Проверка на вирусы процессов: Список процессов в Windows. Подозрительные процессы. Как найти вирус в списке процессов Windows

Список процессов в Windows. Подозрительные процессы. Как найти вирус в списке процессов Windows

Когда в системе что-то не так или просто хочется проконтролировать эффективность установленного на компьютере антивируса, мы обычно нажимаем три заветные клавиши Ctrl, Alt, Del и запускаем Диспетчер задач, надеясь обнаружить вирус в списке процессов. Но в нем мы видим лишь большое количество работающих на компьютере программ, каждая из которых представлена своим процессом. И где же тут скрывается вирус? Ответить на этот вопрос вам поможет наша сегодняшняя статья

Для того чтобы определить, есть вирус в процессах или его там нет, нужно очень внимательно вглядеться в список процессов. В операционной системе Windows Vista в обязательном порядке нажмите кнопочку «Отображать процессы всех пользователей», иначе вы толком ничего и не увидите. Прежде всего, обратите внимание на описание процесса в столбике «Описание». Если описания нет или оно какое-то «корявенькое», это должно вас насторожить. Ведь разработчики программ имеют привычку подписывать свои творения на понятном русском или английском языках.
Отметив взглядом процессы с подозрительным описанием, обращаем взор на следующий столбик – «Пользователь». Вирусы обычно запускаются от имени пользователя, реже в виде служб и от имени системы — SYSTEM, LOCAL SERVICE или NETWORK SERVICE.

Итак, найдя процесс с подозрительным описанием, запускаемый от имени пользователя или непонятно от чьего имени, щелкните нему правой кнопкой мышки и в появившемся контекстном меню выберите пункт «Свойства». Откроется окошко со свойствами программы, которая запустила данный процесс. Особое внимание обратите на вкладку «Подробно», где указана информация о разработчике, версии файла и его описание, а также на пункт «Размещение» вкладки «Общие» — здесь указан путь к запущенной программе.

Если путь «Размещение» ведет в каталог Temp, Temporary Internet Files или еще в какое-либо подозрительное место (например, в папку некой программы каталога Program Files, но вы уверены, что такую программу вы не устанавливали), то, ВОЗМОЖНО, данный процесс принадлежит вирусу. Но все это лишь наши догадки, за подробной информацией, конечно же, лучше обратиться к интернету. Неплохие списки процессов есть на сайтах what-process.com http://www.tasklist.org и http://www.processlist.com. Если после всех поисков ваши опасения на счет подозрительного процесса подтвердятся, можете радоваться – на вашем компьютере поселился вирус, троян или другой зловред, которого нужно срочно ликвидировать.

Но окошко со свойствами запустившего процесс файла из Диспетчера задач может и не открыться. Поэтому помимо стандартных средств Windows нужно пользоваться различными полезными утилитами, способными выдать максимум информации о подозрительном процессе. Одну из таких программ – Starter – мы уже рассматривали (http://www.yachaynik.ru/content/view/88/).

В Starter на вкладкее«Процессы» представлена исчерпывающая информация о выделенном процессе: описание программы и имя файла, который запустил процесс, информация о разработчике, список модулей (программных компонентов), задействованных процессом.

Таким образом, нет нужды копаться в свойствах файла, запустившего процесс – всё и так, как на ладони. Тем не менее, это не мешает щелкнуть по подозрительному процессу правой кнопкой мышки и выбрать «Свойства», чтобы получить доскональные сведения о файле процесса в отдельном окошке.

Чтобы попасть в папку программы, который принадлежит процесс, щелкните по названию процесса правой кнопкой мыши и выберите «Проводник в папку процесса».

Но самая удобная опция в Starter – возможность начать поиск информации о процессе прямо из окна программы. Для этого щелкните правой кнопкой мышки по процессу и выберите «Искать в Интернет».

После того, как вы получите полную информацию о файле, запустившем процесс, его разработчике, назначении и мнение о процессе в сети интернет, сможете достаточно точно определить – вирус перед вами или мирная программа-трудяга. Здесь действует тот же принцип, что и в Диспетчере задач. Подозрительны те процессы и модули процессов, для которых не указан разработчик, в описании которых ничего нет либо написано что-то невнятное, процесс или задействованные им модули запускаются из подозрительной папки. Например, Temp, Temporary Internet Files или из папки в Program Files, но вы точно помните, что указанную там программу вы не устанавливали. И, наконец, если в интернете четко сказано, что данный процесс принадлежит вирусу, радуйтесь – зловреду не удалось спрятаться от вас!

Одно из самых распространенных заблуждений начинающих чайников касается процесса svchost.exe. Пишется он именно так и никак иначе: svshost.exe, scvhost.exe, cvshost.exe и другие вариации на эту тему – вирусы, маскирующиеся под хороший процесс, который, кстати, принадлежит службам Windows. Точнее, один процесс svchost.exe может запускать сразу несколько системных служб. Поскольку служб у операционной системы много и все они нужны ей, процессов svchost.exe тоже много.

В Windows XP процессов svchost. exe должно быть не более шести. Пять процессов svchost.exe – нормально, а вот уже семь – стопроцентная гарантия, что на вашем компьютере поселился зловред. В Windows Vista процессов svchost.exe больше шести. У меня, к примеру, их четырнадцать. Но и системных служб в Windows Vista намного больше, чем в предыдущей версии этой ОС.

Узнать, какие именно службы запускаются процессом svchost.exe, вам поможет другая полезная утилита – Process Explorer. Скачать последнюю версию Process Explorer вы можете с официального сайта Microsoft: technet.microsoft.com

Process Explorer выдаст вам описание процесса, запустившую его программу, наименование разработчика и множество полезной технической информации, понятной разве что программистам.

Наведите мышку на имя интересующего вас процесса, и вы увидите путь к файлу, запустившему данный процесс.

А для svchost.exe Process Explorer покажет полный перечень служб, относящихся к выделенному процессу. Один процесс svchost.exe может запускать несколько служб или всего одну.

Чтобы увидеть свойства файла, запустившего процесс, щелкните по интересующему вас процессу правой кнопкой мышки и выберите «Properties» («Свойства»).

Для поиска информации о процессе в интернете при помощи поисковой системы Google, просто щелкните по названию процесса правой кнопкой мыши и выберите «Google».

Как и ранее, подозрения должны вызвать процессы без описания, без наименования разработчика, запускающиеся из временных папок (Temp, Temporary Internet Files) или из папки программы, которую вы не устанавливали, а также идентифицируемые в интернете как вирусы.

И помните, для качественно работы программ Process Explorer и Starter в Windows Vista, их нужно запускать с административными правами: щелкните по исполняемому файлу программы правой кнопкой мышки и выберите «Запуск от имени администратора».

Однако хочется вас разочаровать, только очень глупые вирусы выдают себя в списке процессов. Современные вирусописатели уже давно научились прятать свои творения не только от глаз пользователей, но и от антивирусных программ. Поэтому спасти вас в случае заражения качественно написанной вредоносной программой может лишь хороший антивирус со свежими базами (да и то не факт!), наличие резервной копии со всей вашей информацией и диск с дистрибутивом Windows для переустановки системы. Тем не менее, периодически заглядывать в список процессов все же стоит – мало ли какой scvhost или mouse.exe там притаился.

Источник: yachaynik.ru



Похожие публикации

  • Как повысить защищенность компьютера, отключив 10 служб Windows XP


  • Безопасность Windows XP SP3


  • Скрытые потайные двери, троянские кони и Rootkit инструменты в Windows окружении


Проверка процессов Windows в CrowdInspect

Во многих инструкциях, касающихся удаления Adware, Malware и другого нежелательного ПО с компьютера присутствует пункт о необходимости проверить запущенные процессы Windows на наличие среди них подозрительных уже после использования автоматических средств удаления вредоносных программ. Однако, сделать это пользователю без серьезного опыта работы с операционной системой не так уж и просто — список выполняемых программ в диспетчере задач мало о чем может ему рассказать.

Помочь в проверке и анализе запущенных процессов (программ) Windows 10, 8 и Windows 7 и XP может бесплатная утилита CrowdStrike CrowdInspect, предназначенная именно для этой цели, о которой и пойдет речь в данном обзоре. См. также: Как избавиться от рекламы (AdWare) в браузере.

CrowdInspect не требует установки на компьютер и представляет собой архив .zip с единственным исполняемым файлом crowdinspect.exe, который при запуске может создать еще один файл для 64-разрядных систем Windows. Для работы программы потребуется подключенный Интернет.

При первом запуске вам потребуется принять условия лицензионного соглашения кнопкой Accept, а в следующем окне при необходимости выполнить настройки интеграции с онлайн-сервисом проверки на вирусы VirusTotal (и при необходимости отключить загрузку заранее неизвестных файлов на этот сервис, отметка «Upload unknown files»).

После нажатия «Ок» на короткий промежуток времени откроется рекламное окно платного средства защиты CrowdStrike Falcon, а затем — главное окно программы CrowdInspect со списком запущенных в Windows процессах и полезной информацией о них.

Для начала информация по важным столбцам в CrowdInspect

  • Process Name — имя процесса. Также можно отобразить полные пути к исполняемым файлам, нажав кнопку «Full Path» в главном меню программы.
  • Inject — проверка на инъекции кода процессом (в некоторых случаях может показать положительный результат для антивирусов). При подозрении на наличие угрозы выдается двойной восклицательный знак и красный значок.
  • VT или HA — результат проверки файла процесса в VirusTotal (процент соответствует проценту антивирусов, которые считают файл опасным). В последней версии отображается колонка HA, а анализ выполняется с помощью онлайн-сервиса Hybrid Analysis (возможно, более эффективного, чем VirusTotal).
  • MHR — результат проверки в Team Cymru Malware Hash Repository (база контрольных сумм известных вредоносных программ). Отображает красную иконку и двойной восклицательный знак при наличии хэша процесса в базе.
  • WOT — при выполнении процессом соединений с сайтами и серверами в Интернете, результат проверки этих серверов в репутационном сервисе Web Of Trust

Оставшиеся столбцы содержат информацию об установленных процессом Интернет-соединениях: тип соединения, состояние, номера портов, локальный IP-адрес, удаленный IP-адрес и представление этого адреса в DNS.

Примечание: вы можете заметить, что одна вкладка браузера отображается как набор из десятка и более процессов в CrowdInspect. Причина этого в том, что отображается отдельная строка для каждого установленного единственным процессом соединения (а обычный сайт, открытый в браузере, заставляет подключаться сразу ко многим серверам в Интернете). Вы можете отключить такой тип отображения, отключив кнопку TCP и UDP в верхней панели меню.

Другие элементы меню и управления:

  • Live / History — переключает режим отображения (в реальном времени или список, в котором отображается время запуска каждого процесса).
  • Pause — поставить сбор информации на паузу.
  • Kill Process — завершить выбранный процесс.
  • Close TCP — завершить подключение по TCP/IP для процесса.
  • Properties — открыть стандартное окно Windows со свойствами исполняемого файла процесса.
  • VT Results — открыть окно с результатами сканирования в VirusTotal и ссылкой на результат сканирования на сайте.
  • Copy All — скопировать всю представленную информацию об активных процессах в буфер обмена.
  • Также для каждого процесса по правому клику мышью доступно контекстное меню с основными действиями.

Допускаю, что более опытные пользователи к настоящему моменту подумали: «отличный инструмент», а начинающие не совсем поняли, какой толк от него и как его можно использовать. А потому кратко и максимально просто для начинающих:

  1. Если у вас возникли подозрения что на компьютере происходит что-то плохое, а антивирусом и утилитами, наподобие AdwCleaner компьютер уже был проверен (см. Лучшие средства удаления вредоносных программ), можно заглянуть в Crowd Inspect и посмотреть, нет ли подозрительных фоновых программ, запущенных в Windows.
  2. Подозрительными стоит считать процессы с красной отметкой с высоким процентом в столбце VT и (или) красной отметкой в столбце MHR. Красные значки в Inject вы навряд ли встретите, но если увидите — тоже обратите внимание. 
  3. Что делать в случае если процесс подозрителен: посмотрите его результаты в VirusTotal, нажав кнопку VT Results, а затем перейдя по ссылке с результатами сканирования файла антивирусами. Можно попробовать выполнить поиск по имени файла в Интернете — распространенные угрозы обычно обсуждаются на форумах и на сайтах поддержки. 
  4. Если в результате сделан вывод о том, что файл вредоносный — пробуйте убрать его из автозагрузки, удалить программу, к которой относится этот процесс и использовать другие методы для избавления от угрозы.

Примечание: учитывайте, что с точки зрения многих антивирусов разного рода «программы для скачивания» и подобные средства, популярные у нас в стране, могут являться потенциально нежелательным ПО, что будет отображаться в столбцах VT и (или) MHR утилиты Crowd Inspect. Однако это не обязательно означает, что они опасны — тут стоит рассматривать каждый отдельный случай.

Скачать Crowd Inspect можно бесплатно с официального сайта https://www.crowdstrike.com/resources/community-tools/crowdinspect-tool/ (после нажатия кнопки загрузки, на следующей странице потребуется принять условия лицензии, нажав Accept для начала скачивания). Также может пригодиться: Лучший бесплатный антивирус для Windows 10, 8 и Windows 7.

remontka.pro в Телеграм | Способы подписки

Как сканировать запущенные процессы в Windows на наличие вирусов и вредоносных программ

/ Как

Заподозрить запущенный процесс Windows? Вот простой способ проверить все запущенные процессы Windows на наличие вирусов, вредоносных программ или троянских программ.

В любой момент времени в Windows параллельно выполняется несколько процессов. Эти процессы требуются работающему приложению для выполнения работы. На самом деле, если открыть Диспетчер задач и перейти на вкладку «Процессы», можно увидеть список из сотен процессов.

Общеизвестно, что Windows является основной целью для всех видов вирусов, вредоносных программ и других типов угроз. Для борьбы с этим в Windows есть несколько антивирусных и антивредоносных программ. На самом деле, в Windows даже есть собственное антивирусное программное обеспечение, называемое Защитником Windows. Это антивирусное программное обеспечение может не только сканировать вашу систему автоматически или по запросу, но даже обеспечивает защиту в режиме реального времени. Часто антивирусное программное обеспечение может легко проверить любой запущенный процесс на наличие угроз. Однако, если вы хотите вручную проверить, является ли процесс безопасным, вам необходимо использовать специализированные инструменты сканирования процессов в Windows.

Итак, в этой быстрой статье позвольте мне показать, как вы можете сканировать процессы Windows на наличие вирусов или вредоносных программ и определять, безопасны ли они для запуска или нет.

Большинство антивирусных программ не позволяют сканировать только запущенные процессы. Хорошо, что вам не нужно использовать полноценное антивирусное программное обеспечение для сканирования процессов.

Мы собираемся использовать бесплатный инструмент Microsoft под названием Process Explorer. Преимущество Process Explorer в том, что он использует бесплатную службу VirusTotal для сканирования запущенных процессов Windows. Если вы не знаете, VirusTotal — это облачная антивирусная служба, которая использует более 60 различных антивирусных механизмов для сканирования любой заданной программы, процесса или файла. Хотя звучит сложно, это довольно легко сделать с помощью Process Explorer. Позвольте мне показать вам, как это сделать.

Шаги

1. Сначала загрузите Process Explorer с веб-сайта Microsoft. После загрузки откройте ZIP-файл и распакуйте его содержимое в папку на рабочем столе.

2. Теперь, в зависимости от архитектуры вашей системы, щелкните правой кнопкой мыши соответствующий EXE-файл и выберите параметр «Запуск от имени администратора». Например, у меня 64-битная система, поэтому я использую файл procexp64.exe.

3. После открытия Process Explorer вы увидите огромный список всех запущенных процессов. Чтобы просканировать процессы, выберите опцию «Параметры → VirusTotal.com → Проверить VirusTotal.com».

4. Теперь вам будет предложено принять условия лицензии. Нажмите «Да».

5. Как только вы это сделаете, Process Explorer отправит все процессы в VirusTotal. После завершения сканирования вы можете увидеть оценку в столбце «VirusTotal».

6. Если вы хотите проверить отдельный процесс, щелкните его правой кнопкой мыши и выберите параметр «Проверить VirusTotal».

7. Если есть подозрительный процесс, он будет выделен красным цветом. Нажмите на оценку VirusTotal, и вы увидите, какое антивирусное ядро ​​пометило целевой процесс.

Имейте в виду, что возможны ложные срабатывания. Например, в моем случае один из антивирусных движков VirusTotal пометил «UploaderService.exe» как потенциальную угрозу. Однако это не так, и это подлинный процесс. Так что не волнуйтесь, если увидите кучу процессов, помеченных как угрозы. Просто погуглите о процессах, чтобы узнать больше.

Вот и все. Так просто сканировать запущенные процессы в Windows. Если вы застряли или вам нужна помощь, оставьте комментарий ниже, и я постараюсь помочь как можно больше.

Как запустить сканирование на наличие вирусов или вредоносных программ в Microsoft Defender

Microsoft Defender для Android Microsoft Defender для Mac Microsoft Defender для Windows Дополнительно…Меньше

Вы можете запустить сканирование на наличие вредоносных программ в любое время.

Примечание:
Microsoft Defender в настоящее время предлагает защиту от вредоносных программ для Windows, Android и macOS.

На панели управления Microsoft Defender

  1. Выберите Сведения об устройстве

  2. Выберите Управление в Windows Security

  3. Выбрать Быстрое сканирование

    Советы: 

    • Если вы хотите более глубокое сканирование, вместо выбора Быстрое сканирование на шаге 3 выберите Параметры сканирования и выберите нужный тип сканирования.

    • Для наиболее полного сканирования запустите Microsoft Defender Offline. Дополнительные сведения см. в разделе Помощь в защите моего компьютера с помощью Microsoft Defender Offline.

Из панели управления Microsoft Defender

  1. Коснитесь Сведения об устройстве , чтобы перейти к экрану Защита устройства

  2. Tap Защита от вредоносных программ

  3. Нажмите кнопку Сканировать

На панели управления Microsoft Defender

    org/ItemList»>

  1. Выберите  Сведения об устройстве

  2. Выбрать Начать сканирование

  3. Выберите тип сканирования, которое вы хотите запустить, затем  Начать сканирование .

Когда сканирование завершится, Защитник сообщит вам, нашел ли он что-нибудь.

Когда мне нужно запустить сканирование?

Если вы подозреваете, что ваше устройство может быть заражено, или если вы хотите убедиться, что предыдущее заражение вылечено, вам следует попросить Защитника начать сканирование.