Procesy jsou nezbytnou a nevyhnutelnou součástí Windows a není neobvyklé, že jich ve Správci úloh vidíte desítky nebo stovky. Každý proces je spuštěná aplikace nebo její část. Tvůrci malwaru to bohužel vědí a je známo, že skrývají špatný kód za legitimní názvy procesů.
Zde jsou některé z nejběžnějších hacknutých nebo replikovaných procesů spolu s tím, kam jít a jak zjistit škodlivou verzi. Viz Jak se malware dostane do App Stores?
1. svchost.exe
Hostitel služby nebo svchost.exe je proces sdílené služby. Umožňuje mnoha dalším službám Windows sdílet procesy. To pomáhá snížit spotřebu zdrojů a zvyšuje efektivitu systému. Téměř jistě uvidíte více než jednu instanci svchost.exe ve Správci úloh, ale to je normální. Pokud byl jeden nebo více těchto souborů napadeno malwarem, můžete zaznamenat výrazné snížení výkonu.
Legitimní soubory svchost by se měly nacházet v následující cestě:
C:\Windows\System32
Pokud máte podezření, že byl proces ohrožen, zkontrolujte následující cestu:
C:\Windows\Temp
Pokud zde vidíte svchost.exe, může se jednat o škodlivý soubor. Naskenujte soubor pomocí antiviru a v případě potřeby jej umístěte do karantény. Zkontrolujte, co je proces svchost.exe, je bezpečný nebo by měl být zastaven?
2. explorer.exe
Explorer.exe je zodpovědný za grafické prostředí, které si prohlížíte. Bez něj byste neměli hlavní panel, nabídku Start, správce souborů a dokonce ani plochu. Proto jsou nezbytnou součástí systému Windows a nelze je zakázat.
Mnoho virů se může pomocí názvu souboru Explorer.exe schovat za něj, včetně trojan.w32.ZAPCHAST. Legitimní soubor se nachází v následující cestě:
C:\Windows
Pokud jej najdete v System32, určitě si jej zkontrolujte pomocí svého oblíbeného antiviru.
3. Winlogon.exe
Proces Winlogon.exe je nezbytnou součástí systému Windows. Zvládá věci, jako je načítání uživatelského profilu během přihlašování a zamykání počítače, když je aktivní spořič obrazovky. Bohužel, protože se zabývají bezpečnostními prvky, Windows Logon a proces winlogon.exe jsou běžnými cíli hrozeb.
Mnoho trojských koní, včetně Vundo, může být skryto v souboru nebo maskováno jako winlogon.exe. Obvyklé umístění Winlogon.exe je následující cesta:
C:\Windows\System32
Pokud ji najdete na jakékoli jiné cestě, může to být maligní, jako například:
C:\Windows\WinSecurity
Jasnou známkou toho, že proces byl unesen, je neobvykle vysoké využití paměti.
Viry a malware se neskrývají jen za procesy Windows. Zde je několik dalších způsobů, jak může malware zůstat bez povšimnutí a skrýt se ve vašem počítači.
4. Csrss.exe
Klient/Server Runtime Subsystem neboli Csrss.exe je jedním ze základních procesů Windows. Přestože se v posledních verzích Windows příliš nepoužívají, systém je stále vyžaduje a nelze je zakázat.
O viru Nimda.E je známo, že napodobuje proces Csrss.exe, i když to není jediná potenciální hrozba. Legitimní soubor musí být umístěn ve složkách System32 nebo SysWOW64. Klepněte pravým tlačítkem myši na proces Csrss.exe ve Správci úloh a vyberte Csrss.exe Otevřít umístění souboru. Pokud je umístěn jinde, pravděpodobně se jedná o škodlivý soubor. Zkontrolujte, co je proces Csrss.Exe ve Windows a je bezpečný?
5. Lsass.exe
lsass.exe je základní proces zodpovědný za zásady zabezpečení v systému Windows. Kde si mimo jiné ověřujete přihlašovací jméno a heslo. Je nepravděpodobné, že by proces byl unesen. Pokud nefunguje správně, obvykle vás automaticky odhlásí z počítače. Je však známo, že viry používají ke skrytí název souboru.
Vyhledejte soubor Lsass.exe v následující cestě:
C:\Windows\System32
Toto je jediné místo, kde byste to měli najít. Pokud jej uvidíte jinde, například C:\Windows\system nebo C:\Program Files, chovejte se podezřele a prohledejte soubor pomocí antiviru. Podívejte se, co je hackování hardwaru a měli byste se jím zabývat?
6. Service.exe
Proces Services.exe je zodpovědný za spouštění a zastavování mnoha základních služeb systému Windows. Stejně jako ostatní procesy Windows na tomto seznamu se na ně viry a malware zaměřují, protože jim umožňuje skrýt se na očích.
Pokud je soubor kompromitován, mohou nastat problémy během spouštění a vypínání počítače. Vyhledejte originální soubor Services.exe ve složce System32. Pokud se nachází někde jinde, například v následující cestě:
C:\Windows\Stav připojení
Soubor může být virus.
Zde uvedené procesy jsou nezbytné pro správné fungování systému Windows. Ale ne všechny a dokonce i mnoho nepodstatných procesů lze uzavřít, aby se zlepšil výkon.
7. Spoolsv.exe
Služba Windows Print Spooler Service neboli Spoolsv.exe je důležitou součástí tiskového rozhraní. Běží na pozadí a v případě potřeby čeká na správu věcí, jako je tisková fronta. Proces se nespoléhá na připojení tiskárny, takže byste neměli být překvapeni, když jej uvidíte ve Správci úloh.
Možná proto, že Spoolsv.exe je tak snadno přehlédnutelný, může virus přijmout jméno, aby se zdál legitimní. Skutečný soubor spoolů lze nalézt v následující cestě:
C:\Windows\System32
Falešný soubor se často objevuje v C:\Windows nebo ve složce uživatelského profilu. Zkontrolujte, které procesy Windows můžete bezpečně ukončit, abyste zvýšili výkon?
Jak zkontrolujete, zda je proces legitimní?
Správce úloh je váš přítel, když hledáte podezřelou aktivitu. Infikované procesy se často chovají nevyzpytatelně a spotřebovávají více energie, paměti a CPU než obvykle. Ale není tomu tak vždy, proto zde uvádíme několik dalších způsobů, jak ověřit legitimitu procesu.
Většina zde uvedených základních procesů by se měla objevit pouze ve složce System32. Umístění podezřelého souboru můžete snadno zkontrolovat ve správci úloh. Klikněte pravým tlačítkem na proces a vyberte Otevřít umístění souboru. Zkontrolujte cestu ke složce, která se otevře, abyste se ujistili, že je soubor ve správném umístění.
Dalším způsobem, jak zjistit, zda je soubor legitimní, je zkontrolovat jeho velikost. Je to velikost většiny souborů .exe. Méně než 200 KB pro tyto základní operace. Klikněte pravým tlačítkem na název procesu ve správci úloh a vyberte funkcí A podívejte se na velikost. Pokud se vám zdá neobvykle velký, podívejte se blíže, abyste zjistili, zda je bezpečný.
Můžete také zkontrolovat certifikát souboru EXE. Původní soubor má bezpečnostní certifikát vydaný společností Microsoft. Pokud vidíte něco jiného, pravděpodobně je to škodlivé.
Poslední věcí, kterou musíte udělat, je skenovat podezřelé soubory pomocí aktualizovaného antivirového skeneru. Umístěte do karantény a odstraňte všechny soubory označené jako infikované. Naštěstí jsou nejnovější verze systému Windows dodávány s programem Microsoft Defender, takže se naučte, jak pomocí programu Microsoft Defender skenovat jeden soubor nebo složku a zkontrolovat, zda nenajdete všechny podezřelé soubory. Podívejte se, jak uložit seznam běžících procesů ve Windows.
Systém Windows může zpracovávat virus
Součástí ochrany počítače se systémem Windows před malwarem a viry je vědět, kde se skrývají. Někdy se škodlivý soubor chová zvláštně a využívá hodně CPU a paměti. Ale ne vždy. Odhalit podezřelý soubor jinými způsoby je tedy užitečná dovednost. Nyní můžete vidět Dojde využití GPU na 100 % ve Windows? Jak to napravíte.
