ГлавнаяОперационные системыWindows11 законных процессов Windows, которые могут выглядеть как вредоносное ПО

11 законных процессов Windows, которые могут выглядеть как вредоносное ПО

Процессы Windows играют важную роль в правильной работе вашего ПК или ноутбука. Некоторые из них, например csrss.exe и winlogon.exe, настолько важны, что если вы по ошибке решите удалить их, это может привести к сбою вашего устройства. Авторы вредоносных программ пользуются такой критичностью для заражения здоровых систем Windows. Идея заключается в том, что вирусы, рекламное ПО, шпионское ПО и троянские программы можно обозначить как угодно — даже в честь стандартных системных процессов Windows.

Ниже приведены несколько основных процессов Windows 11 и 10, которые часто путают с одноименными вредоносными программами. Узнайте, как обнаружить подделки, если они появятся в вашей системе.

Читайте также: Как отформатировать диск в FAT32 в Windows

Как узнать, является ли процесс Windows законным

Существует два способа проверить, является ли процесс Windows законным или источником вредоносного ПО: через свойства приложения и с помощью внешних инструментов, таких как CrowdInspect от CrowdStrike.

1. Проверка легитимности процесса Windows через его свойства

Все авторизованные файлы процессов Windows связаны с корпорацией Microsoft, официальным разработчиком программ/приложений или встроенной учетной записью Microsoft, такой как TrustedInstaller.exe, которая управляет Как узнать, является ли процесс Windows законными, такие как WindowsApps">папки, такие как WindowsApps .

Чтобы определить, явля>1. Проверка легитимности процесса Windows через его свойствам вредоносного ПО, вам необходимо заглянуть под капот в его свойствах приложения. Перейдите во вкладку «Подробности» и найдите официального правообладателя процесса. Если это Microsoft, разработчик приложений или TrustedInstaller, все в порядке.

Процессы Windows выглядят вредоносными программами. Свойства приложений. Подробности Windows11.

Также в Windows 11/10 вы можете проверить вкладку «Цифровые подписи» в свойствах процесса. Здесь вы найдете официальные цифровые подписи с последними временными метками, что дает вам дополнительный уровень уверенности.

После подписания драйвера для этих процессов требуются стандартные разрешения Microsoft (более того, любой несанкционированный доступ к корневому каталогу устройства предотвращается Безопасная загрузка UEFI ), авторы вредоносных программ теперь не могут подделать цифровые подписи в Windows 11.

Процессы Windows выглядят по цифровой подписи вредоносного ПО Windows11

От обыденных до критически важных, таких как «services.exe» или «svchost.exe», все процессы Windows 11 имеют цифровую подпись с метками времени. При каждом успешном обновлении Windows эта аутентификация проверяется повторно.

Процессы Windows выглядят по цифровой подписи вредоносного ПО Windows112

С другой стороны, в свойствах процесса Windows 10 вкладка «Цифровые подписи» может полностью отсутствовать. Кроме того, некоторые процессы могут неправильно отображать информацию об авторских правах.

Однако даже в Windows 10 критически важные внутренние системные процессы, такие как Winlogon.exe, всегда отображают эту информацию. Вы можете проверить подлинность программного обеспечения другими способами . Кроме того, если у вас установить неподписанные драйверы в Windows 10 или 11 , они не будут показывать никаких цифровых подписей при последующей перезагрузке.

Процессы Windows выглядят как свойства вредоносного приложения

Читайте также: 11 законных процессов Windows, которые могут выглядеть как вредоносное ПО

2. Проверка легитимности процесса Windows с помощью CrowdInspect

Как в Windows 10, так и в Windows 11 вы можете проверить подлинность файла процесса с помощью внешнего программного приложения: CrowdInspect от CrowdStrike. CrowdInspect – это бесплатный инструмент проверки процессов в реальном времени на базе хоста, который сканирует фоновые вредоносные программы с помощью механизмов обнаружения, таких как VirusTotal.

  1. Загрузите ZIP-файл CrowdInspect по официальной ссылке. и щелкните разархивированную программу, чтобы запустить ее. Вам не нужно ничего устанавливать.
  2. Примите лицензионное соглашение и перейдите к экрану, где вы сможете выполнить гибридный анализ всех фоновых процессов на вашем устройстве Windows. Используйте встроенный ключ API и нажмите «ОК».
Процессы Windows выявляют вредоносное ПО Crowd Inspect запускают Windows 11
  1. Подождите, пока CrowdInspect не заполнит ваш экран всем набором фоновых программ и процессов на вашем устройстве Windows.

Вы можете проверить состояние программ с помощью цветных символов. Любой чистый предмет обозначается зеленым значком. Если есть сомнения, рядом со значком вы увидите знаки вопроса. Для элементов с угрозой низкой степени серьезности имеется желтый значок. Элементы с высокой степенью угрозы обозначаются красным значком. Если ваше устройство исправно, вы не увидите желтых или красных значков.

Процессы Windows ищут вредоносное ПО, толпа проверяет зеленые процессы Windows 11
  1. Чтобы дополнительно убедиться в отсутствии проблем с вредоносным ПО, щелкните процесс правой кнопкой мыши и выберите «Просмотреть результаты теста высокой доступности». Вы не должны заметить никаких ошибок. Это верный признак того, что вы не имеете дело с каким-либо вредоносным ПО.
Процессы Windows выглядят вредоносными программами. Ошибка Crowdinspect Zero

Читайте также: 2. Проверка легитимности процесса Windows с помощью CrowdInspecth2>Список распространенных процессов Windows 11/10, напоминающих вредоносное ПО

1. Explorer.exe

Универсальная программа Windows File Explorer, explorer.exe, легко доступна с панели задач и рабочего стола. Его основная цель — служить файловым менеджером для всех файлов и папок вашего устройства с Windows 11/10. Из-за своей жизненной важности программа explorer.exe является излюбленной целью злоумышленников.

Вирус Обнаружение : вредоносное ПО explorer.exe обычно проявляется в виде троянов, программ-вымогателей (особенно электронной почты) и файлов Adobe Flash. Законная программа всегда находится в папке «C:\Windows», а дубликаты могут отображаться на диске D, в Program Files, скрытых папках или в любом другом месте на компьютере.

Процессы Windows выглядят вредоносными программами Explorerexe

Действие : если на вашем устройстве имеется два-три экземпляра explorer.exe, не о чем беспокоиться, если все они имеют действительные цифровые подписи и местоположение. Если несколько процессов потребляют ресурсы ЦП, определите фиктивные в CrowdInspect, а затем щелкните правой кнопкой мыши, чтобы «завершить процесс».

2. lsass.exe

lsass.exe означает службу подсистемы локального органа безопасности, которая работает за аутентификацией пользователя Windows. Помимо вредоносного ПО, вам не следует завершать исходные процессы, так как это приведет к тому, что ваша система потеряет доступ к Административные и локальные учетные записи , что потребует перезагрузки устройства.

Вирус Обнаружение : авторы вредоносных программ обычно маскируют lsass, заменяя строчную букву «l» на «i» в верхнем регистре или прописную букву «L».» Следите за намеренными ошибками в написании. Кроме того, любые недействительные цифровые подписи и файлы, расположенные за пределами папки «C:\Windows\System32», являются очевидным признаком.

Процессы Windows выглядят вредоносными программами Lsassexe

Действие : завершите фиктивные процессы lsass из диспетчера задач. Если вы не уверены, буква это «л» или «и», сделайте то же самое в CrowdInspect. Несколько действительных экземпляров lsass — это нормально, и их не следует подделывать.

3. RuntimeBroker.exe

RuntimeBroker.exe — это безопасный процесс Microsoft, задача которого заключается в управлении разрешениями для любых приложений, загруженных из Microsoft Store. Он проверяет подлинность таких программ, как приложение «Фотографии». Если какое-либо приложение не принадлежит вашему устройству с Windows, Runtime Broker предупредит вас, потребляя много дополнительной памяти.

Обнаружение вирусов : если ваше устройство Windows заражено вирусом RuntimeBroker.exe, вы увидите его присутствие в других местах на компьютере, кроме «C:\Windows\System32». Поскольку программа не является законной, утечки памяти резко возрастут, нагружая ваш процессор. Вы также заметите недействительную цифровую подпись для поддельных экземпляров.

Процессы Windows выглядят вредоносными

Действие : откройте диспетчер задач. Щелкните несколько допустимых экземпляров Runtime Broker и нажмите «Завершить задачу». Это устранит любые проблемы с данным приложением. В случае поддельных записей RuntimeBroker.exe удалите их из CrowdInspect.

4. Winlogon.exe

Когда дело доходит до фоновых процессов Windows, нет ничего более важного, чем winlogon.exe. Он не только управляет процессом входа в систему, но также загружает профили пользователей, управляет>1. Explorer.exe1%85_%D0%BF%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81%D0%BE%D0%B2_Windows_1110_%D0%BD%D0%B0%D0%BF%D0%BE%D0%BC%D0%B8%D0%BD%D0%B0%D1%8E%D1%89%D0%B8%D1%85_%D0%B2%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D0%BD%D0%BE%D0%B5_%D0%9F%D0%9E">Список распространенных процессов Windows 11/10, напоминающих вредоносное ПОSystem32».

Обнаружение вирусов. Winlogon.exe обычно представляет собой шпионскую программу или инструмент для кейлоггера. Это очень опасное вредоносное ПО, которое может привести к сбою системы, что легко распознать. Если у вас включен Защитник Windows, он предупредит вас о необходимости немедленно удалить файл и прекратить использование всех используемых векторов (электронная почта, веб-браузер).

Процессы Windows выглядят вредоносными программами Winlogon Exe

Действие : безопасный исполняемый файл winlogon.exe не будет иметь более одного экземпляра в CrowdInspect. Другие фиктивные экземпляры следует удалить по прибытии, используя рекомендации Защитника Windows.

5. Svchost.exe

Svchost.exe относится к «узлу службы» Windows — общему служебному процессу, который служит оболочкой для загрузки различных служб Windows. В зависимости от количества открытых приложений обычно существует множество экземпляров svchost.exe, которые запускаются как отдельные процессы.

Обнаружение вирусов : вы столкнетесь с эпизодом вредоносного ПО svchost.exe, когда обнаружите защищенную папку или программу, заблокированную дублирующим процессом или с вариантами написания, такими как «svhosts.exe». В основном это программы-вымогатели или инструменты банковского мошенничества. Их исходные векторы>2. lsass.exeF, ZIP-файлы и JavaScript.

Процессы Windows выглядят вредоносными программами Svchostexe

Действие : эти трояны обычно представляют собой угрозу низкого уровня, но их следует удалить при первой же возможности. Стандартные антивирусные инструменты и Защитник Windows позволяют удалять любые экземпляры узла службы, не найденные в папке «C:\Windows\System32».

Читайте также: Последние проблемы с Центром обновления Windows и способы их устранения

6. OfficeClickToRun.exe

Если вы использовали инструменты Office, такие как Word, Excel или PowerPoint, вы сталкивались с исполняемым файлом под названием OfficeClickToRun.exe. Его задача — запускать на вашем устройстве последние версии Microsoft Office и обрабатывать обновления. Даже если это не вредоносная программа, OfficeClickToRun.exe может сильно загружать память вашего процессора. Однако если вы периодически удаляете временные файлы, это становится гораздо менее обременительным.

Обнаружение вирусов : находится ли исполняемый файл в каком-либо другом месте, кроме Program Files в общей папке Microsoft? Дополнительный файл вреден для вашей системы. Кроме того, на вашем устройстве Windows должен быть запущен только один экземпляр OfficeClickToRun.exe. Проверьте цифровые подписи на наличие других.

Процессы Windows выглядят вредоносными

Действие : хотя поддельные экземпляры OfficeClickToRun.exe сами по себе не представляют опасности, они могут засорить системную память. Обычно они попадают через зараженные файлы и документ>3. RuntimeBroker.exeлительно удалить.

7. igfxem.exe

igfxEM.exe — это малоизвестный фоновый процесс, который имеет решающее значение для управления видеокартой Intel и, следовательно, очень важен для отображения видеокарты. Он предустановлен на вашем устройстве, и его следует оставить в покое, поскольку он совершенно не нагружает систему.

Обнаружение вирусов : если у вас есть более одного экземпляра igfxEM (и его орфографические ошибки, как показано), проверьте его цифровые подписи. Если отображается Intel и Microsoft, вредоносного ПО нет. В противном случае у вас нет подлинного файла igfxEM, и этот процесс необходимо удалить.

Процессы Windows выглядят вредоносными

Действие : не следует предпринимать никаких действий, если у вас есть действительные цифровые подписи – даже при наличии нескольких экземпляров Intel. Если ваша исходная видеокарта Intel кажется поврежденной, попробуйте переустановить драйвер из «devmgmt.msc» «Управление устройствами» в меню «Пуск».

8. Csrss.exe

Csrss.exe означает «Подсистема выполнения клиента-сервера», законный пользовательский процесс, предназначенный для управления графическими действиями Windows, такими как завершение работы графического пользовательского интерфейса и службы системной консоли. Его очень часто принимают за вредоносное ПО. Его прекращение может оказаться фатальным для вашей системы и привести к гарантированному сбою.

Обнаружение вирусов. Как и другие программы в «C:\Windows\System32», csrss.exe незаметно остается в фоновом режиме, и в CrowdInspect вы обнаружите только один или два экземпляра. Любые подозрительные файлы будут иметь недействит>4. Winlogon.exeси и отсутствовать сведения об авторских правах.

Процессы Windows выглядят вредоносными Csrssjpg

Действие : csrss.exe часто используется мошенническими компаниями-разработчиками программного обеспечения для обеспечения безопасности и техническими мошенниками в качестве «доказательства» заражения устройства. Это не настоящее вредоносное ПО, поэтому никогда не следует прекращать существующий процесс из-за неправильного технического совета.

Читайте также: Как переустановить DirectX в Windows

9. GoogleCrashHandler.exe

Если на вашем устройстве Windows установлены какие-либо программы Google, включая Google Chrome, вы найдете исполняемый файл GoogleCrashHandler.exe, который входит в состав пакетов Google Updater. Это не критический компонент Windows, его можно безопасно и легко удалить, но это не всегда вредоносное ПО.

Обнаружение вирусов : если цифровая подпись Google CrashHandler.exe недействительна, то есть она не была подписана Google, то мы ищем возможный признак заражения шпионским ПО или руткитом, поскольку нормальный процесс безопасен.

Процессы Windows выглядят вредоносными. Обработчик сбоев Google

Действие : удалите все или некоторые экземпляры GoogleCrashHandler.exe из диспетчера системных задач, даже если это не всегда вредоносное ПО. Вы не хотите излишне нагружать процессор, если только вы не хотите отправлять отчеты о сбоях в Google.

10. Spoolsv.exe

Spoolsv.exe — это настоящий процесс Windows, интегрированный со службой диспетчера очереди печати, который преобразует шрифты и графику в аппаратное обеспечение принтера и любые виртуальные принтеры. Это основной процесс Windows, существующий с самого начала MS-DOS. Завершение любой допустимой записи процесса spoolsv.exe приведет к сбою компьютера и перезагрузке>5. Svchost.exerong>Обнаружение вирусов : хотя spoolsv.exe и напоминает некоторые вредоносные программы, он является безопасным законным процессом Windows. Любые дополнительные процессы не будут иметь цифровых подписей от Microsoft. Если авторы вредоносных программ используют похожее имя для своей системы, Защитник Windows должен предупредить вас об этом.

Процессы Windows выглядят как вредоносные программы

Действие : не следует предпринимать никаких действий, если процесс spoolsv.exe подтвержден цифровой подписью Microsoft. В противном случае перейдите в диспетчер задач, чтобы завершить процесс.

11. Диспетчер задач

Диспетчер задач Windows (taskmgr.exe) — очень важная программа, которая управляет всеми основными процессами Windows, а также приложениями. Завершение работы этой важной программы и ее производных, таких как Taskhostw.exe, может оказаться фатальным для вашей системы, и авторы вредоносных программ это понимают.

Обнаружение вирусов. Если вы считаете, что программа, связанная с диспетчером задач, работает неправильно, проверьте расположение ее файла: «C:\Windows\System32». Перезагрузите устройство, чтобы проверить, исчезла ли проблема. Если подозрительный экземпляр диспетчера задач продолжает работать, мы ищем потенциальное вредоносное ПО. Другим знаком является его цифровая подпись, которая будет недействительной.

Процессы Windows выглядят вредоносными

Действие : любой зараженный вредоносным ПО исполняемый файл, похожий на «диспетчер задач», может быть идентифицирован и удален из самого диспетчера задач. Однако если вы столкнулись с Ошибка TaskSchedulerHelper.dll в Windows 10 , примите меры по исправлению ситуации, как показано.

Краткое описание: предупреждающие признаки вредоносного ПО, напоминающего процессы >6. OfficeClickToRun.exe

писание того, как бороться с любыми подозрительными процессами, напоминающими стандартные системные процессы Windows. Возможно, вы имеете дело с каким-либо вредоносным ПО, а можете и не иметь дело, но важно следить за этими предупреждающими знаками.

  • Проверьте сведения о свойствах приложения на предмет правильности авторских прав : каждая программа в Windows 11 и Windows 10 имеет местоположение файла. Оттуда вы можете получить доступ к «Сведениям» на вкладке «Свойства». Убедитесь, что авторские права принадлежат Windows, TrustedInstaller или законным владельцам процессов, таким как Google, Intel, NVIDIA и т. д. Если нет, то мы ищем потенциальный источник вредоносного ПО, который следует удалить из системы.
  • Проверьте загрузку ЦП программами Windows : резкое увеличение загрузки ЦП Windows при одновременной работе нескольких систем является нормальным явлением. Однако многие случаи замедления работы одной и той же программы вызывают беспокойство. Ненужные программы следует выявить и немедленно закрыть.
  • Проверьте подозрительные процессы Windows на наличие цифровых подписей : это самый важный и простой способ проверить подлинность процесса. Если цифровая подпись процесса недействительна и получена не из надежных источников, велика вероятность, что это вредоносное ПО.
  • Проверьте расположение файлов подозрительных процессов : большинство файловых процессов Windows имеют четко определенное местоположение на вашем компьютере. Это может быть «C:\Windows\System32», Program Files или другое четко определенное место. Не следует находить экземпляры этого процесса в других местах, например на диске D, поскольку это указывает на вероятность наличия вредоносного ПО.

Читайте также: Как настроить OpenVPN в Windows

Часто>7. igfxem.exe

1. Что делать, если определенный процесс Windows действительно опасен?

Ни один законный процесс Windows не может нанести вред вашей системе. Однако если есть повторяющиеся экземпляры таких процессов, содержащих вредоносное ПО, перейдите в CrowdInspect, щелкните этот процесс правой кнопкой мыши и выберите «Убить процесс». Если у вас включен Защитник Windows, он позаботится о таких экземплярах вредоносного ПО. Также читайте дальше, чтобы узнать, почему Защитник Windows — единственный антивирус, который вам нужен .

Процессы Windows выглядят вредоносными программами Crowd Inspect Kill Process Windows 11

2. Что происходит, когда вы завершаете действующий процесс Windows и как восстановиться после этого?

Если вы случайно завершите действующий процесс Windows, последствия будут зависеть от того, насколько критичен этот процесс для вашей системы. Если это некритический программный процесс, это не повлияет на устройство Windows.

Для важных процессов, таких как winlogon.exe и csrss.exe, в Windows имеется встроенный механизм, предотвращающий их случайное завершение. Однако, если вы продолжите и попытаетесь завершить работу системы из диспетчера задач, ваше устройство выключится само по себе, и потребуется перезагрузка. В худшем случае это может привести к полному отключению электроэнергии и необратимому повреждению из-за аварии.

Если это процесс с низки>8. Csrss.exeвия, являющийся неотъемлемой частью плановой эксплуатации и обслуживания Windows, система сообщит о критическом сбое и автоматически отключается. После запуска проблема исчезнет.

>9. GoogleCrashHandler.exe>10. Spoolsv.exe>11. Диспетчер задач>1. Что делать, если определенный процесс Windows действительно опасен?>2. Что происходит, когда вы завершаете действующий процесс Windows и как восстановиться после этого?
ПОХОЖИЕ СТАТЬИ

Популярные записи