Процессы Windows играют ключевую роль в правильной работе вашего компьютера или ноутбука. Некоторые из них, такие как csrss.exe и winlogon.exe, настолько важны, что их случайное завершение может привести к сбою системы. Авторы вредоносных программ пользуются этой жизненно важной ролью для заражения здоровых систем Windows. Идея заключается в том, что вирусы, рекламное ПО, шпионское ПО и трояны могут называться как угодно, даже стандартными системными процессами Windows.
Как определить, являются ли процессы Windows легитимными
Проверить, являются ли процессы Windows легитимными или источником вредоносного ПО, можно двумя способами: через свойства их приложения и с помощью сторонних инструментов, таких как CrowdInspect от CrowdStrike.
1. Проверьте легитимность процессов Windows через их свойства.
Все авторизованные файлы процессов Windows связаны с Microsoft, официальным разработчиком программного обеспечения/приложений или встроенной учетной записью Microsoft, такой как TrustedInstaller.exe, которая управляет такими папками, как WindowsApps.
Чтобы определить, является ли процесс Windows 11 или 10 легитимным и не является ли он источником вредоносного ПО, необходимо изучить свойства приложения. Перейдите на вкладку "детали" Найдите официального правообладателя процесса. Если это Microsoft, разработчик приложения или TrustedInstaller, всё в порядке.
Также в Windows 11/10 вы можете проверить вкладку Цифровые подписи Для спецификаций транзакций вы найдете официальные цифровые подписи с последними временными метками, что дает вам дополнительный уровень гарантии.
Поскольку сигнатура драйвера для этих процессов Требуются стандартные разрешения Microsoft (Более того, любой несанкционированный доступ к корневому каталогу устройства предотвращается Безопасная загрузка UEFI), теперь создатели вредоносных программ не смогут подделывать цифровые подписи в Windows 11.
От обычных до чрезвычайно важных, таких как: services.exe أو «svchost.exe» Все операции в Windows 11 имеют цифровую подпись с использованием временных меток. Эта аутентификация подтверждается при каждом успешном обновлении Windows.
С другой стороны, в свойствах процесса Windows 10 может полностью отсутствовать вкладка «Цифровые подписи». Кроме того, некоторые процессы могут некорректно отображать информацию об авторских правах.
Однако даже в Windows 10 критически важные внутренние системные процессы, такие как Winlogon.exe, всегда отображают эту информацию. Вы можете проверить подлинность программного обеспечения другими способами. Кроме того, если вы установите неподписанные драйверы в Windows 10 или 11, при последующих перезагрузках цифровые подписи не появятся.
2. Проверьте легитимность процессов Windows с помощью CrowdInspect.
Как в Windows 10, так и в Windows 11 вы можете проверить состояние файла процесса с помощью стороннего приложения: CrowdInspect от CrowdStrike. CrowdInspect — это бесплатный инструмент для проверки процессов в режиме реального времени, работающий на хосте и сканирующий систему на наличие вредоносных программ в фоновом режиме с помощью таких инструментов обнаружения, как VirusTotal.
- Загрузите ZIP-файл CrowdInspect по официальной ссылке. Нажмите на извлечённую программу, чтобы запустить её. Вам не нужно ничего устанавливать.
- Примите лицензионное соглашение и перейдите к экрану, где вы можете выполнить гибридный анализ всех фоновых процессов на вашем компьютере с Windows. Используйте встроенный ключ API и нажмите "OK".
3. Подождите, пока CrowdInspect отобразит на экране полный список фоновых программ и процессов на вашем компьютере Windows.
Вы можете проверить состояние своих программ по цветовым кодам. Любой чистый элемент обозначен зелёным значком. Если есть какие-либо сомнения, рядом со значком появятся вопросительные знаки. Элементы с низким уровнем риска обозначены жёлтым значком. Элементы с высоким уровнем риска обозначены красным значком. Если ваше устройство исправно, жёлтый или красный значки не отображаются.
4. Чтобы дополнительно убедиться в отсутствии вредоносных программ, щелкните правой кнопкой мыши процесс и выберите «Просмотреть результаты теста HA»Вы не должны заметить никаких ошибок, что является верным признаком того, что вы не имеете дело с вредоносным ПО.
Список распространенных процессов Windows 11/10, похожих на вредоносное ПО
1. Проводник.exe
Универсальный проводник Windows, explorer.exe, легко доступен с панели задач и рабочего стола. Его основное назначение — управление всеми файлами и папками на устройствах с Windows 11/10. Благодаря своей важной роли explorer.exe является излюбленной целью злоумышленников.
Обнаружение вирусов: Вредоносное ПО обычно встречается в виде файлов explorer.exe, троянов, программ-вымогателей (особенно в электронной почте) и файлов Adobe Flash. Легальная программа почти всегда находится в «C:\Windows», Дубликаты могут появляться на диске D, в программных файлах, скрытых папках или в любых других местах компьютера.
Действие: Если на вашем компьютере есть два-три экземпляра explorer.exe, беспокоиться не о чем, если у всех них есть действительные цифровые подписи и местоположение. Если ресурсов процессора потребляет несколько процессов, выберите поддельные процессы в CrowdInspect и щёлкните правой кнопкой мыши. «Чтобы остановить процесс».
2. lsass.exe
lsass.exe — это служба Local Security Authority Subsystem, которая отвечает за аутентификацию пользователей Windows. За исключением случаев вредоносного ПО, не следует завершать исходные процессы, так как это приведёт к потере доступа к Учетные записи администратора и локальные учетные записи , что приводит к перезапуску устройства.
Обнаружение вирусов: Распространенный метод, используемый авторами вредоносных программ для маскировки lsass, — это замена строчной буквы «L» с письмом "я" заглавными буквами или прописными буквами «Л.» Обратите внимание на любые намеренные орфографические ошибки. Также обратите внимание на любые цифровые подписи и недействительные файлы, находящиеся вне папки. «C: \ Windows \ System32» Это явный дар.
Действие: Завершите процессы псевдо-lsass в диспетчере задач. Если вы не уверены, что символ «L» Мать "я" Сделайте то же самое из CrowdInspect. Несколько допустимых экземпляров lsass — это нормально, и их не стоит трогать.
3. RuntimeBroker.exe
RuntimeBroker.exe — это безопасный процесс Microsoft, задача которого — управлять разрешениями для всех приложений, загружаемых из Магазина Microsoft. Он проверяет подлинность таких программ, как приложение «Фотографии». Если приложение не подходит для вашего устройства Windows, Runtime Broker предупреждает вас, занимая большой объём дополнительной памяти.
Обнаружение вирусов: Если ваш компьютер Windows заражен вирусом RuntimeBroker.exe, вы увидите его присутствие и в других местах компьютера, кроме «C:\Windows\System32». Поскольку это программное обеспечение нелегально, утечки памяти резко возрастут, что создаст нагрузку на процессор. Вы также заметите недействительную цифровую подпись для поддельных экземпляров.
Действие: Открыть Диспетчер задач. Нажмите Несколько экземпляров Действительно для Runtime Broker и нажмите «Закончить работу»Это устранит любые проблемы с конкретным приложением. Для поддельных записей RuntimeBroker.exe удалите их из CrowdInspect.
4.winlogon.exe
Когда речь идёт о фоновых процессах Windows, нет ничего важнее, чем winlogon.exe. Он не только управляет процессом входа в систему, но и загружает профили пользователей, управляет заставкой и подключается к нескольким сетям. Он расположен в… «C:\Windows\System32».
Обнаружение вирусов: Winlogon.exe, как правило, представляет собой шпионскую программу или кейлоггер. Это крайне опасная вредоносная программа, которая может вызывать сбои системы и которую легко обнаружить. Если у вас запущен Защитник Windows, он предупредит вас о необходимости немедленно удалить файл и закрыть все другие используемые им векторы (электронную почту, веб-браузер).
Действие: Безопасный исполняемый файл winlogon.exe не будет обнаружен более чем в одном экземпляре в CrowdInspect. Остальные поддельные экземпляры следует удалить по прибытии, следуя рекомендациям Защитника Windows.
5. svchost.exe
Файл svchost.exe относится к Хост служб Windows , общий служебный процесс, который служит оболочкой для загрузки различных служб Windows. В зависимости от количества открытых приложений, обычно существует несколько экземпляров файла svchost.exe, работающих как отдельные процессы.
Обнаружение вирусов: Вы столкнетесь с циклом вредоносного ПО svchost.exe, когда обнаружите защищенную папку или программу, заблокированную дублирующим процессом или вариантами написания, такими как «svhosts.exe»В основном это программы-вымогатели или инструменты для банковского мошенничества. Их исходные векторы включают PDF-файлы, ZIP-файлы и JavaScript.
Действие: Эти трояны обычно представляют собой низкоуровневую угрозу, но их следует удалить как можно скорее. Стандартные антивирусные средства и Защитник Windows способны удалять любые экземпляры хостов служб, отсутствующие в системе. «C:\Windows\System32».
6. OfficeClickToRun.exe
Если вы используете инструменты Office, такие как Word, Excel или PowerPoint, вы могли столкнуться с исполняемым файлом OfficeClickToRun.exe. Его задача — запускать последние версии Microsoft Office на вашем компьютере и управлять обновлениями. Даже если OfficeClickToRun.exe не является вредоносным ПО, он может значительно нагружать процессор. Однако, если вы будете периодически удалять временные файлы, эта нагрузка будет значительно меньше.
Обнаружение вирусов: Находится ли исполняемый файл где-либо, кроме папки Program Files в общей папке Microsoft? Этот дополнительный файл опасен для вашей системы. Кроме того, на вашем компьютере с Windows должен быть запущен только один экземпляр OfficeClickToRun.exe. Проверьте цифровые подписи всех остальных.
Действие: Хотя сами по себе поддельные экземпляры OfficeClickToRun.exe не опасны, они могут засорять системную память. Обычно они проникают через зараженные файлы и документы, которые следует немедленно удалить.
7. igfxem.exe
igfxEM.exe — это неизвестный фоновый процесс, необходимый для управления видеокартой Intel и, следовательно, крайне важный для отображения видеокарты. Он предустановлен на вашем устройстве и не должен быть запущен, так как не оказывает никакого влияния на систему.
Обнаружение вирусов: Если у вас несколько экземпляров igfxEM (и орфографические ошибки соответствуют описанным), проверьте цифровые подписи. Если в них указаны Intel и Microsoft, ваш файл не заражен вредоносным ПО. В противном случае ваш файл igfxEM не является подлинным, и этот процесс следует удалить.
Действие: Не предпринимайте никаких действий, если у вас есть действительные цифровые подписи, даже с несколькими экземплярами Intel. Если ваша исходная видеокарта Intel повреждена, попробуйте переустановить драйвер с сайта «devmgmt.msc», Диспетчер устройств в меню «Пуск».
8. Csrss.exe
Csrss.exe — это подсистема выполнения клиент-сервера (Client Server Runtime Subsystem), легитимный пользовательский процесс, предназначенный для управления графическими операциями Windows, такими как завершение работы графического интерфейса пользователя и служб системной консоли. Его часто принимают за вредоносное ПО. Завершение процесса может привести к фатальному сбою системы, гарантированно приведя к её сбою.
Обнаружение вирусов: Как и другие программы, «C:\Windows\System32» csrss.exe незаметно работает в фоновом режиме, и вы обнаружите всего один или два его экземпляра в CrowdInspect. Любые подозрительные файлы будут иметь недействительные цифровые подписи и потеряют информацию об авторских правах.
Действие: csrss.exe часто используется компаниями-разработчиками мошеннического программного обеспечения безопасности и техническими мошенниками в качестве «доказательства» заражения компьютера. Это не настоящее вредоносное ПО, поэтому ни в коем случае не завершайте текущий процесс из-за некомпетентности технических специалистов.
9. Файл GoogleCrashHandler.exe
Если на вашем устройстве Windows установлено какое-либо ПО Google, включая Google Chrome, вы обнаружите исполняемый файл GoogleCrashHandler.exe, который входит в пакет Google Updater. Он не является критически важным компонентом Windows и может быть безопасно и легко удален, но он не всегда вредоносен.
Обнаружение вирусов: Если цифровая подпись Google CrashHandler.exe недействительна, т.е. она не подписана Google, мы рассматриваем возможный признак заражения шпионским ПО или руткитом, поскольку обычный процесс безопасен.
Действие: Удалите все или все экземпляры GoogleCrashHandler.exe из диспетчера задач системы, даже если это не всегда вредоносная программа. Вы же не хотите, чтобы она без необходимости нагружала ваш процессор, если только не собираетесь отправлять отчёты о сбоях в Google.
10. Спулсв.exe
Spoolsv.exe — это встроенный процесс Windows, интегрированный со службой диспетчера очереди печати, который транслирует шрифты и графику на аппаратные и виртуальные принтеры. Это базовый процесс Windows, существующий с момента появления MS-DOS. Завершение любых допустимых процессов процесса spoolsv.exe приведёт к сбою устройства и перезагрузке системы.
Обнаружение вирусов: Хотя spoolsv.exe напоминает вредоносное ПО, это легитимный и безопасный процесс Windows. Любые дополнительные процессы не будут иметь цифровых подписей Microsoft. Если создатели вредоносного ПО используют похожее имя для атаки на вашу систему, Защитник Windows должен предупредить вас.
Действие: Не предпринимайте никаких действий, если процесс spoolsv.exe проверен цифровой подписью Microsoft. В противном случае завершите процесс в диспетчере задач.
11. Диспетчер задач
Диспетчер задач Windows (taskmgr.exe) — очень важная программа, управляющая всеми основными процессами и приложениями Windows. Отключение этой важнейшей программы и её производных, таких как taskhostw.exe, может привести к фатальным последствиям для системы, и создатели вредоносных программ прекрасно это знают.
Обнаружение вирусов: Если вы считаете, что программа, связанная с диспетчером задач, работает неправильно, проверьте местоположение ее файла, которое должно быть в «C:\Windows\System32». Перезагрузите устройство и проверьте, устранена ли проблема. Если подозрительный экземпляр диспетчера задач сохраняется, мы исследуем потенциально вредоносное ПО. Ещё одним признаком может быть недействительная цифровая подпись.
Действие: Можно указать любой. Диспетчер задач - Как и исполняемый файл, он заражен вредоносным ПО и закрыт непосредственно из диспетчера задач. Однако, если вы столкнулись с ошибкой TaskSchedulerHelper.dll в Windows 10, выполните описанные ниже действия по её устранению.
Резюме: Предупреждающие признаки вредоносного ПО, напоминающие процессы Windows
Вот краткий обзор действий, которые следует выполнять при обнаружении подозрительных процессов, напоминающих стандартные системные процессы Windows. Возможно, вы имеете дело с вредоносным ПО, но важно обращать внимание на эти предупреждающие сигналы.
- Проверьте сведения о свойстве приложения на предмет корректности авторских прав: У каждой программы в Windows 11 и Windows 10 есть своё местоположение файла. Отсюда вы можете получить доступ "детали" во вкладке «Характеристики». Убедитесь, что авторские права принадлежат Windows, TrustedInstaller или законным владельцам процесса, таким как Google, Intel, NVIDIA и т. д. Если нет, мы ищем потенциальный источник вредоносного ПО, которое необходимо удалить из вашей системы.
- Проверьте загрузку ЦП для программ Windows Process: Увеличение загрузки процессора в Windows при одновременной работе нескольких систем — нормальное явление. Однако замедление работы системы несколькими экземплярами одной и той же программы — повод для беспокойства. Ненужные программы следует выявить и немедленно закрыть.
- Проверьте подозрительные процессы Windows на наличие цифровых подписей: Это самый важный и простой способ проверить подлинность процесса. Если цифровая подпись процесса недействительна и получена из ненадёжного источника, существует высокая вероятность того, что это вредоносное ПО.
- Проверьте местоположение файла подозрительного процесса: Большинство файловых процессов Windows имеют четко определенное местоположение на вашем компьютере. Это может быть: «C:\Windows\System32» , программные файлы или другое чётко определённое место. Этот процесс не должен присутствовать в других областях, например, на диске D, так как это может указывать на наличие вредоносного ПО.
Часто задаваемые вопросы
В1. Что делать, если определенный процесс Windows на самом деле является вредоносным?
отвечать. Ни один легитимный процесс Windows не может нанести вред вашей системе. Однако, если вы обнаружили повторяющиеся случаи подобных процессов, содержащих вредоносное ПО, перейдите в CrowdInspect, щёлкните правой кнопкой мыши по процессу и выберите «Завершить процесс»Если Защитник Windows запущен, он справится с этими вредоносными программами. Читайте дальше, чтобы узнать, почему. Защитник Windows — единственный антивирус, который вам нужен..
В2. Что происходит при завершении корректного процесса Windows и как выполнить восстановление?
отвечать. Если вы случайно завершите легитимный процесс Windows, последствия будут зависеть от его критичности для вашей системы. Если это ненужный программный процесс, он не окажет никакого влияния на ваше устройство с Windows.
Для таких ресурсоёмких процессов, как winlogon.exe и csrss.exe, в Windows предусмотрен встроенный механизм предотвращения случайного завершения. Однако, если они продолжают работать и вы пытаетесь завершить работу системы через диспетчер задач, компьютер автоматически выключится, что потребует перезагрузки. В худшем случае это может привести к полному отключению питания и необратимому повреждению системы из-за сбоя.
Если процесс с низким уровнем воздействия является неотъемлемой частью запланированной эксплуатации и обслуживания Windows, система сообщит о критическом сбое и Выключите его автоматически. После запуска Проблема исчезнет.
