur Registerkarte "die Details" Und suchen Sie nach dem offiziellen Urheberrechtsinhaber des Prozesses. Wenn es sich um Microsoft, einen App-Entwickler oder TrustedInstaller handelt, können Sie loslegen.

Auch in Windows 11/10 können Sie die Registerkarte überprüfen "digitale Signaturen" Eigenschaften zu verarbeiten. Hier finden Sie offizielle digitale Signaturen mit den neuesten Zeitstempeln, die Ihnen zusätzliche Sicherheit bieten.

Denn Signieren ist ein Treiber für diese Prozesse Erfordert Standardberechtigungen von Microsoft (Außerdem wird jeder unbefugte Zugriff auf das Root des Geräts verhindert durch Sicherer UEFI-Start) ist es für Malware-Autoren nun unmöglich, digitale Signaturen in Windows 11 zu fälschen.

Von banal bis sehr wichtig, wie services.exe أو „svchost.exe“ Alle Windows 11-Prozesse sind mit Zeitstempeln digital signiert. Bei jedem erfolgreichen Windows-Update wird diese Authentifizierung überprüft.

Auf der anderen Seite fehlt in den Prozesseigenschaften von Windows 10 möglicherweise eine Registerkarte für digitale Signaturen vollständig. Außerdem zeigen einige Prozesse Urheberrechtsinformationen möglicherweise nicht korrekt an.

Aber selbst unter Windows 10 zeigen geschäftskritische interne Systemprozesse wie Winlogon.exe diese Informationen immer an. Sie können die Echtheit der Software auf andere Weise überprüfen. Wenn Sie unsignierte Treiber in Windows 10 oder 11 installieren, werden außerdem bei einem nachfolgenden Neustart keine digitalen Signaturen angezeigt.

2. Prüfen Sie die Legitimität von Windows-Prozessen mit CrowdInspect

Sowohl unter Windows 10 als auch unter Windows 11 können Sie die Gültigkeit einer Prozessdatei mit einer externen Softwareanwendung überprüfen: CrowdInspect von CrowdStrike. CrowdInspect ist ein kostenloses hostbasiertes Prozess-Scan-Tool in Echtzeit, das im Hintergrund mithilfe von Erkennungsmodulen wie VirusTotal nach Malware sucht.

1. Laden Sie die CrowdInspect-ZIP-Datei über den offiziellen Link herunter Und klicken Sie auf das dekomprimierte Programm, um es auszuführen. Sie müssen nichts installieren.
2. Akzeptieren Sie die Lizenzvereinbarung und gehen Sie zu dem Bildschirm, auf dem Sie eine hybride Analyse aller Hintergrundprozesse auf Ihrem Windows-Rechner durchführen können. Verwenden Sie den integrierten API-Schlüssel und klicken Sie auf "OK".

3. Warten Sie, bis CrowdInspect Ihren Bildschirm mit allen Hintergrundprogrammen und -prozessen auf Ihrem Windows-Gerät gefüllt hat.

Sie können den Status von Programmen anhand von Farbcodes überprüfen. Alle sauberen Elemente werden mit einem grünen Symbol gekennzeichnet. Im Zweifelsfall sehen Sie Fragezeichen neben dem Symbol. Bei Gegenständen mit geringem Bedrohungsrisiko gibt es ein gelbes Symbol. Gegenstände mit hohem Risiko sind mit einem roten Symbol gekennzeichnet. Sie sehen keine gelben oder roten Symbole, wenn Ihr Gerät in Ordnung ist.

4. Um weiter zu überprüfen, ob keine Malware-Bedenken bestehen, klicken Sie mit der rechten Maustaste auf den Prozess und klicken Sie auf HA-Testergebnisse anzeigen. Sie sollten keine Fehler bemerken, dies ist ein sicherer Hinweis darauf, dass Sie es nicht mit Malware zu tun haben.

Liste gängiger Windows 11/10-Prozesse, die wie Malware aussehen

1. explorer.exe

Das universelle Datei-Explorer-Programm von Windows, explorer.exe, ist über die Taskleiste und den Desktop leicht zugänglich. Sein Hauptzweck besteht darin, als Dateimanager für alle Dateien und Ordner Ihres Windows 11/10-Geräts zu fungieren. Aufgrund ihrer lebenswichtigen Bedeutung ist explorer.exe ein beliebtes Ziel für Angreifer.

Virenerkennung: Die explorer.exe-Malware erscheint normalerweise als Trojaner, Ransomware (insbesondere E-Mail) und Adobe Flash-Dateien. Die legitime Software ist immer unter zu finden „C:\Windows“, Duplikate können in Laufwerk D, Programmdateien, versteckten Ordnern oder anderen Computerspeicherorten erscheinen.

Aktion: Wenn auf Ihrem Computer zwei bis drei Instanzen von explorer.exe vorhanden sind, sollten Sie sich keine Sorgen machen, solange sie alle gültige digitale Signaturen und Speicherorte haben. Wenn mehrere Prozesse CPU verbrauchen, wählen Sie Dummy-Prozesse in CrowdInspect aus und klicken Sie dann mit der rechten Maustaste Um den Prozess zu stoppen.

2.lsass.exe

lsass.exe steht für Local Security Authority Subsystem Service, der hinter der Windows-Benutzerauthentifizierung läuft. Abgesehen von Malware sollten Sie niemals die ursprünglichen Prozesse beenden, da dies dazu führt, dass Ihr System den Zugriff darauf verliert Administratorkonten und lokale Konten , wodurch das Gerät neu gestartet wird.

Virenerkennung: Eine gängige Methode, die von Malware-Autoren verwendet wird, um lsass zu verschleiern, besteht darin, den Kleinbuchstaben zu ersetzen "L" mit einem Brief "ich" in Groß- oder Großbuchstaben „L.“ Achten Sie auf absichtliche Rechtschreibfehler. Außerdem befinden sich alle ungültigen digitalen Signaturen und Dateien außerhalb des Ordners "C: \ Windows \ System32" Es ist ein offensichtliches Geschenk.

Aktion: Beenden Sie lsass-Dummy-Prozesse aus dem Task-Manager. Wenn Sie sich nicht sicher sind, ob der Charakter "L" Mutter "ich" , machen Sie dasselbe von CrowdInspect. Mehrere gültige lsass-Instanzen sind in Ordnung und sollten nicht verfälscht werden.

3. RuntimeBroker.exe

RuntimeBroker.exe ist ein sicherer Microsoft-Prozess, dessen Aufgabe es ist, die Berechtigungen aller aus dem Microsoft Store heruntergeladenen Apps zu verwalten. Überprüft die Authentizität von Software wie der Fotos-App. Wenn eine Anwendung nicht auf Ihren Windows-Rechner gehört, warnt Sie Runtime Broker, weil zu viel zusätzlicher Speicher verbraucht wird.

Virenerkennung: Wenn Ihr Windows-Computer mit dem RuntimeBroker.exe-Virus infiziert ist, sehen Sie seine Anwesenheit an anderen Computerstandorten als „C:\Windows\System32.“ Da die Software nicht legitim ist, werden Speicherlecks in die Höhe schnellen und Ihre CPU überlasten. Sie werden auch eine ungültige digitale Signatur für Scheinfälle bemerken.

Aktion: Öffnen Taskmanager. Klicken Mehrere Instanzen Gültig für Runtime Broker und click "Beende die Aufgabe". Dadurch werden alle Probleme mit einer bestimmten App beendet. Beenden Sie gefälschte RuntimeBroker.exe-Einträge von CrowdInspect.

4.winlogon.exe

Wenn es um Windows-Hintergrundprozesse geht, ist nichts wichtiger als winlogon.exe. Es regelt nicht nur den Anmeldeprozess, sondern lädt auch Benutzerprofile, steuert den Bildschirmschoner und verbindet sich mit mehreren Netzwerken. Es liegt in „C:\Windows\System32.“

Virenerkennung: Winlogon.exe ist normalerweise eine Spyware oder ein Keylogger und eine sehr gefährliche Malware, die zum Absturz von Systemen führen kann, was leicht zu identifizieren ist. Wenn Sie Windows Defender laufen haben, werden Sie gewarnt, die Datei sofort zu löschen und alle verwendeten Vektoren (E-Mail, Webbrowser) zu beenden.

Aktion: Die sichere ausführbare Datei winlogon.exe enthält nicht mehr als eine Instanz in CrowdInspect. Andere gefälschte Instanzen sollten bei der Ankunft mithilfe von Windows Defender-Vorschlägen gelöscht werden.

5. svchost.exe

Svchost.exe bezieht sich auf Windows-Diensthost , bei dem es sich um einen gemeinsam genutzten Dienstprozess handelt, der als Shell zum Laden verschiedener Windows-Dienste dient. Abhängig von der Anzahl geöffneter Anwendungen werden normalerweise viele Instanzen von svchost.exe als einzelne Prozesse ausgeführt.

Virenerkennung: Sie werden auf eine svchost.exe-Malware-Schleife stoßen, wenn sie einen geschützten Ordner oder ein geschütztes Programm findet, das durch einen doppelten Prozess oder Rechtschreibvariablen wie blockiert wird „svhosts.exe“. Dabei handelt es sich meist um Ransomware oder Bankbetrugstools. Zu ihren Quellvektoren gehören PDFs, ZIP-Dateien und JavaScript.

Aktion: Diese Trojaner stellen in der Regel eine Bedrohung auf niedrigem Niveau dar, sollten jedoch so schnell wie möglich entfernt werden. Standard-Antivirus-Tools und Windows Defender sind so ausgestattet, dass sie alle Hostinstanzen des Dienstes löschen können, die sich nicht in der befinden "C:\Windows\System32".

6. OfficeClickToRun.exe

Wenn Sie Office-Tools wie Word, Excel oder PowerPoint verwenden, sind Sie auf eine ausführbare Datei namens OfficeClickToRun.exe gestoßen. Seine Aufgabe ist es, die neuesten Versionen von Microsoft Office auf Ihrem Gerät auszuführen und Updates zu verarbeiten. Auch wenn es sich nicht um Malware handelt, kann OfficeClickToRun.exe ein Speicherfresser auf Ihrer CPU sein. Wenn Sie temporäre Dateien jedoch regelmäßig löschen, ist dies eine viel geringere Belastung.

Virenerkennung: Befindet sich die ausführbare Datei an einem anderen Ort als den Programmdateien im freigegebenen Ordner von Microsoft? Die zusätzliche Datei ist für Ihr System nicht fehlerfrei. Außerdem sollte auf Ihrem Windows-Computer nur eine Instanz von OfficeClickToRun.exe ausgeführt werden. Überprüfen Sie die digitalen Signaturen aller anderen.

Aktion: Obwohl es an sich nicht schädlich ist, können gefälschte Instanzen von OfficeClickToRun.exe Ihren Systemspeicher verstopfen. Meist stoßen sie dabei auf infizierte Dateien und Dokumente, die umgehend gelöscht werden müssen.

7.igfxem.exe

igfxEM.exe ist ein unbekannter Hintergrundprozess, der für die Verwaltung der Intel-Grafikkarte notwendig und daher sehr wichtig für die Anzeige der Grafikkarte ist. Es ist auf Ihrem Gerät vorinstalliert und sollte in Ruhe gelassen werden, da es das System überhaupt nicht belastet.

Virenerkennung: Wenn Sie mehr als eine Instanz von igfxEM haben (und Rechtschreibfehler wie angegeben), überprüfen Sie, ob die digitalen Signaturen korrekt sind. Wenn Intel und Microsoft angezeigt werden, ist keine Malware vorhanden. Andernfalls haben Sie keine ursprüngliche igfxEM-Datei und dieser Prozess sollte entfernt werden.

Aktion: Sie sollten nichts unternehmen, wenn Sie über gültige digitale Signaturen verfügen – selbst bei mehreren Intel-Instanzen. Wenn Ihre ursprüngliche Intel-Grafikkarte beschädigt zu sein scheint, versuchen Sie, den Treiber neu zu installieren „devmgmt.msc“, Geräte-Manager im Startmenü.

8.Csrss.exe

Csrss.exe steht für Client Server Runtime Subsystem und ist ein legitimer Benutzerprozess, der dazu bestimmt ist, Windows Graphics-Aktivitäten zu verwalten, wie z. B. das Herunterfahren von GUI- und Systemkonsolendiensten. Es ist sehr üblich, es mit Malware zu verwechseln. Ihre Beendigung kann für Ihr System fatal sein und garantiert zu einem Absturz führen.

Virenerkennung: Wie andere Programme in „C:\Windows\System32“ , csrss.exe bleibt unauffällig im Hintergrund, und Sie werden nur ein oder zwei Instanzen in CrowdInspect finden. Alle verdächtigen Dateien enthalten ungültige digitale Signaturen und verlieren Copyright-Details.

Aktion: csrss.exe wird oft von betrügerischen Sicherheitssoftwareunternehmen und technischen Betrügern als „Beweis“ dafür verwendet, dass ein Gerät infiziert ist. Dies ist keine echte Malware, daher sollten Sie den laufenden Prozess niemals wegen falscher technischer Ratschläge beenden.

9. GoogleCrashHandler.exe-Datei

Wenn Sie Google-Programme auf Ihrem Windows-Computer haben, einschließlich Google Chrome, finden Sie eine ausführbare Datei namens GoogleCrashHandler.exe, die Teil der Google Updater-Pakete ist. Dies ist keine kritische Komponente von Windows und kann sicher und einfach entfernt werden, aber es ist auch nicht immer bösartige Software.

Virenerkennung: Wenn die digitale Signatur von Google CrashHandler.exe ungültig ist, d. h. nicht von Google signiert wurde, suchen wir nach einem möglichen Anzeichen für eine Spyware- oder Rootkit-Infektion, da der normale Betrieb sicher ist.

Aktion: Entfernen Sie einige oder alle Instanzen von GoogleCrashHandler.exe aus dem Task-Manager Ihres Systems, obwohl es sich nicht immer um Malware handelt. Sie möchten die CPU nicht unnötig überlasten, es sei denn, Sie möchten Absturzberichte an Google senden.

10.Spoolsv.exe

Spoolsv.exe ist ein nativer Windows-Prozess, der in den Printing Spooler-Dienst integriert ist und Schriftarten und Grafiken auf Druckerhardware und alle virtuellen Drucker übersetzt. Dies ist der Kernprozess von Windows, den es seit den Anfängen von MS-DOS gibt. Das Beenden eines gültigen Eintrags für den Prozess spoolsv.exe führt dazu, dass das Gerät fehlschlägt und das System neu gestartet wird.

Virenerkennung: Obwohl es wie eine Malware aussieht, ist spoolsv.exe ein sicherer, legitimer Prozess für Windows. Allen zusätzlichen Prozessen fehlen digitale Signaturen von Microsoft. Wenn Malware-Autoren einen ähnlichen Namen verwenden, um auf Ihr System abzuzielen, sollte Windows Defender Sie warnen.

Aktion: Es sollten keine Maßnahmen ergriffen werden, wenn der Prozess spoolsv.exe durch eine digitale Microsoft-Signatur validiert wurde. Gehen Sie andernfalls zum Task-Manager, um den Vorgang zu beenden.

11. Task-Manager

Der Windows Task Manager (taskmgr.exe) ist ein sehr wichtiges Programm, das alle grundlegenden Windows-Prozesse sowie Anwendungen steuert. Das Ausschalten dieses Root-Programms und seiner Derivate wie taskhostw.exe kann für Ihr System fatal sein, und Malware-Autoren sind sich dessen bewusst.

Virenerkennung: Wenn Sie das Gefühl haben, dass ein mit dem Task-Manager verknüpftes Programm nicht ordnungsgemäß funktioniert, überprüfen Sie den Speicherort der Datei, der sich unter befinden sollte "C:\Windows\System32". Starten Sie Ihr Gerät neu, um zu sehen, ob das Problem behoben ist. Wenn eine verdächtige Instanz des Task-Managers weiterhin besteht, scannen wir nach möglicher Malware. Ein weiteres Zeichen ist seine digitale Signatur, die ungültig sein wird.

Aktion: Jeder kann angegeben werden "Taskmanager" – Wie die ausführbare Datei – mit Malware infiziert und vom Task-Manager selbst beendet. Wenn Sie jedoch mit dem TaskSchedulerHelper.dll-Fehler in Windows 10 konfrontiert sind, führen Sie die Korrekturmaßnahmen wie gezeigt aus.

Zusammenfassung: Warnzeichen von Malware, die Windows-Prozessen ähneln

Hier ist eine kurze Zusammenfassung, wie Sie mit verdächtigen Prozessen umgehen können, die Standard-Windows-Systemprozessen ähneln. Möglicherweise haben Sie es mit Malware zu tun oder auch nicht, aber es ist wichtig, diese Warnzeichen im Auge zu behalten.

• Überprüfen Sie die App-Eigenschaftsdetails auf korrektes Urheberrecht: Jedes Programm in Windows 11 und Windows 10 hat einen Dateispeicherort. Von dort können Sie zugreifen "die Details" in der Registerkarte "Eigenschaften". Stellen Sie sicher, dass das Urheberrecht bei Windows, TrustedInstaller oder legitimen Prozessbesitzern wie Google, Intel, NVIDIA usw. liegt. Wenn nicht, suchen wir nach einer möglichen Malware-Quelle, die vom System entfernt werden muss.
• Überprüfen Sie die CPU-Auslastung für Windows-Prozessprogramme: Es ist normal, dass die CPU-Auslastung von Windows ansteigt, wenn mehrere Systeme zusammenarbeiten. Viele Instanzen derselben Software, die das System verlangsamen, geben jedoch Anlass zur Sorge. Unnötige Programme sollten sofort identifiziert und geschlossen werden.
• Überprüfen Sie verdächtige Windows-Prozesse auf digitale Signaturen: Dies ist der wichtigste und einfachste Weg, um den Prozess zu validieren. Wenn die digitale Signatur eines Prozesses nicht gültig ist und nicht aus vertrauenswürdigen Quellen stammt, besteht eine hohe Wahrscheinlichkeit, dass es sich um Malware handelt.
• Überprüfen Sie den Dateispeicherort verdächtiger Prozesse: Die meisten Windows-Dateiprozesse haben einen genau definierten Speicherort auf Ihrem Computer. Es könnte beides sein „C:\Windows\System32“ , Programmdateien oder an einem anderen genau definierten Speicherort. Sie sollten keine Instanzen dieses Prozesses in anderen Bereichen wie Laufwerk D finden, da dies auf mögliche Malware hinweist.

Häufig gestellte Fragen

F 1. Was sollte getan werden, wenn ein bestimmter Windows-Prozess bereits bösartig ist?
Antworten. Kein legitimer Windows-Prozess kann Ihrem System schaden. Wenn es jedoch doppelte Instanzen solcher Prozesse gibt, die Malware enthalten, gehen Sie zu CrowdInspect, klicken Sie mit der rechten Maustaste auf den Prozess und klicken Sie dann auf „Prozess beenden“. Wenn Windows Defender ausgeführt wird, kümmert er sich um diese Instanzen von Malware. Lesen Sie auch, warum Windows Defender ist das einzige Antivirenprogramm, das Sie benötigen.

F2: Was passiert, wenn ein gültiger Windows-Prozess beendet wird, und wie können Sie von dort aus wiederherstellen?
Antworten. Wenn Sie versehentlich einen gültigen Windows-Prozess beenden, hängen die Folgen davon ab, wie kritisch der Prozess für Ihr System ist. Wenn es sich um einen unnötigen Softwareprozess handelt, hat dies keine Auswirkungen auf den Windows-Computer.

Für Prozesse mit hoher Auswirkung wie winlogon.exe und csrss.exe verfügt Windows über einen integrierten Mechanismus, um deren versehentliche Beendigung zu verhindern. Wenn Sie jedoch darauf bestehen und versuchen, das System über den Task-Manager zu beenden, wird Ihr Gerät von selbst heruntergefahren und erfordert einen Neustart. Im schlimmsten Fall kann es zu einem kompletten Stromausfall und bleibenden Schäden durch eine Kernschmelze kommen.

Wenn ein Prozess mit geringer Auswirkung in den geplanten Start und die Wartung von Windows integriert ist, meldet das System einen kritischen Fehler und das automatisch ausschalten. nach dem Start , das Problem wird verschwinden.