Windows-processer spelar en avgörande roll för att din dator eller bärbara dator ska fungera korrekt. Vissa av dem, som csrss.exe och winlogon.exe, är så kritiska att om du av misstag bestämmer dig för att avsluta dem kan du krascha din dator. Skadlig programvara utnyttjar denna viktiga betydelse för att infektera friska Windows-system. Utgångspunkten är att virus, annonsprogram, spionprogram och trojaner kan kallas vad som helst – även vanliga Windows-systemprocesser.
Hur man vet om Windows-processer är legitima
Det finns två sätt att kontrollera om Windows-processer är legitima eller en källa till skadlig kod: genom deras programegenskaper och med hjälp av tredjepartsverktyg som CrowdInspect av CrowdStrike.
1. Verifiera legitimiteten hos Windows-processer genom deras egenskaper
Alla auktoriserade Windows-processfiler är kopplade till Microsoft, den officiella programvaru-/apputvecklaren eller ett inbyggt Microsoft-konto som TrustedInstaller.exe, som styr mappar som WindowsApps.
För att avgöra om en process i Windows 11 eller 10 är legitim och inte en källa till skadlig kod, måste du titta närmare på dess programegenskaper. Gå till fliken "detaljerna" Leta efter den officiella upphovsrättsinnehavaren för processen. Om det är Microsoft, en apputvecklare eller TrustedInstaller är du klar.
Även i Windows 11/10 kan du kontrollera fliken Digitala signaturer För transaktionsspecifikationer hittar du officiella digitala signaturer med de senaste tidsstämplarna här, vilket ger dig ett extra lager av trygghet.
Eftersom drivrutinssignaturen för dessa processer Kräver standard Microsoft-behörigheter (Dessutom förhindras obehörig åtkomst till enhetens rot av UEFI säker start), är det nu omöjligt för skapare av skadlig kod att förfalska digitala signaturer i Windows 11.
Från vanliga till extremt viktiga, såsom: services.exe أو "svchost.exe" Alla Windows 11-åtgärder signeras digitalt med tidsstämplar. Denna autentisering verifieras med varje lyckad Windows-uppdatering.
Å andra sidan kan det hända att processens egenskaper i Windows 10 saknar en flik för digitala signaturer helt och hållet. Dessutom kanske vissa processer inte visar upphovsrättsinformation korrekt.
Men även i Windows 10 visar uppgiftskritiska interna systemprocesser som Winlogon.exe alltid denna information. Du kan verifiera programvarans äkthet på andra sätt. Om du installerar osignerade drivrutiner i Windows 10 eller 11 kommer dessutom inga digitala signaturer att visas vid efterföljande omstarter.
2. Verifiera legitimiteten hos Windows-processer med CrowdInspect
I både Windows 10 och Windows 11 kan du kontrollera en processfils tillstånd med hjälp av ett tredjepartsprogram: CrowdInspect av CrowdStrike. CrowdInspect är ett gratis, värdbaserat processinspektionsverktyg i realtid som söker efter skadlig kod i bakgrunden med hjälp av detekteringsmotorer som VirusTotal.
- Ladda ner CrowdInspect ZIP-filen från den officiella länken Klicka på det extraherade programmet för att köra det. Du behöver inte installera något.
- Godkänn licensavtalet och fortsätt till skärmen där du kan utföra en hybridanalys av alla bakgrundsprocesser på din Windows-dator. Använd den inbyggda API-nyckeln och klicka på "OK".
3. Vänta medan CrowdInspect fyller din skärm med en fullständig lista över bakgrundsprogram och processer på din Windows-dator.
Du kan kontrollera statusen för dina program med färgkoder. Alla rena objekt indikeras med en grön ikon. Om det finns några tvivel ser du frågetecken bredvid ikonen. För objekt med låg risk finns det en gul ikon. För objekt med hög risk indikeras med en röd ikon. Du kommer inte att se några gula eller röda ikoner om din enhet är felfri.
4. För att ytterligare verifiera att det inte finns några problem med skadlig kod, högerklicka på processen och klicka på "Visa HA-testresultat"Du bör inte märka några fel, vilket är en säker indikation på att du inte har att göra med någon skadlig kod.
Lista över vanliga Windows 11/10-processer som liknar skadlig kod
1. Explorer.exe
Det universella Windows Utforskarprogrammet, explorer.exe, är lättåtkomligt från aktivitetsfältet och skrivbordet. Dess primära syfte är att fungera som en filhanterare för alla filer och mappar på en Windows 11/10-enhet. På grund av sin vitala betydelse är explorer.exe ett favoritmål för angripare.
Virusdetektering: Skadlig programvara dyker vanligtvis upp som explorer.exe-filer, trojaner, ransomware (särskilt e-post) och Adobe Flash-filer. Det legitima programmet finns nästan alltid i "C:\Windows", Dubbletter kan visas på din D-enhet, i programfiler, dolda mappar eller någon annan plats på datorn.
Förfarande: Om det finns två till tre instanser av explorer.exe på din dator behöver du inte oroa dig så länge de alla har giltiga digitala signaturer och platser. När det finns flera processer som förbrukar CPU, markera de falska processerna i CrowdInspect och högerklicka. "För att stoppa processen."
2. lsass.exe
lsass.exe står för tjänsten Local Security Authority Subsystem, som körs bakom Windows användarautentisering. Förutom skadlig kod bör du inte avsluta de ursprungliga processerna, eftersom det kommer att leda till att ditt system förlorar åtkomst till Administratörskonton och lokala konton , vilket gör att enheten startar om.
Virusdetektering: En vanlig metod som används av utvecklare av skadlig kod för att dölja lsass är att ersätta gemener "l" med ett brev "jag" med versaler eller versaler "L." Se upp för avsiktliga stavfel. Se även upp för digitala signaturer och ogiltiga filer som finns utanför mappen. “C: \ Windows \ System32” Det är en solklar gåva.
Förfarande: Avsluta pseudo-lsass-processerna från Aktivitetshanteraren. Om du är osäker på om tecknet "l" Mor "jag" Gör samma sak från CrowdInspect. Flera giltiga lsass-instanser fungerar bra och bör inte struntas i dem.
3. RuntimeBroker.exe
RuntimeBroker.exe är en säker Microsoft-process vars uppgift är att hantera behörigheterna för alla appar som laddas ner från Microsoft Store. Den verifierar äktheten hos program som appen Foton. Om en app inte hör hemma på din Windows-enhet varnar Runtime Broker dig genom att förbruka en stor mängd extra minne.
Virusdetektering: Om din Windows-dator är infekterad med RuntimeBroker.exe-viruset kommer du att se dess närvaro på andra datorplatser än "C:\Windows\System32." Eftersom programvaran är olaglig kommer minnesläckor att öka dramatiskt, vilket belastar din processor. Du kommer också att märka en ogiltig digital signatur för förfalskade instanser.
Förfarande: Öppen Aktivitetshanteraren. Ankენr فوق Flera instanser Gäller för Runtime Broker och klick "Avsluta jobbet"Detta kommer att eliminera eventuella problem med en viss applikation. För falska RuntimeBroker.exe-poster, avinstallera dem från CrowdInspect.
4. Winlogon.exe
När det gäller Windows bakgrundsprocesser finns det inget viktigare i sammanhanget än winlogon.exe. Den hanterar inte bara inloggningsprocessen, utan laddar även användarprofiler, styr skärmsläckaren och ansluter till flera nätverk. Den finns i "C:\Windows\System32."
Virusdetektering: Winlogon.exe är vanligtvis ett spionprogram eller en keylogger, men är en mycket farlig skadlig kod som kan orsaka systemkrascher och är lätt att identifiera. Om du har Windows Defender igång kommer programmet att varna dig om att omedelbart ta bort filen och avsluta alla andra vektorer den använder (e-post, webbläsare).
Förfarande: Den säkra körbara filen winlogon.exe kommer inte att ha mer än en instans i CrowdInspect. Andra falska instanser bör tas bort vid ankomst med hjälp av förslag från Windows Defender.
5. Svchost.exe-fil
Filen svchost.exe hänvisar till Windows-tjänstvärd , en delad tjänstprocess som fungerar som ett skal för att ladda olika Windows-tjänster. Beroende på antalet öppna program finns det vanligtvis flera instanser av svchost.exe-filen som körs som individuella processer.
Virusdetektering: Du kommer att stöta på en svchost.exe-loop när du hittar en skyddad mapp eller ett skyddat program som blockeras av en duplicerad process eller stavningsvarianter som "svhosts.exe"De är mestadels ransomware eller verktyg för bankbedrägerier. Deras källvektorer inkluderar PDF-filer, ZIP-filer och JavaScript.
Förfarande: Dessa trojaner representerar vanligtvis ett lågnivåhot men bör tas bort så snart som möjligt. Standardantivirusverktyg och Windows Defender är utrustade för att ta bort alla tjänstvärdinstanser som inte finns i "C:\Windows\System32".
6. OfficeClickToRun.exe
Om du använder Office-verktyg – som Word, Excel eller PowerPoint – kan du ha stött på en körbar fil som heter OfficeClickToRun.exe. Dess uppgift är att köra de senaste versionerna av Microsoft Office på din dator och hantera uppdateringar. Även om det inte är skadlig kod kan OfficeClickToRun.exe vara ett minnesslukare för din processor. Men om du tar bort tillfälliga filer regelbundet blir denna belastning mycket mindre.
Virusdetektering: Finns den körbara filen någon annanstans än i mappen Program Files i den delade Microsoft-mappen? Den extra filen är inte bra för ditt system. Dessutom bör din Windows-dator bara ha en instans av OfficeClickToRun.exe igång. Kontrollera alla andras digitala signaturer.
Förfarande: Även om det i sig inte är skadligt kan falska OfficeClickToRun.exe-instanser täppa till ditt systemminne. De kommer vanligtvis via infekterade filer och dokument, vilka bör raderas omedelbart.
7. igfxem.exe
igfxEM.exe är en okänd bakgrundsprocess som är avgörande för att hantera Intel-grafikkortet och därför mycket viktig för grafikkortets skärm. Den är förinstallerad på din enhet och bör lämnas orörd, eftersom den inte alls belastar systemet.
Virusdetektering: Om du har mer än en instans av igfxEM (och stavfelen är som beskrivna), kontrollera de digitala signaturerna. Om de visar Intel och Microsoft är du inte infekterad med skadlig kod. Annars har du inte en äkta igfxEM-fil, och den här processen bör tas bort.
Förfarande: Du bör inte vidta några åtgärder om du har giltiga digitala signaturer – inte ens med flera Intel-instanser. Om ditt ursprungliga Intel-grafikkort verkar vara skadat kan du försöka installera om drivrutinen från "devmgmt.msc", Enhetshanteraren, i Start-menyn.
8. Csrss.exe
Csrss.exe står för Client Server Runtime Subsystem, en legitim användarprocess avsedd att hantera Windows grafikaktiviteter, såsom att stänga av det grafiska användargränssnittet och systemkonsoltjänster. Den misstas ofta för skadlig kod. Att avsluta den kan vara dödligt för ditt system och resultera i en garanterad krasch.
Virusdetektering: Precis som andra program där ute, "C:\Windows\System32" csrss.exe körs tyst i bakgrunden, och du hittar bara en eller två instanser i CrowdInspect. Alla misstänkta filer kommer att ha ogiltiga digitala signaturer och förlora upphovsrättsinformation.
Förfarande: csrss.exe används ofta av oseriösa säkerhetsprogramvaruföretag och teknikbedragare som "bevis" på en maskininfektion. Detta är inte riktig skadlig kod, så du bör aldrig avbryta den pågående processen på grund av dåliga tekniska råd.
9. GoogleCrashHandler.exe-fil
Om du har någon Google-programvara på din Windows-enhet, inklusive Google Chrome, hittar du en körbar fil som heter GoogleCrashHandler.exe, som är en del av Google Updater-paketet. Detta är inte en kritisk Windows-komponent och kan tas bort säkert och enkelt, men det är inte alltid skadligt heller.
Virusdetektering: Om den digitala signaturen för Google CrashHandler.exe är ogiltig, d.v.s. den inte är signerad av Google, tittar vi på ett möjligt tecken på spionprogram eller rootkit-infektion, eftersom den normala processen är säker.
Förfarande: Ta bort alla förekomster av GoogleCrashHandler.exe från systemets aktivitetshanterare, även om det inte alltid är skadlig kod. Du vill inte att det ska belasta din processor i onödan om du inte vill skicka kraschrapporter till Google.
10. Spoolsv.exe
Spoolsv.exe är en inbyggd Windows-process, integrerad med Printing Spooler-tjänsten, som översätter teckensnitt och grafik till skrivarhårdvara och alla virtuella skrivare. Detta är en central Windows-process som har funnits sedan början av MS-DOS. Om du avslutar giltiga poster i spoolsv.exe-processen kommer enheten att sluta fungera och systemet startas om.
Virusdetektering: Även om det liknar viss skadlig kod är spoolsv.exe en legitim och säker Windows-process. Alla ytterligare processer kommer att sakna digitala signaturer från Microsoft. Om skapare av skadlig kod använder ett liknande namn för att rikta in sig på ditt system bör Windows Defender varna dig.
Förfarande: Ingen åtgärd bör vidtas om spoolsv.exe-processen har verifierats av en digital signatur från Microsoft. Annars går du till Aktivitetshanteraren för att avsluta processen.
11. Aktivitetshanteraren
Aktivitetshanteraren i Windows (taskmgr.exe) är ett mycket viktigt program som styr alla centrala Windows-processer samt applikationer. Att inaktivera detta viktiga program och dess derivat, som taskhostw.exe, kan vara dödligt för ditt system, och utvecklare av skadlig kod är väl medvetna om detta.
Virusdetektering: Om du upplever att ett program som är kopplat till Aktivitetshanteraren inte fungerar korrekt, kontrollera dess filplats, som ska vara i "C:\Windows\System32". Starta om enheten för att se om problemet har lösts. Om den misstänkta Aktivitetshanteraren-instansen kvarstår undersöker vi potentiell skadlig kod. Ett annat tecken är att dess digitala signatur kan vara ogiltig.
Förfarande: Vilken som helst kan specificeras. Aktivitetshanteraren - Liksom den körbara filen - infekterad med skadlig kod och avslutad från själva Aktivitetshanteraren. Om du däremot upplever felet TaskSchedulerHelper.dll i Windows 10, vidta de korrigerande åtgärder som beskrivs.
Sammanfattning: Varningstecken på skadlig kod som liknar Windows-processer
Här är en snabb sammanfattning av hur du hanterar misstänkta processer som liknar vanliga Windows-systemprocesser. Du kanske har att göra med skadlig programvara, men det är viktigt att hålla utkik efter dessa varningstecken.
- Kontrollera appens egendomsinformation för korrekta upphovsrätter: Varje program i Windows 11 och Windows 10 har en filplats. Därifrån kan du komma åt "detaljerna" i fliken "Egenskaper". Se till att upphovsrätten tillhör Windows, TrustedInstaller eller legitima processägare, såsom Google, Intel, NVIDIA, etc. Om inte, letar vi efter en potentiell källa till skadlig kod som behöver tas bort från ditt system.
- Kontrollera CPU-användningen för Windows-processprogram: Det är normalt att CPU-användningen ökar i Windows när flera system körs samtidigt. Men om samma program flera gånger saktar ner systemet är det oroande. Onödiga program bör identifieras och stängas omedelbart.
- Kontrollera misstänkta Windows-processer för digitala signaturer: Detta är det viktigaste och enklaste sättet att verifiera en process äkthet. Om den digitala signaturen för en process är ogiltig och inte kommer från en betrodd källa, är det hög sannolikhet att det är skadlig kod.
- Kontrollera platsen för den misstänkta processfilen: De flesta Windows-filprocesser har en väldefinierad plats på datorn. Det kan vara antingen "C:\Windows\System32" , programfiler eller någon annan väldefinierad plats. Du bör inte hitta förekomster av den här processen på andra platser, till exempel enhet D, eftersom det indikerar möjligheten till skadlig kod.
Vanliga frågor
F1. Vad ska jag göra om en viss Windows-process faktiskt är skadlig?
svar. Ingen legitim Windows-process kan skada ditt system. Om det dock upprepade gånger förekommer att sådana processer innehåller skadlig programvara, gå till CrowdInspect, högerklicka på processen och klicka sedan på "Avsluta processen"Om Windows Defender körs kommer det att hantera dessa fall av skadlig kod. Läs vidare för att ta reda på varför. Windows Defender är det enda antivirusprogrammet du behöver..
F2. Vad händer när en giltig Windows-process avslutas och hur återställer man sig därifrån?
svar. Om du av misstag avslutar en legitim Windows-process beror konsekvenserna på hur kritisk processen är för ditt system. Om det är en onödig programvaruprocess kommer det inte att påverka din Windows-enhet.
För processer med hög påverkan, som winlogon.exe och csrss.exe, har Windows en inbyggd mekanism för att förhindra oavsiktlig avslutning. Men om de kvarstår och du försöker avsluta systemet från Aktivitetshanteraren, stängs datorn av automatiskt, vilket kräver en omstart. I värsta fall kan detta leda till ett fullständigt strömavbrott och permanenta skador på grund av en krasch.
Om en process med låg påverkan är en integrerad del av den schemalagda driften och underhållet av Windows, kommer systemet att rapportera ett kritiskt fel och Stäng av den automatiskt. Efter start Problemet kommer att försvinna.
