Процессы Windows играют важную роль в правильной работе вашего ПК или ноутбука. Некоторые из них, например csrss.exe и winlogon.exe, настолько важны, что если вы по ошибке решите удалить их, это может привести к сбою вашего устройства. Авторы вредоносных программ пользуются такой критичностью для заражения здоровых систем Windows. Идея заключается в том, что вирусы, рекламное ПО, шпионское ПО и троянские программы можно обозначить как угодно — даже в честь стандартных системных процессов Windows.
Ниже приведены несколько основных процессов Windows 11 и 10, которые часто путают с одноименными вредоносными программами. Узнайте, как обнаружить подделки, если они появятся в вашей системе.
Читайте также: Как отформатировать диск в FAT32 в Windows
Как узнать, является ли процесс Windows законным
Существует два способа проверить, является ли процесс Windows законным или источником вредоносного ПО: через свойства приложения и с помощью внешних инструментов, таких как CrowdInspect от CrowdStrike.
1. Проверка легитимности процесса Windows через его свойства
Все авторизованные файлы процессов Windows связаны с корпорацией Microsoft, официальным разработчиком программ/приложений или встроенной учетной записью Microsoft, такой как TrustedInstaller.exe, которая управляет Contents
Как узнать, является ли процесс Windows законным
и, такие как WindowsApps">папки, такие как WindowsApps .Чтобы определить, является ли процесс Windows 11 или 10 законным и не является источником вредоносного ПО, вам необходимо заглянуть под капот в его свойствах приложения. Перейдите во вкладку «Подробности» и найдите официального правообладателя процесса. Если это Microsoft, разработчик приложений или TrustedInstaller, все в порядке.
Также в Windows 11/10 вы можете проверить вкладку «Цифровые подписи» в свойствах процесса. Здесь вы найдете официальные цифровые подписи с последними временными метками, что дает вам дополнительный уровень уверенности.
После подписания драйвера для этих процессов требуются стандартные разрешения Microsoft (более того, любой несанкционированный доступ к корневому каталогу устройства предотвращается Безопасная загрузка UEFI ), авторы вредоносных программ теперь не могут подделать цифровые подписи в Windows 11.
От обыденных до критически важных, таких как «services.exe» или «svchost.exe», все процессы Windows 11 имеют цифровую подпись с метками времени. При каждом успешном обновлении Windows эта аутентификация проверяется повторно.
С другой стороны, в свойствах процесса Windows 10 вкладка «Цифровые подписи» может полностью отсутствовать. Кроме того, некоторые процессы могут неправильно отображать информацию об авторских правах.
Однако даже в Windows 10 критически важные внутренние системные процессы, такие как Winlogon.exe, всегда отображают эту информацию. Вы можете проверить подлинность программного обеспечения другими способами . Кроме того, если у вас установить неподписанные драйверы в Windows 10 или 11 , они не будут показывать никаких цифровых подписей при последующей перезагрузке.
Читайте также: 11 законных процессов Windows, которые могут выглядеть как вредоносное ПО
2. Проверка легитимности процесса Windows с помощью CrowdInspect
Как в Windows 10, так и в Windows 11 вы можете проверить подлинность файла процесса с помощью внешнего программного приложения: CrowdInspect от CrowdStrike. CrowdInspect – это бесплатный инструмент проверки процессов в реальном времени на базе хоста, который сканирует фоновые вредоносные программы с помощью механизмов обнаружения, таких как VirusTotal.
- Загрузите ZIP-файл CrowdInspect по официальной ссылке. и щелкните разархивированную программу, чтобы запустить ее. Вам не нужно ничего устанавливать.
- Примите лицензионное соглашение и перейдите к экрану, где вы сможете выполнить гибридный анализ всех фоновых процессов на вашем устройстве Windows. Используйте встроенный ключ API и нажмите «ОК».
- Подождите, пока CrowdInspect не заполнит ваш экран всем набором фоновых программ и процессов на вашем устройстве Windows.
Вы можете проверить состояние программ с помощью цветных символов. Любой чистый предмет обозначается зеленым значком. Если есть сомнения, рядом со значком вы увидите знаки вопроса. Для элементов с угрозой низкой степени серьезности имеется желтый значок. Элементы с высокой степенью угрозы обозначаются красным значком. Если ваше устройство исправно, вы не увидите желтых или красных значков.
- Чтобы дополнительно убедиться в отсутствии проблем с вредоносным ПО, щелкните процесс правой кнопкой мыши и выберите «Просмотреть результаты теста высокой доступности». Вы не должны заметить никаких ошибок. Это верный признак того, что вы не имеете дело с каким-либо вредоносным ПО.
Читайте также: Как запланировать выключение и запуск Windows
Список распространенных процессов Windows 11/10, напоминающих вредоносное ПО
1. Explorer.exe
Универсальная программа Windows File Explorer, explorer.exe, легко доступна с панели задач и рабочего стола. Его основная цель — служить файловым менеджером для всех файлов и папок вашего устройства с Windows 11/10. Из-за своей
2. Проверка легитимности процесса Windows с помощью CrowdInspect
мышленников.Вирус Обнаружение : вредоносное ПО explorer.exe обычно проявляется в виде троянов, программ-вымогателей (особенно электронной почты) и файлов Adobe Flash. Законная программа всегда находится в папке «C:\Windows», а дубликаты могут отображаться на диске D, в Program Files, скрытых папках или в любом другом месте на компьютере.
Действие : если на вашем устройстве имеется два-три экземпляра explorer.exe, не о чем беспокоиться, если все они имеют действительные цифровые подписи и местоположение. Если несколько процессов потребляют ресурсы ЦП, определите фиктивные в CrowdInspect, а затем щелкните правой кнопкой мыши, чтобы «завершить процесс».
2. lsass.exe
lsass.exe означает службу подсистемы локального органа безопасности, которая работает за аутентификацией пользователя Windows. Помимо вредоносного ПО, вам не следует завершать исходные процессы, так как это приведет к тому, что ваша система потеряет доступ к Административные и локальные учетные записи , что потребует перезагрузки устройства.
Вирус Обнаружение : авторы вредоносных программ обычно маскируют lsass, заменяя строчную букву «l» на «i» в верхнем регистре или прописную букву «L».» Следите за намеренными ошибками в написании. Кроме того, любые недействительные цифровые подписи и файлы, расположенные за пределами папки «C:\Windows\System32», являются очевидным признаком.
Действие : завершите фиктивные процессы lsass из диспетчера задач. Если вы не уверены, буква это «л» или «и», сделайте то же самое в CrowdInspect. Несколько действительных экземпляров lsass — это нормально, и их не следует подделывать.
3. RuntimeBroker.exe
RuntimeBroker.exe — это безопасный процесс Microsoft, задача которого заключается в управлении разрешениями для любых приложений, загруженных из Microsoft Store. Он проверяет подлинность таких программ, как приложение «Фотографии». Если какое-либо приложение не принадлежит вашему устройству с Windows, Runtime Broker предупредит вас, потребляя много дополнительной памяти.
Обнаружение вирусов : если ваше устройство Windows заражено вирусом RuntimeBroker.exe, вы увидите его присутствие в других местах на компьютере, кроме «C:\Windows\System32». Поскольку программа не является законной, утечки памяти резко возрастут, нагружая ваш процессор. Вы также заметите недействительную цифровую подпись для поддельных экземпляров.
Действие : откройте диспетчер задач. Щелкните несколько допустимых экземпляров Runtime Broker и нажмите «Завершить задачу». Это устранит любые проблемы с данным приложением. В случае поддельных записей RuntimeBroker.exe удалите их из CrowdInspect.
4. Winlogon.exe
Когда дело доходит до фоновых процессов Windows, нет ничего более важного, чем winlogon.exe. Он не только управляет процессом входа в систему, но также загружает профили пользователей, управляет заставкой и подключается к нескольким сетям. Он расположен по адресу «C:\Windows\System32».
Обнаружение вирусов. Winlogon.exe обычно представляет собой шпионскую программу или инструмент для кейлоггера. Это очень опасное вредоносное ПО, которое может привести к сбою системы, что легко распознать. Если у вас включен Защитник Windows, он предуп
Список распространенных процессов Windows 11/10, напоминающих вредоносное ПО
ользуемых векторов (элек1. Explorer.exe
ер).Действие : безопасный исполняемый файл winlogon.exe не будет иметь более одного экземпляра в CrowdInspect. Другие фиктивные экземпляры следует удалить по прибытии, используя рекомендации Защитника Windows.
5. Svchost.exe
Svchost.exe относится к «узлу службы» Windows — общему служебному процессу, который служит оболочкой для загрузки различных служб Windows. В зависимости от количества открытых приложений обычно существует множество экземпляров svchost.exe, которые запускаются как отдельные процессы.
Обнаружение вирусов : вы столкнетесь с эпизодом вредоносного ПО svchost.exe, когда обнаружите защищенную папку или программу, заблокированную дублирующим процессом или с вариантами написания, такими как «svhosts.exe». В основном это программы-вымогатели или инструменты банковского мошенничества. Их исходные векторы включают файлы PDF, ZIP-файлы и JavaScript.
Действие : эти трояны обычно представляют собой угрозу низкого уровня, но их следует удалить при первой же возможности. Стандартные антивирусные инструменты и Защитник Windows позволяют удалять любые экземпляры узла службы, не найденные в папке «C:\Windows\System32».
Читайте также: Последние проблемы с Центром обновления Windows и способы их устранения
6. OfficeClickToRun.exe
Если вы и
2. lsass.exe
ты Office, такие как Word, Excel или PowerPoint, вы сталкивались с исполняемым файлом под названием OfficeClickToRun.exe. Его задача — запускать на вашем устройстве последние версии Microsoft Office и обрабатывать обновления. Даже если это не вредоносная программа, OfficeClickToRun.exe может сильно загружать память вашего процессора. Однако если вы периодически удаляете временные файлы, это становится гораздо менее обременительным.Обнаружение вирусов : находится ли исполняемый файл в каком-либо другом месте, кроме Program Files в общей папке Microsoft? Дополнительный файл вреден для вашей системы. Кроме того, на вашем устройстве Windows должен быть запущен только один экземпляр OfficeClickToRun.exe. Проверьте цифровые подписи на наличие других.
Действие : хотя поддельные экземпляры OfficeClickToRun.exe сами по себе не представляют опасности, они могут засорить системную память. Обычно они попадают через зараженные файлы и документы, которые следует незамедлительно удалить.
7. igfxem.exe
igfxEM.exe — это малоизвестный фоновый процесс, который имеет решающее значение для управления видеокартой Intel и, следовательно, очень важен для отображения видеокарты. Он предустановлен на вашем устройстве, и его следует оставить в покое, поскольку он совершенно не нагружает систему.
Обнаружение вирусов : если у вас есть более одного экземпляра igfxEM (и его орфографические ошибки, как показано), проверьте его цифровые подписи. Если отображается Intel и Microsoft, вредоносного ПО нет. В противном случае у вас нет подлинного файла igfxEM, и этот процесс необходимо удалить.
Действие : не следует предпринимать никаких
3. RuntimeBroker.exe
ствительные цифровые подписи – даже при наличии нескольких экземпляров Intel. Если ваша исходная видеокарта Intel кажется поврежденной, попробуйте переустановить драйвер из «devmgmt.msc» «Управление устройствами» в меню «Пуск».8. Csrss.exe
Csrss.exe означает «Подсистема выполнения клиента-сервера», законный пользовательский процесс, предназначенный для управления графическими действиями Windows, такими как завершение работы графического пользовательского интерфейса и службы системной консоли. Его очень часто принимают за вредоносное ПО. Его прекращение может оказаться фатальным для вашей системы и привести к гарантированному сбою.
Обнаружение вирусов. Как и другие программы в «C:\Windows\System32», csrss.exe незаметно остается в фоновом режиме, и в CrowdInspect вы обнаружите только один или два экземпляра. Любые подозрительные файлы будут иметь недействительные цифровые подписи и отсутствовать сведения об авторских правах.
Действие : csrss.exe часто используется мошенническими компаниями-разработчиками программного обеспечения для обеспечения безопасности и техническими мошенниками в качестве «доказательства» заражения устройства. Это не настоящее вредоносное ПО, поэтому никогда не следует прекращать существующий процесс из-за неправильного технического совета.
Читайте также: Как переустановить DirectX в Windows
9. GoogleCrashHandler.exe
Если на вашем устройстве Windows установлены какие-либо программы Google, включая Google Chrome, вы найдете исполняемый фа
4. Winlogon.exe
e, который входит в состав пакетов Google Updater. Это не критический компонент Windows, его можно безопасно и легко удалить, но это не всегда вредоносное ПО.Обнаружение вирусов : если цифровая подпись Google CrashHandler.exe недействительна, то есть она не была подписана Google, то мы ищем возможный признак заражения шпионским ПО или руткитом, поскольку нормальный процесс безопасен.
Действие : удалите все или некоторые экземпляры GoogleCrashHandler.exe из диспетчера системных задач, даже если это не всегда вредоносное ПО. Вы не хотите излишне нагружать процессор, если только вы не хотите отправлять отчеты о сбоях в Google.
10. Spoolsv.exe
Spoolsv.exe — это настоящий процесс Windows, интегрированный со службой диспетчера очереди печати, который преобразует шрифты и графику в аппаратное обеспечение принтера и любые виртуальные принтеры. Это основной процесс Windows, существующий с самого начала MS-DOS. Завершение любой допустимой записи процесса spoolsv.exe приведет к сбою компьютера и перезагрузке системы.
Обнаружение вирусов : хотя spoolsv.exe и напоминает некоторые вредоносные программы, он является безопасным законным процессом Windows. Любые дополнительные процессы не будут иметь цифровых подписей от Microsoft. Если авторы вредоносных программ используют похожее имя для своей системы, Защитник Windows должен предупредить вас об этом.
11. Диспетчер задач
Диспетчер задач Windows (taskmgr.exe) — очень важная программа, которая управляет всеми основными процессами Windows, а также приложениями. Завершение работы этой важной программы и ее производных, таких как Taskhostw.exe, может оказаться фатальным для вашей системы, и авторы вредоносных программ это понимают.
Обнаружение вирусов. Если вы считаете, что программа, связанная с диспетчером задач, работает неправильно, проверьте расположение ее файла: «C:\Windows\System32». Перезагрузите устройство, чтобы проверить, исчезла ли проблема. Если подозрительный экземпляр диспетчера задач продолжает работать, мы ищем потенциальное вредоносное ПО. Другим знаком является его цифровая подпись, которая будет недействительной.
Действие : любой зараженный вредоносным ПО исполняемый файл, похожий на «диспетчер задач», может быть идентифицирован и удален из самого диспетчера задач. Однако если вы столкнулись с Ошибка TaskSchedulerHelper.dll в Windows 10 , примите меры по исправлению ситуации, как показано.
Краткое описание: предупреждающие признаки вредоносного ПО, напоминающего процессы Windows
Вот краткое описание того, как бороться с любыми подозрительными процессами, напоминающими стандартные системные процессы Windows. Возможно, вы имеете дело с каким-либо вредоносным ПО, а можете и не иметь дело, но важно следить за этими предупреждающими знаками.
- Проверьте сведения о свойствах приложения на предмет правильности авторских прав : каждая программа в Windows 11 и Windows 10 имеет местоположение файла. Оттуда вы можете получить доступ к «Сведениям» на вкладке «Свойства».
6. OfficeClickToRun.exe
принадлежат Windows, TrustedInstaller или законным владельцам процессов, таким как Google, Intel, NVIDIA и т. д. Если нет, то мы ищем потенциальный источник вредоносного ПО, который следует удалить из системы. - Проверьте загрузку ЦП программами Windows : резкое увеличение загрузки ЦП Windows при одновременной работе нескольких систем является нормальным явлением. Однако многие случаи замедления работы одной и той же программы вызывают беспокойство. Ненужные программы следует выявить и немедленно закрыть.
- Проверьте подозрительные процессы Windows на наличие цифровых подписей : это самый важный и простой способ проверить подлинность процесса. Если цифровая подпись процесса недействительна и получена не из надежных источников, велика вероятность, что это вредоносное ПО.
- Проверьте расположение файлов подозрительных процессов : большинство файловых процессов Windows имеют четко определенное местоположение на вашем компьютере. Это может быть «C:\Windows\System32», Program Files или другое четко определенное место. Не следует находить экземпляры этого процесса в других местах, например на диске D, поскольку это указывает на вероятность наличия вредоносного ПО.
Читайте также: Как настроить OpenVPN в Windows
Часто задаваемые вопросы
1. Что делать, если определенный процесс Windows действительно опасен?
Ни один законный процесс Windows не может нанести вред вашей системе. Однако если есть повторяющиеся экземпляры таких процессов, содержащих вредоносное ПО, перейдите в CrowdInspect, щелкните этот процесс правой кнопкой мыши и выберите «Убить процесс». Если у вас включен Защитник Windows, он позаботится о таких экземплярах вредоносного ПО. Также читайте дальше, чтобы узнать, почему 7. igfxem.exehorosh-zashchitnik-windows/" title="Защитник Windows — единственный антивирус, который вам нужен">Защитник Windows — единственный антивирус, который вам нужен .
2. Что происходит, когда вы завершаете действующий процесс Windows и как восстановиться после этого?
Если вы случайно завершите действующий процесс Windows, последствия будут зависеть от того, насколько критичен этот процесс для вашей системы. Если это некритический программный процесс, это не повлияет на устройство Windows.
Для важных процессов, таких как winlogon.exe и csrss.exe, в Windows имеется встроенный механизм, предотвращающий их случайное завершение. Однако, если вы продолжите и попытаетесь завершить работу системы из диспетчера задач, ваше устройство выключится само по себе, и потребуется перезагрузка. В худшем случае это может привести к полному отключению электроэнергии и необратимому повреждению из-за аварии.
Если это процесс с низким уровнем воздействия, являющийся неотъемлемой частью плановой эксплуатации и обслуживания Windows, система сообщит о критическом сбое и автоматически отключается. После запуска проблема исчезнет.