11 عملية Windows شرعية يمكن أن تبدو وكأنها برامج ضارة
تلعب عمليات Windows دورًا مهمًا في التشغيل السليم لجهاز الكمبيوتر أو الكمبيوتر المحمول. بعضها ، مثل csrss.exe و winlogon.exe ، بالغ الأهمية لدرجة أنك إذا قررت إنهاءها عن طريق الخطأ ، فقد ينتهي بك الأمر إلى تعطل جهازك. يستفيد مؤلفو البرامج الضارة من هذه الأهمية الحيوية لإصابة أنظمة Windows السليمة. تتمثل الفرضية في أنه يمكن تسمية الفيروسات وبرامج الإعلانات المتسللة وبرامج التجسس وأحصنة طروادة بأي شيء – حتى تسميتها باسم عمليات نظام Windows القياسية.
كيفية معرفة ما إذا كانت عمليات Windows مشروعة
هناك طريقتان للتحقق مما إذا كانت عمليات Windows شرعية أم مصدر برامج ضارة: من خلال خصائص التطبيق الخاصة بها واستخدام الأدوات الخارجية مثل CrowdInspect بواسطة CrowdStrike.
1. التحقق من شرعية عمليات Windows من خلال خصائصها
جميع ملفات عمليات Windows المصرح بها متصلة بشركة Microsoft ، أو مطور البرنامج / التطبيق الرسمي أو حساب Microsoft مضمن مثل TrustedInstaller.exe ، الذي يحكم مجلدات مثل WindowsApps.
لتحديد ما إذا كانت عملية Windows 11 أو 10 شرعية وليست مصدرًا للبرامج الضارة ، فأنت بحاجة إلى البحث تحت الغطاء في خصائص التطبيق الخاصة بها. انتقل إلى علامة التبويب “التفاصيل” وابحث عن مالك حقوق الطبع والنشر الرسمي للعملية. إذا كانت Microsoft أو مطور تطبيقات أو TrustedInstaller ، فأنت على ما يرام.
أيضًا في Windows 11/10 ، يمكنك التحقق من علامة التبويب “التوقيعات الرقمية” لخصائص العملية. ستجد هنا التوقيعات الرقمية الرسمية بأحدث الطوابع الزمنية مما يمنحك طبقة إضافية من التأكيد.
نظرًا لأن توقيع برنامج تشغيل لهذه العمليات يتطلب أذونات قياسية من Microsoft (علاوة على ذلك ، يتم منع أي وصول غير مصرح به إلى جذر الجهاز بواسطة التمهيد الآمن UEFI) ، أصبح من المستحيل الآن على مؤلفي البرامج الضارة تزوير التوقيعات الرقمية في Windows 11.
من العادي إلى المهم للغاية ، مثل “services.exe” أو “svchost.exe” ، يتم توقيع جميع عمليات Windows 11 رقميًا باستخدام الطوابع الزمنية. مع كل تحديث Windows ناجح ، يتم التحقق من هذه المصادقة.
من ناحية أخرى ، قد تحتوي خصائص عملية Windows 10 على علامة تبويب التوقيعات الرقمية مفقودة تمامًا. أيضًا ، قد لا تعرض بعض العمليات معلومات حقوق النشر بشكل صحيح.
ومع ذلك ، حتى في نظام التشغيل Windows 10 ، تعرض عمليات النظام الداخلية ذات المهام الحرجة مثل Winlogon.exe هذه المعلومات دائمًا. يمكنك التحقق من أصالة البرنامج من خلال وسائل أخرى. بالإضافة إلى ذلك ، إذا قمت بتثبيت برامج تشغيل غير موقعة في نظام التشغيل Windows 10 أو 11 ، فلن تظهر أي توقيعات رقمية عند إعادة التشغيل اللاحقة.
2. التحقق من شرعية عمليات Windows باستخدام CrowdInspect
في كل من Windows 10 و Windows 11 ، يمكنك التحقق من صحة ملف العملية من خلال تطبيق برنامج خارجي: CrowdInspect by CrowdStrike. CrowdInspect هي أداة مجانية لفحص العمليات تعتمد على المضيف وفي الوقت الفعلي تقوم بالمسح بحثًا عن البرامج الضارة في الخلفية باستخدام محركات الكشف مثل VirusTotal.
- قم بتنزيل ملف CrowdInspect ZIP من الرابط الرسمي وانقر فوق البرنامج الذي تم فك ضغطه لتشغيله. ليس عليك تثبيت أي شيء.
- اقبل اتفاقية الترخيص وانتقل إلى الشاشة حيث يمكنك إجراء تحليل مختلط لجميع عمليات الخلفية على جهاز Windows الخاص بك. استخدم مفتاح API المدمج وانقر على “موافق”.
3. انتظر حتى يملأ CrowdInspect شاشتك بمجموعة كاملة من برامج وعمليات الخلفية على جهاز Windows الخاص بك.
يمكنك التحقق من حالة البرامج من خلال رموز الألوان. تتم الإشارة إلى أي عنصر نظيف برمز أخضر. إذا كانت هناك شكوك ، فسترى علامات استفهام بجوار الرمز. بالنسبة إلى العناصر ذات التهديد المنخفض الخطورة ، يوجد رمز أصفر. تتم الإشارة إلى العناصر ذات الخطورة الشديدة برمز أحمر. لن ترى أي رموز صفراء أو حمراء إذا كان جهازك سليمًا.
4. لمزيد من التحقق من عدم وجود مخاوف تتعلق بالبرامج الضارة ، انقر بزر الماوس الأيمن فوق العملية وانقر فوق “عرض نتائج اختبار HA”. يجب ألا تلاحظ أي أخطاء ، فهذا مؤشر آمن على أنك لا تتعامل مع أي برامج ضارة.
قائمة عمليات Windows 11/10 الشائعة التي تشبه البرامج الضارة
1. Explorer.exe
يمكن الوصول إلى برنامج مستكشف ملفات Windows العالمي ، explorer.exe ، بسهولة من شريط المهام وسطح المكتب. الغرض الأساسي منه هو العمل كمدير ملفات لجميع الملفات والمجلدات الخاصة بجهاز Windows 11/10. نظرًا لأهميته الحيوية ، يعد برنامج explorer.exe هدفًا مفضلاً للمهاجمين.
الكشف عن الفيروسات: عادةً ما تظهر البرامج الضارة explorer.exe كملفات أحصنة طروادة وبرامج الفدية (خاصة البريد الإلكتروني) وملفات Adobe Flash. يتم العثور دائمًا على البرنامج الشرعي في “C: \ Windows” ، وقد تظهر التكرارات في محرك الأقراص D أو ملفات البرامج أو المجلدات المخفية أو أي موقع كمبيوتر آخر.
الإجراء: إذا كان هناك حالتان إلى ثلاث حالات من explorer.exe على جهازك ، فلا داعي للقلق طالما أن لديهم جميعًا توقيعات ومواقع رقمية صالحة. عندما تكون هناك عمليات متعددة تستهلك وحدة المعالجة المركزية ، حدد العمليات الزائفة في CrowdInspect ، ثم انقر بزر الماوس الأيمن “لإيقاف العملية”.
2. lsass.exe
يرمز lsass.exe إلى خدمة النظام الفرعي لسلطة الأمان المحلية ، والتي تستمر خلف مصادقة مستخدم Windows. بصرف النظر عن البرامج الضارة ، يجب ألا تنهي العمليات الأصلية ، حيث سيؤدي ذلك إلى فقدان النظام الخاص بك الوصول إلى حسابات المسؤول والحسابات المحلية ، مما يؤدي إلى إعادة تشغيل الجهاز.
اكتشاف الفيروسات: من الطرق الشائعة التي يستخدمها مؤلفو البرامج الضارة لإخفاء lsass عن طريق استبدال الحرف الصغير “l” بحرف “i” في الأحرف الكبيرة أو الأحرف الكبيرة “L.” احترس من أي أخطاء إملائية متعمدة. أيضًا ، أي توقيعات رقمية وملفات غير صالحة موجودة خارج المجلد “C:\Windows\System32” هي هدية واضحة.
الإجراء: قم بإنهاء عمليات lsass الزائفة من مدير المهام. إذا لم تكن متأكدًا مما إذا كان الحرف “l” أم “i” ، فافعل الشيء نفسه من CrowdInspect. تعد مثيلات lsass الصالحة المتعددة جيدة ولا يجب العبث بها.
3. RuntimeBroker.exe
RuntimeBroker.exe هي عملية آمنة من Microsoft تتمثل مهمتها في إدارة أذونات أي تطبيقات يتم تنزيلها من متجر Microsoft. يتحقق من أصالة البرامج مثل تطبيق الصور. إذا كان أي تطبيق لا ينتمي إلى جهاز Windows الخاص بك ، فإن Runtime Broker ينبهك عن طريق استهلاك الكثير من الذاكرة الإضافية.
اكتشاف الفيروسات: إذا كان جهاز Windows الخاص بك مصابًا بفيروس RuntimeBroker.exe ، فسترى وجوده في مواقع أجهزة الكمبيوتر الأخرى بخلاف “C: \Windows\System32.” نظرًا لأن البرنامج غير شرعي ، فإن تسريبات الذاكرة سترتفع بشكل كبير ، مما يثقل كاهل وحدة المعالجة المركزية الخاصة بك. ستلاحظ أيضًا توقيعًا رقميًا غير صالح للحالات الزائفة.
الإجراء: افتح مدير المهام. انقر فوق مثيلات متعددة صالحة لـ Runtime Broker وانقر فوق “إنهاء المهمة”. سيؤدي هذا إلى إنهاء أي مشاكل مع تطبيق معين. بالنسبة لإدخالات RuntimeBroker.exe الزائفة ، قم بإنهاءها من CrowdInspect.
4. Winlogon.exe
عندما يتعلق الأمر بعمليات خلفية Windows ، لا يوجد شيء أكثر أهمية في مخطط الأشياء من winlogon.exe. فهو لا يحكم عملية تسجيل الدخول فحسب ، بل يقوم أيضًا بتحميل ملفات تعريف المستخدمين ، والتحكم في شاشة التوقف ، والاتصال بشبكات متعددة. إنه موجود في “C:\Windows\System32.”
الكشف عن الفيروسات: عادةً ما يكون برنامج تجسس أو أداة keylogger ، يعد winlogon.exe برنامجًا ضارًا خطيرًا للغاية يمكن أن يتسبب في بدء تعطل الأنظمة ، وهو أمر يسهل التعرف عليه. إذا كان لديك Windows Defender قيد التشغيل ، فسيحذرك لحذف الملف على الفور وإنهاء أي ناقلات مستخدمة (البريد الإلكتروني ، متصفح الويب).
الإجراء: لن يحتوي الملف القابل للتنفيذ winlogon.exe الآمن على أكثر من مثيل واحد في CrowdInspect. يجب حذف المثيلات الزائفة الأخرى عند الوصول باستخدام اقتراحات Windows Defender.
5. ملف Svchost.exe
يشير ملف Svchost.exe إلى “مضيف خدمة Windows” ، وهي عملية خدمة مشتركة تعمل بمثابة غلاف لتحميل خدمات Windows المختلفة. اعتمادًا على عدد التطبيقات المفتوحة ، عادة ما يكون هناك العديد من مثيلات ملف Svchost.exe التي تعمل كعمليات فردية.
الكشف عن الفيروسات: ستصادف حلقة برنامج ضار لملف Svchost.exe عندما تجد مجلدًا أو برنامجًا محميًا تم حظره بواسطة عملية مكررة أو متغيرات إملائية مثل “svhosts.exe”. هم في الغالب عبارة عن برامج فدية أو أدوات احتيال مصرفي. تتضمن نواقل المصدر الخاصة بهم ملفات PDF وملفات ZIP وجافا سكريبت.
الإجراء: عادةً ما تمثل أحصنة طروادة هذه تهديدًا منخفض المستوى ولكن يجب إزالتها في أقرب وقت ممكن. تم تجهيز أدوات مكافحة الفيروسات القياسية و Windows Defender لحذف أي مثيلات مضيفة للخدمة غير موجودة في “C:\ Windows\System32”.
6. OfficeClickToRun.exe
إذا كنت تستخدم أدوات Office – مثل Word أو Excel أو PowerPoint – فقد صادفت ملفًا قابلاً للتنفيذ يسمى OfficeClickToRun.exe. وتتمثل مهمتها في تشغيل أحدث إصدارات Microsoft Office على جهازك والتعامل مع التحديثات. حتى عندما لا يكون برنامجًا ضارًا ، يمكن أن يكون OfficeClickToRun.exe مستهلكًا للذاكرة على وحدة المعالجة المركزية لديك. ومع ذلك ، إذا قمت بحذف الملفات المؤقتة بشكل دوري ، فسيكون ذلك عبئًا أقل بكثير.
الكشف عن الفيروسات: هل الملف التنفيذي موجود في أي مكان آخر غير Program Files في المجلد المشترك لـ Microsoft؟ الملف الإضافي غير صحي لنظامك. أيضًا ، يجب أن يحتوي جهاز Windows الخاص بك على مثيل واحد فقط من OfficeClickToRun.exe قيد التشغيل. تحقق من التوقيعات الرقمية لأي شخص آخر.
الإجراء: على الرغم من أنه ليس ضارًا في حد ذاته ، إلا أن المثيلات الزائفة لـ OfficeClickToRun.exe يمكن أن تسد ذاكرة النظام لديك. عادة ما تأتي من خلال الملفات والمستندات المصابة ، والتي يجب حذفها على الفور.
7. igfxem.exe
igfxEM.exe هي عملية خلفية غير معروفة وهي ضرورية لإدارة بطاقة رسومات Intel وبالتالي فهي مهمة جدًا لعرض بطاقة الفيديو. يأتي مثبتًا مسبقًا على جهازك ويجب تركه بمفرده ، لأنه لا يمثل عبئًا على النظام على الإطلاق.
الكشف عن الفيروسات: إذا كان لديك أكثر من مثيل واحد من igfxEM (والأخطاء الإملائية كما هو موضح) ، تحقق من صحة التوقيعات الرقمية. إذا أظهر Intel و Microsoft، فلا توجد برامج ضارة. خلاف ذلك ، ليس لديك ملف igfxEM أصلي ، ويجب إزالة هذه العملية.
الإجراء: يجب عدم اتخاذ أي إجراء إذا كان لديك توقيعات رقمية صالحة – حتى مع مثيلات Intel المتعددة. إذا بدت بطاقة رسومات Intel الأصلية تالفة ، فحاول إعادة تثبيت برنامج التشغيل من “devmgmt.msc”، إدارة الأجهزة ، في قائمة ابدأ.
8. Csrss.exe
يرمز Csrss.exe إلى Client Server Runtime Subsystem ، وهو عبارة عن عملية مستخدم شرعية تهدف إلى إدارة أنشطة Windows Graphics ، مثل إيقاف تشغيل واجهة المستخدم الرسومية وخدمات وحدة التحكم في النظام. من الشائع جدًا الخلط بينه وبين البرامج الضارة. يمكن أن يكون إنهاءها قاتلاً لنظامك ، مما يؤدي إلى تحطم مضمون.
اكتشاف الفيروسات: مثل البرامج الأخرى الموجودة في “C:\Windows\ System32” ، يظل csrss.exe في الخلفية بهدوء ، وستجد حالة واحدة أو اثنتين فقط في CrowdInspect. أي ملفات مشبوهة ستحتوي على توقيعات رقمية غير صالحة وتفقد تفاصيل حقوق النشر.
الإجراء: غالبًا ما يتم استخدام csrss.exe بواسطة شركات برامج الأمان المخادعة والمحتالين التقنيين “كدليل” على إصابة الجهاز. هذا ليس برنامجًا ضارًا حقيقيًا ، لذا يجب ألا تنهي العملية الحالية أبدًا بسبب نصيحة تقنية خاطئة.
9. ملف GoogleCrashHandler.exe
إذا كان لديك أي برامج Google على جهاز Windows الخاص بك ، بما في ذلك Google Chrome ، فستجد ملفًا قابلاً للتنفيذ يسمى GoogleCrashHandler.exe ، وهو جزء من حزم Google Updater. هذا ليس مكونًا مهمًا في Windows ويمكن إزالته بأمان وسهولة ، ولكنه ليس دائمًا برنامجًا ضارًا أيضًا.
الكشف عن الفيروسات: إذا كان التوقيع الرقمي لـ Google CrashHandler.exe غير صالح ، أي أنه لم يتم توقيعه من قبل Google ، فإننا نبحث في إشارة محتملة لبرامج التجسس أو إصابة الجذور الخفية ، لأن العملية العادية آمنة.
الإجراء: قم بإزالة أي أو كل مثيلات GoogleCrashHandler.exe من مدير مهام النظام الخاص بك على الرغم من أنها ليست دائمًا برامج ضارة. لا تريد أن تثقل كاهل وحدة المعالجة المركزية بشكل غير ضروري إلا إذا كنت تريد إرسال تقارير الأعطال إلى Google.
10. Spoolsv.exe
Spoolsv.exe هي عملية Windows أصلية ، مدمجة مع خدمة Printing Spooler ، تترجم الخطوط والرسومات إلى أجهزة الطابعة وأي طابعات افتراضية. هذه هي عملية Windows الأساسية التي كانت موجودة منذ بداية MS-DOS. سيؤدي إنهاء أي إدخال صالح لعملية spoolsv.exe إلى فشل الجهاز وإعادة تشغيل النظام.
الكشف عن الفيروسات: على الرغم من أنه يشبه بعض البرامج الضارة ، إلا أن spoolsv.exe يعد عملية شرعية آمنة لنظام التشغيل Windows. ستفتقر أي عمليات إضافية إلى التوقيعات الرقمية من Microsoft. إذا استخدم مؤلفو البرامج الضارة اسمًا مشابهًا لاستهداف نظامك ، فيجب على Windows Defender تنبيهك بذلك.
الإجراء: لا ينبغي اتخاذ أي إجراء إذا تم التحقق من صحة عملية spoolsv.exe بواسطة توقيع رقمي من Microsoft. خلاف ذلك ، انتقل إلى مدير المهام لإنهاء العملية.
11. مدير المهام
يعد Windows Task Manager (taskmgr.exe) برنامجًا مهمًا للغاية يتحكم في جميع عمليات Windows الأساسية بالإضافة إلى التطبيقات. يمكن أن يكون إيقاف تشغيل هذا البرنامج الأساسي ومشتقاته ، مثل taskhostw.exe قاتلاً لنظامك ، ويدرك مؤلفو البرامج الضارة ذلك.
اكتشاف الفيروسات: إذا شعرت أن أحد البرامج المرتبطة بإدارة المهام لا يعمل بشكل صحيح ، فتحقق من موقع الملف الخاص به ، والذي يجب أن يكون في “C:\ Windows\System32”. أعد تشغيل جهازك لمعرفة ما إذا كانت المشكلة قد اختفت. إذا استمر مثيل مدير المهام المشبوهة ، فإننا نبحث في البرامج الضارة المحتملة. علامة أخرى هي توقيعه الرقمي الذي سيكون غير صالح.
الإجراء: يمكن تحديد أي “مدير مهام” – مثل الملف التنفيذي – مصاب ببرامج ضارة وإنهائه من مدير المهام نفسه. ومع ذلك ، إذا كنت تواجه خطأ TaskSchedulerHelper.dll في نظام التشغيل Windows 10 ، فاتخذ الخطوات التصحيحية كما هو موضح.
الملخص: علامات التحذير من البرامج الضارة التي تشبه عمليات Windows
فيما يلي ملخص سريع لكيفية التعامل مع أي عمليات مشبوهة تشبه عمليات نظام Windows القياسية. قد تتعامل أو لا تتعامل مع أي برامج ضارة ، ولكن من المهم تتبع هذه العلامات التحذيرية.
- تحقق من تفاصيل خاصية التطبيق للحصول على حقوق النشر الصحيحة: لكل برنامج في Windows 11 و Windows 10 موقع ملف. من هناك يمكنك الوصول إلى “التفاصيل” في علامة التبويب “الخصائص”. تأكد من أن حقوق الطبع والنشر تنتمي إلى Windows أو TrustedInstaller أو مالكي العمليات الشرعيين ، مثل Google و Intel و NVIDIA وما إلى ذلك. إذا لم يكن الأمر كذلك ، فنحن نبحث عن مصدر محتمل للبرامج الضارة التي يجب إزالتها من النظام.
- تحقق من استخدام وحدة المعالجة المركزية لبرامج Windows Process: من الطبيعي أن يرتفع استخدام وحدة المعالجة المركزية في Windows عندما تعمل عدة أنظمة معًا. ومع ذلك ، فإن العديد من حالات نفس البرنامج التي تبطئ النظام هي مدعاة للقلق. يجب تحديد البرامج غير الضرورية وإغلاقها على الفور.
- تحقق من عمليات Windows المشبوهة بحثًا عن التوقيعات الرقمية: هذه هي الطريقة الأكثر أهمية والأسهل للتحقق من صحة العملية. إذا كان التوقيع الرقمي لعملية ما غير صالح ولا يأتي من مصادر موثوقة ، فهناك احتمال كبير أن تكون برامج ضارة.
- تحقق من موقع ملف العمليات المشبوهة: معظم عمليات ملفات Windows لها موقع محدد جيدًا على جهاز الكمبيوتر الخاص بك. يمكن أن يكون إما “C:\ Windows\System32” ، أو ملفات البرنامج ، أو بعض المواقع الأخرى المحددة جيدًا. يجب ألا تجد مثيلات لهذه العملية في مناطق أخرى ، مثل محرك الأقراص D ، لأنه يشير إلى احتمال وجود برامج ضارة.
أسئلة شائعة
س 1. ما الذي يجب فعله إذا كانت عملية Windows معينة ضارة بالفعل؟
الجواب. لا يمكن لأي عملية Windows شرعية أن تلحق الضرر بنظامك. ومع ذلك ، إذا كانت هناك حالات مكررة لمثل هذه العمليات تحتوي على برامج ضارة ، فانتقل إلى CrowdInspect ، وانقر بزر الماوس الأيمن فوق هذه العملية ، ثم انقر على “إنهاء العملية”. إذا كان Windows Defender قيد التشغيل ، فسوف يتولى أمر حالات البرامج الضارة هذه. اقرأ أيضًا لمعرفة سبب كون Windows Defender هو برنامج مكافحة الفيروسات الوحيد الذي تحتاجه.
س 2. ماذا يحدث عند إنهاء عملية Windows صالحة وكيف تتعافى من هناك؟
الجواب. إذا قمت بإنهاء عملية Windows صحيحة عن طريق الخطأ ، فستعتمد العواقب على مدى أهمية العملية لنظامك. إذا كانت عملية برمجية غير ضرورية ، فلن يكون هناك أي تأثير على جهاز Windows.
بالنسبة للعمليات عالية التأثير مثل winlogon.exe و csrss.exe ، يحتوي Windows على آلية مضمنة لمنع الإنهاء العرضي لها. ومع ذلك ، إذا استمرت في الإصرار وحاولت إنهاء النظام من مدير المهام ، فسيتم إيقاف تشغيل جهازك من تلقاء نفسه ، مما يتطلب إعادة التشغيل. في أسوأ الحالات ، يمكن أن يؤدي إلى انقطاع التيار الكهربائي الكامل وضرر دائم بسبب الانهيار.
إذا كانت عملية ذات تأثير ضئيل جزءًا لا يتجزأ من التشغيل المجدول وصيانة Windows ، فسيقوم النظام بالإبلاغ عن فشل خطير ويتم إيقاف تشغيله تلقائيًا. بعد بدء التشغيل ، ستختفي المشكلة.