Windows işlemleri, bilgisayarınızın veya dizüstü bilgisayarınızın düzgün çalışmasında önemli bir rol oynar. Csrss.exe ve winlogon.exe gibi bazıları o kadar kritiktir ki, yanlışlıkla onları sonlandırmaya karar verirseniz, makinenizin çökmesine neden olabilirsiniz. Kötü amaçlı yazılım yazarları, sağlıklı Windows sistemlerine bulaşmak için bu hayati önemden yararlanır. Öncül, virüslerin, reklam yazılımlarının, casus yazılımların ve Truva atlarının herhangi bir adla adlandırılabileceği, hatta standart Windows sistem işlemlerinden sonra adlandırılabileceğidir.
Windows işlemlerinin meşru olup olmadığı nasıl anlaşılır
Windows işlemlerinin meşru olup olmadığını veya kötü amaçlı yazılım kaynağı olup olmadığını kontrol etmenin iki yolu vardır: uygulama özellikleri aracılığıyla ve CrowdStrike by CrowdInspect gibi üçüncü taraf araçları kullanarak.
1. Windows işlemlerinin meşruiyetini özelliklerine göre doğrulayın
Tüm yetkili Windows işlem dosyaları Microsoft'a, resmi yazılım/uygulama geliştiricisine veya WindowsApps gibi klasörleri yöneten TrustedInstaller.exe gibi yerleşik bir Microsoft hesabına bağlıdır.
Bir Windows 11 veya 10 işleminin yasal olup olmadığını ve kötü amaçlı yazılım kaynağı olmadığını belirlemek için uygulama özelliklerinde ayrıntılı incelemeniz gerekir. sekmeye git "Ayrıntılar" Ve sürecin resmi telif hakkı sahibini arayın. Microsoft, bir uygulama geliştiricisi veya TrustedInstaller ise, hazırsınız.
Ayrıca Windows 11/10'da sekmeyi kontrol edebilirsiniz. "dijital imzalar" özelliklerini işlemek için. Burada, size ekstra bir güvence katmanı sağlayan en son zaman damgalarına sahip resmi dijital imzaları bulacaksınız.
Çünkü imzalama bu süreçler için bir itici güçtür Microsoft'tan standart izinler gerektirir (Ayrıca, cihazın kök dizinine herhangi bir yetkisiz erişim şu şekilde engellenir: UEFI güvenli önyükleme), kötü amaçlı yazılım yazarlarının Windows 11'de dijital imzalar oluşturması artık imkansız.
Sıradandan çok önemliye, mesela hizmetler.exe أو “svchost.exe” Tüm Windows 11 işlemleri, zaman damgalarıyla dijital olarak imzalanır. Her başarılı Windows güncellemesinde bu kimlik doğrulaması doğrulanır.
Öte yandan, Windows 10 işlem özelliklerinde dijital imzalar sekmesi tamamen eksik olabilir. Ayrıca, bazı işlemler telif hakkı bilgilerini doğru göstermeyebilir.
Ancak, Windows 10'da bile, Winlogon.exe gibi görev açısından kritik dahili sistem işlemleri her zaman bu bilgileri görüntüler. Yazılımın orijinalliğini başka yollarla doğrulayabilirsiniz. Ayrıca, Windows 10 veya 11'de imzasız sürücüler yüklerseniz, sonraki yeniden başlatmada hiçbir dijital imza görünmez.
2. CrowdInspect ile Windows işlemlerinin geçerliliğini kontrol edin
Hem Windows 10 hem de Windows 11'de, bir işlem dosyasının geçerliliğini harici bir yazılım uygulamasıyla kontrol edebilirsiniz: CrowdInspect by CrowdStrike. CrowdInspect, VirusTotal gibi algılama motorlarını kullanarak arka planda kötü amaçlı yazılım taraması yapan ücretsiz, ana bilgisayar tabanlı, gerçek zamanlı bir işlem tarama aracıdır.
- CrowdInspect ZIP dosyasını resmi bağlantıdan indirin Ve çalıştırmak için sıkıştırılmış programa tıklayın. Hiçbir şey yüklemeniz gerekmez.
- Lisans sözleşmesini kabul edin ve Windows makinenizdeki tüm arka plan işlemlerinin hibrit analizini yapabileceğiniz ekrana gidin. Yerleşik API anahtarını kullanın ve tıklayın "TAMAM MI".
3. CrowdInspect'in ekranınızı Windows aygıtınızdaki tüm arka plan programları ve işlemleriyle doldurmasını bekleyin.
Programların durumunu renk kodları ile kontrol edebilirsiniz. Herhangi bir temiz öğe yeşil bir simgeyle gösterilir. Şüpheniz varsa simgenin yanında soru işaretleri göreceksiniz. Düşük riskli tehdit içeren öğeler için sarı bir simge vardır. Yüksek riskli öğeler kırmızı bir simge ile gösterilir. Cihazınız sorunsuzsa herhangi bir sarı veya kırmızı simge görmezsiniz.
4. Kötü amaçlı yazılım endişesi olmadığını daha fazla doğrulamak için işleme sağ tıklayın ve HA Testi Sonuçlarını Görüntüle. Herhangi bir hata görmemelisiniz, bu, herhangi bir kötü amaçlı yazılımla uğraşmadığınızın güvenli bir göstergesidir.
Kötü amaçlı yazılım gibi görünen yaygın Windows 11/10 işlemlerinin listesi
1. explorer.exe
Evrensel Windows dosya gezgini programı explorer.exe'ye görev çubuğundan ve masaüstünden kolayca erişilebilir. Ana amacı, Windows 11/10 cihazınızın tüm dosya ve klasörleri için bir dosya yöneticisi olarak hareket etmektir. Hayati önemi nedeniyle explorer.exe, saldırganlar için favori bir hedeftir.
Virüs tespiti: explorer.exe kötü amaçlı yazılımı genellikle Truva atları, fidye yazılımı (özellikle e-posta) ve Adobe Flash dosyaları olarak görünür. Meşru yazılım her zaman şu adreste bulunur: “C:\Windows”, Kopyalar, D sürücüsünde, program dosyalarında, gizli klasörlerde veya başka herhangi bir bilgisayar konumunda görünebilir.
Eylem: Makinenizde iki ila üç explorer.exe örneği varsa, hepsinin geçerli dijital imzaları ve konumları olduğu sürece endişelenmenize gerek yoktur. CPU tüketen birden çok işlem olduğunda, CrowdInspect'te sahte işlemleri seçin ve ardından sağ tıklayın Süreci durdurmak için.
2.lsass.exe
lsass.exe, Windows Kullanıcı Kimlik Doğrulamasının arkasında çalışan Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti anlamına gelir. Kötü amaçlı yazılım dışında, orijinal işlemleri asla sonlandırmamalısınız, çünkü bu, sisteminizin Yönetici hesapları ve yerel hesaplar , bu da cihazın yeniden başlatılmasına neden olur.
Virüs tespiti: Kötü amaçlı yazılım yazarları tarafından lsass'ı gizlemek için kullanılan yaygın bir yöntem, küçük harfi değiştirmektir. "L" mektupla "ben" büyük veya büyük harflerle "L." Kasıtlı yazım yanlışlarına dikkat edin. Ayrıca, tüm geçersiz dijital imzalar ve dosyalar klasörün dışındadır. "C: \ Windows \ System32" Bu bariz bir hediye.
Eylem: Görev yöneticisinden lsass sahte işlemlerinden çıkın. Karakterin olup olmadığından emin değilseniz "L" veya "ben" , aynısını CrowdInspect'ten yapın. Birden fazla geçerli lsass örneği iyidir ve karıştırılmamalıdır.
3. RuntimeBroker.exe
RuntimeBroker.exe, işi Microsoft Store'dan indirilen tüm uygulamaların izinlerini yönetmek olan güvenli bir Microsoft işlemidir. Fotoğraflar uygulaması gibi yazılımların orijinalliğini doğrular. Herhangi bir uygulama Windows makinenize ait değilse, Runtime Broker fazladan bellek tüketerek sizi uyarır.
Virüs tespiti: Windows makinenize RuntimeBroker.exe virüsü bulaşmışsa, varlığını başka bilgisayar konumlarında göreceksiniz. "C:\Windows\System32." Yazılım yasa dışı olduğu için, bellek sızıntıları önemli ölçüde artarak CPU'nuza aşırı yük bindirir. Sahte durumlar için geçersiz bir dijital imza da fark edeceksiniz.
Eylem: aç Görev yöneticisi. tık Birden fazla örnek Runtime Broker için geçerli ve tıklayın "Görevi bitir". Bu, belirli bir uygulamayla ilgili sorunları sona erdirir. Sahte RuntimeBroker.exe girişlerini CrowdInspect'ten sonlandırın.
4.winlogon.exe
Windows arka plan işlemleri söz konusu olduğunda, düzende hiçbir şey winlogon.exe'den daha önemli değildir. Yalnızca oturum açma sürecini yönetmekle kalmaz, aynı zamanda kullanıcı profillerini yükler, ekran koruyucuyu kontrol eder ve birden çok ağa bağlanır. Bulunduğu yer "C:\Windows\System32."
Virüs tespiti: Genellikle bir casus yazılım veya keylogger olan winlogon.exe, tespit edilmesi kolay olan sistemlerin çökmesine neden olabilecek çok tehlikeli bir kötü amaçlı yazılımdır. Windows Defender çalışıyorsa, dosyayı hemen silmeniz ve kullanılan tüm vektörleri (e-posta, web tarayıcısı) sonlandırmanız konusunda sizi uyaracaktır.
Eylem: Güvenli winlogon.exe yürütülebilir dosyası, CrowdInspect'te birden fazla örnek içermeyecektir. Diğer sahte örnekler, Windows Defender önerileri kullanılarak varışta silinmelidir.
5.svchost.exe
Svchost.exe'nin anlamı Windows Hizmet Ana Bilgisayarı çeşitli Windows hizmetlerini yüklemek için bir kabuk görevi gören paylaşılan bir hizmet sürecidir. Açık uygulamaların sayısına bağlı olarak, genellikle tek bir işlem olarak çalışan birçok svchost.exe örneği vardır.
Virüs tespiti: Yinelenen bir işlem veya yazım değişkenleri tarafından engellenen korumalı bir klasör veya program bulduğunda, bir svchost.exe kötü amaçlı yazılım döngüsüyle karşılaşacaksınız. “svhosts.exe”. Bunlar çoğunlukla fidye yazılımı veya banka dolandırıcılığı araçlarıdır. Kaynak vektörleri arasında PDF'ler, ZIP dosyaları ve JavaScript bulunur.
Eylem: Bu Truva atları genellikle düşük seviyeli bir tehdittir ancak en kısa sürede kaldırılmalıdır. Standart virüsten koruma araçları ve Windows Defender, hizmetin sunucuda olmayan tüm ana bilgisayar örneklerini silmek için donatılmıştır. "C:\Windows\System32".
6. OfficeClickToRun.exe
Word, Excel veya PowerPoint gibi Office araçlarını kullanıyorsanız OfficeClickToRun.exe adlı yürütülebilir bir dosyayla karşılaşmışsınızdır. Görevi, cihazınızda Microsoft Office'in en son sürümlerini çalıştırmak ve güncellemeleri yönetmektir. Kötü amaçlı yazılım olmadığında bile OfficeClickToRun.exe, CPU'nuzda bir bellek domuzu olabilir. Ancak, geçici dosyaları düzenli aralıklarla silerseniz, bu çok daha az yük olacaktır.
Virüs tespiti: Yürütülebilir dosya, Microsoft paylaşılan klasöründe Program Dosyaları dışında herhangi bir yerde bulunuyor mu? Fazladan dosya sisteminiz için sağlıklı değil. Ayrıca, Windows makinenizde çalışan yalnızca bir OfficeClickToRun.exe örneği bulunmalıdır. Diğer herkesin dijital imzalarını doğrulayın.
Eylem: Kendi başına zararlı olmasa da, sahte OfficeClickToRun.exe örnekleri sistem belleğinizi tıkayabilir. Genellikle, hemen silinmeleri gereken virüslü dosyalara ve belgelere rastlarlar.
7.igfxem.exe
igfxEM.exe, Intel grafik kartını yönetmek için gerekli olan ve bu nedenle video kartının görüntülenmesi için çok önemli olan bilinmeyen bir arka plan işlemidir. Cihazınıza önceden yüklenmiş olarak gelir ve sistem üzerinde bir yük olmadığı için kendi haline bırakılmalıdır.
Virüs tespiti: Birden fazla igfxEM örneğiniz varsa (ve belirtildiği gibi yazım yanlışları varsa), dijital imzaların doğru olduğunu doğrulayın. Intel ve Microsoft gösteriyorsa, kötü amaçlı yazılım yoktur. Aksi takdirde orijinal bir igfxEM dosyanız olmaz ve bu işlemin kaldırılması gerekir.
Eylem: Geçerli dijital imzalarınız varsa - birden fazla Intel örneği olsa bile - herhangi bir işlem yapmamalısınız. Orijinal Intel grafik kartınız zarar görmüş gibi görünüyorsa, sürücüyü yeniden yüklemeyi deneyin. “devmgmt.msc”, Aygıt Yöneticisi, Başlat menüsünde.
8. CSRSS.exe
Csrss.exe, İstemci Sunucusu Çalışma Zamanı Alt Sistemi anlamına gelir ve GUI ve sistem konsolu hizmetlerini kapatmak gibi Windows Grafik etkinliklerini yönetmeyi amaçlayan meşru bir kullanıcı işlemidir. Kötü amaçlı yazılımla karıştırılması çok yaygındır. Bunları sonlandırmak, sisteminiz için ölümcül olabilir ve garantili bir çökmeye neden olabilir.
Virüs tespiti: Diğer programlar gibi “C:\Windows\System32” , csrss.exe arka planda sessizce kalır ve CrowdInspect'te yalnızca bir veya iki örnek bulursunuz. Tüm şüpheli dosyalar geçersiz dijital imzalar içerecek ve telif hakkı ayrıntılarını kaybedecektir.
Eylem: csrss.exe genellikle sahte güvenlik yazılımı şirketleri ve teknik dolandırıcılar tarafından bir cihaza virüs bulaştığının "kanıtı" olarak kullanılır. Bu gerçek bir kötü amaçlı yazılım değildir, bu nedenle yanlış teknik tavsiye nedeniyle mevcut süreci asla sonlandırmamalısınız.
9. GoogleCrashHandler.exe dosyası
Windows makinenizde Google Chrome dahil herhangi bir Google programı varsa, Google Güncelleyici paketlerinin bir parçası olan GoogleCrashHandler.exe adlı yürütülebilir bir dosya bulacaksınız. Bu, Windows'un kritik bir bileşeni değildir ve güvenli ve kolay bir şekilde kaldırılabilir, ancak her zaman kötü amaçlı yazılım da değildir.
Virüs tespiti: Google CrashHandler.exe'nin dijital imzası geçersizse, yani Google tarafından imzalanmamışsa, normal çalışma güvenli olduğu için olası bir casus yazılım veya rootkit bulaşması belirtisi arıyoruz.
Eylem: Her zaman kötü amaçlı yazılım olmasa da GoogleCrashHandler.exe'nin tüm örneklerini sisteminizin görev yöneticisinden kaldırın. Google'a kilitlenme raporları göndermek istemediğiniz sürece CPU'yu gereksiz yere aşırı yüklemek istemezsiniz.
10.Spoolsv.exe
Spoolsv.exe, yazı tiplerini ve grafikleri yazıcı donanımına ve herhangi bir sanal yazıcıya çeviren, Yazdırma Biriktiricisi hizmetiyle tümleştirilmiş yerel bir Windows işlemidir. Bu, MS-DOS'un başlangıcından beri var olan temel Windows işlemidir. spoolsv.exe işlemi için herhangi bir geçerli girişin sonlandırılması, aygıtın arızalanmasına ve sistemin yeniden başlatılmasına neden olur.
Virüs tespiti: Kötü amaçlı yazılım gibi görünse de spoolsv.exe, Windows için güvenli ve meşru bir işlemdir. Herhangi bir ek işlemde Microsoft'un dijital imzaları bulunmayacaktır. Kötü amaçlı yazılım yazarları, sisteminizi hedeflemek için benzer bir ad kullanırsa, Windows Defender sizi uyarmalıdır.
Eylem: Spoolsv.exe işlemi bir Microsoft dijital imzası tarafından doğrulandıysa herhangi bir işlem yapılmamalıdır. Aksi takdirde, işlemi sonlandırmak için görev yöneticisine gidin.
11. Görev yöneticisi
Windows Görev Yöneticisi (taskmgr.exe), tüm temel Windows işlemlerini ve uygulamaları kontrol eden çok önemli bir programdır. Bu kök programı ve taskhostw.exe gibi türevlerini kapatmak, sisteminiz için ölümcül olabilir ve kötü amaçlı yazılım yazarları bunun farkındadır.
Virüs tespiti: Görev Yöneticisi ile ilişkili bir programın düzgün çalışmadığını düşünüyorsanız, şu adreste olması gereken dosya konumunu kontrol edin: "C:\Windows\System32". Sorunun çözülüp çözülmediğini görmek için cihazınızı yeniden başlatın. Şüpheli bir Görev Yöneticisi örneği devam ederse olası kötü amaçlı yazılım taraması yaparız. Diğer bir işaret, geçersiz olacak olan dijital imzasıdır.
Eylem: Herhangi biri belirtilebilir "görev Yöneticisi" – Yürütülebilir dosya gibi – kötü amaçlı yazılım bulaşmış ve görev yöneticisi tarafından sonlandırılmıştır. Ancak, Windows 10'da TaskSchedulerHelper.dll hatasıyla karşılaşıyorsanız, gösterilen düzeltme adımlarını uygulayın.
Özet: Windows işlemlerine benzer kötü amaçlı yazılım uyarı işaretleri
Burada, standart Windows sistem işlemlerine benzer şüpheli işlemlerle nasıl başa çıkılacağına ilişkin kısa bir özet verilmiştir. Herhangi bir kötü amaçlı yazılımla uğraşıyor olabilirsiniz veya olmayabilirsiniz, ancak bu uyarı işaretlerini takip etmeniz önemlidir.
- Doğru telif hakkı için uygulama özelliği ayrıntılarını kontrol edin: Windows 11 ve Windows 10'daki her programın bir dosya konumu vardır. Oradan erişebilirsiniz "Ayrıntılar" Sekmede "Özellikler". Telif hakkının Windows'a, TrustedInstaller'a veya Google, Intel, NVIDIA vb. meşru işlem sahiplerine ait olduğundan emin olun. Değilse, sistemden kaldırılması gereken olası bir kötü amaçlı yazılım kaynağı arıyoruz.
- Windows İşlem programları için CPU kullanımını kontrol edin: Birden fazla sistem birlikte çalışırken Windows CPU kullanımının artması normaldir. Ancak, aynı yazılımın sistemi yavaşlatan birçok örneği endişe kaynağıdır. Gereksiz programlar belirlenmeli ve derhal kapatılmalıdır.
- Dijital imzalar için şüpheli Windows işlemlerini kontrol edin: Bu, süreci doğrulamanın en önemli ve en kolay yoludur. Bir işlemin dijital imzası geçerli değilse ve güvenilir kaynaklardan gelmiyorsa bunun kötü amaçlı yazılım olma olasılığı yüksektir.
- Şüpheli işlemlerin dosya konumunu kontrol edin: Çoğu Windows dosya işleminin bilgisayarınızda iyi tanımlanmış bir konumu vardır. ya olabilir “C:\Windows\System32” , Program Dosyaları veya iyi tanımlanmış başka bir konum. Olası kötü amaçlı yazılımları gösterdiğinden, D sürücüsü gibi diğer alanlarda bu işlemin örneklerini bulmamalısınız.
Sık sorulan sorular
S 1. Belirli bir Windows işlemi zaten kötü amaçlıysa ne yapılmalıdır?
Cevap. Hiçbir meşru Windows işlemi sisteminize zarar veremez. Ancak, kötü amaçlı yazılım içeren bu tür işlemlerin yinelenen örnekleri varsa, CrowdInspect'e gidin, işleme sağ tıklayın ve ardından "Süreci sonlandır". Windows Defender çalışıyorsa, bu kötü amaçlı yazılım örnekleriyle ilgilenecektir. Ayrıca nedenini öğrenmek için okuyun Windows Defender ihtiyacınız olan tek antivirüs.
S2.Geçerli bir Windows işlemi sonlandırıldığında ne olur ve oradan nasıl kurtulursunuz?
Cevap. Geçerli bir Windows işlemini yanlışlıkla sonlandırırsanız, sonuçlar, işlemin sisteminiz için ne kadar kritik olduğuna bağlı olacaktır. Gereksiz bir yazılım işlemiyse, Windows makinesi üzerinde herhangi bir etkisi olmayacaktır.
Windows, winlogon.exe ve csrss.exe gibi yüksek etkili işlemler için bunların yanlışlıkla sonlandırılmasını önleyen yerleşik bir mekanizmaya sahiptir. Ancak ısrar edip görev yöneticisinden sistemi kapatmaya çalışırsanız, cihazınız kendi kendine kapanacak ve yeniden başlatılması gerekecektir. En kötü durumda, bir erime nedeniyle tamamen elektrik kesintisine ve kalıcı hasara yol açabilir.
Düşük etkili bir süreç, Windows'un zamanlanmış başlatma ve bakımının ayrılmaz bir parçasıysa, sistem kritik bir arıza bildirir ve otomatik olarak kapatın. başladıktan sonra , sorun ortadan kalkacaktır.
