Tecnologías en palabras simples

11 Procesos de Windows Legítimos que Pueden Parecer Malware

Imagen destacada Procesos de Windows que parecen Malware

Los procesos de Windows desempeñan un papel significativo en el correcto funcionamiento de tu PC o laptop. Algunos, como csrss.exe y winlogon.exe, son tan cruciales que si decides terminarlos por error, podrías terminar causando un fallo en tu dispositivo. Los creadores de malware se aprovechan de tal criticidad para infectar sistemas Windows saludables. La premisa es que los virus, adware, spyware y troyanos pueden ser etiquetados como cualquier cosa, incluso nombrados después de procesos estándar del sistema Windows.

A continuación, se presentan algunos de los principales procesos de Windows 11 y 10 que a menudo se confunden con su malware homónimo. Aprende a identificar los falsos si aparecen en tu sistema.

Tabla de Contenidos

  • Cómo averiguar si un proceso de Windows es legítimo
    1. Explorer.exe
    1. lsass.exe
    1. RuntimeBroker.exe
    1. Winlogon.exe
    1. Svchost.exe
    1. OfficeClickToRun.exe
    1. igfxem.exe
    1. Csrss.exe
    1. GoogleCrashHandler.exe
    1. Spoolsv.exe
    1. Administrador de Tareas
  • Resumen: Señales de advertencia de malware que resemble procesos de Windows
  • Preguntas Frecuentes

También leer: Cómo formatear una unidad en FAT32 en Windows

Cómo averiguar si un proceso de Windows es legítimo

Hay dos formas de verificar si un proceso de Windows es legítimo o una fuente de malware: a través de sus Propiedades de Aplicación y utilizando herramientas externas como CrowdInspect de CrowdStrike.

1. Verificando la legitimidad de un proceso de Windows a través de sus propiedades

Todos los archivos de procesos de Windows autorizados están conectados a Microsoft Corporation, el desarrollador oficial del programa/app o a una cuenta de Microsoft integrada como TrustedInstaller.exe, que controla carpetas como WindowsApps.

Para determinar si un proceso de Windows 11 o 10 es legítimo y no una fuente de malware, debes mirar bajo el capó en sus Propiedades de Aplicación. Ve a la pestaña “Detalles” y encuentra el propietario de copyright oficial del proceso. Si es Microsoft, un desarrollador de aplicaciones o TrustedInstaller, estás en buen camino.

Propiedades de Aplicación de Procesos de Windows que parecen Malware Detalles Windows11

También en Windows 11/10, puedes verificar la pestaña de “Firmas Digitales” de las Propiedades de un proceso. Aquí encontrarás las firmas digitales oficiales con las marcas de tiempo más recientes que te dan una capa adicional de seguridad.

Ya que firmar un controlador para estos procesos requiere permisos estándar de Microsoft (además, cualquier acceso no autorizado a la raíz del dispositivo está prevenido por UEFI secure boot), ahora es imposible para los creadores de malware falsificar las firmas digitales en Windows 11.

Propiedades de Firmas Digitales de Procesos de Windows que parecen Malware Windows11

Desde los mundanos hasta los críticamente importantes, como “services.exe” o “svchost.exe”, todos los procesos de Windows 11 están firmados digitalmente con marcas de tiempo. Con cada actualización exitosa de Windows, esta autenticación se vuelve a verificar.

Firmas Digitales de Procesos de Windows que parecen Malware Windows112

Por otro lado, las Propiedades de Procesos de Windows 10 pueden tener la pestaña de Firmas Digitales faltante por completo. Además, algunos de los procesos pueden no mostrar la información de copyright correctamente.

Sin embargo, incluso en Windows 10, los procesos internos críticos como Winlogon.exe siempre muestran esta información. Puedes verificar la autenticidad del software a través de otros medios. Además, si instalas controladores no firmados en Windows 10 o 11, no mostrarán ninguna firma digital tras un reinicio posterior.

Propiedades de Aplicación de Procesos de Windows que parecen Malware

También leer: 11 Procesos de Windows Legítimos que Pueden Parecer Malware

2. Verificando la legitimidad de un proceso de Windows usando CrowdInspect

En Windows 10 y Windows 11, puedes verificar la autenticidad de un archivo de proceso mediante una aplicación de software externa: CrowdInspect de CrowdStrike. CrowdInspect es una herramienta de inspección de procesos gratuita basada en host y en tiempo real que busca malware en segundo plano utilizando motores de detección como VirusTotal.

  1. Descarga el archivo ZIP de CrowdInspect desde el enlace oficial y haz clic en el programa descomprimido para iniciarlo. No necesitas instalar nada.
  2. Acepta un acuerdo de licencia y procede a la pantalla donde puedes realizar un análisis híbrido de todos los procesos en segundo plano en tu dispositivo Windows. Utiliza la clave API integrada y haz clic en “OK.”

Lanzamiento de Crowdinspect Procesos de Windows que parecen Malware Windows11

  1. Espera hasta que CrowdInspect llene tu pantalla con el conjunto completo de programas y procesos en segundo plano en tu dispositivo Windows.

Puedes verificar el estado de los programas a través de símbolos de color. Cualquier elemento que esté limpio se indica con un ícono verde. Si hay dudas, verás signos de interrogación junto al ícono. Para aquellos elementos con una amenaza de baja gravedad, hay un ícono amarillo. Los elementos con una amenaza de alta gravedad se indican con un ícono rojo. No verás íconos amarillos o rojos si tu dispositivo está sano.

Procesos Verdes en Crowdinspect Windows11

  1. Para verificar aún más que no hay preocupaciones de malware, haz clic derecho en el proceso y selecciona “Ver resultados de prueba HA.” No deberías notar ningún error, una indicación segura de que no estás lidiando con malware.

Cero Errores en Crowdinspect Windows Processes Look Malware

También leer: Cómo programar el cierre y el inicio de Windows

Lista de Procesos Comunes de Windows 11/10 que Se Parecen a Malware

1. Explorer.exe

El programa universal del Explorador de Archivos de Windows, explorer.exe, es fácilmente accesible desde la barra de tareas y el escritorio. Su propósito principal es servir como un gestor de archivos para todos los archivos y carpetas de tu dispositivo Windows 11/10. Debido a su importancia vital, el programa explorer.exe es un objetivo favorito de los atacantes.

Detección de Virus: el malware de explorer.exe generalmente aparece como troyanos, ransomware (especialmente por correo electrónico) y archivos de Adobe Flash. El programa legítimo siempre se encuentra en “C:\Windows,” y los duplicados pueden aparecer en la unidad D, Archivos de Programa, carpetas ocultas o cualquier otra ubicación en tu PC.

Explorer.exe Procesos de Windows que parecen Malware

Acción: si hay dos a tres instancias de explorer.exe en tu dispositivo, no hay de qué preocuparse siempre que todas tengan firmas digitales y ubicaciones válidas. Cuando hay múltiples procesos consumiendo la CPU, identifica los falsos en CrowdInspect y luego haz clic derecho para “terminar el proceso.”

2. lsass.exe

lsass.exe significa Servicio de Subsistema de Autoridad de Seguridad Local, que opera detrás de la autenticación de usuario de Windows. Aparte del malware, no debes terminar los procesos originales, ya que resultará en que tu sistema pierda acceso a las cuentas de Admin y local, lo que provocará un reinicio del dispositivo.

Detección de Virus: una forma común en que los autores de malware disfrazan lsass es sustituyendo la “l” en minúscula con una “i” en mayúscula, o una “L” en mayúscula. Ten cuidado con cualquier error intencionado. Además, cualquier firma digital inválida y archivos ubicados fuera de la carpeta “C:\Windows\System32” son una señal obvia.

lsass.exe Procesos de Windows que parecen Malware

Acción: termina los procesos falsos de lsass desde el administrador de tareas. Si no estás seguro si es una “l” o una “i,” haz lo mismo desde CrowdInspect. Múltiples instancias válidas de lsass están bien y no deben ser modificadas.

3. RuntimeBroker.exe

RuntimeBroker.exe es un proceso seguro de Microsoft cuyo trabajo es gestionar los permisos de cualquier aplicación descargada desde la Microsoft Store. Verifica la autenticidad de programas como la aplicación Fotos. Si alguna aplicación no pertenece a tu dispositivo Windows, Runtime Broker te alerta consumiendo mucha memoria extra.

Detección de Virus: si tu dispositivo Windows está infectado con el virus RuntimeBroker.exe, verás su presencia en otras ubicaciones de la PC además de “C:\Windows\System32.” Como el programa no es legítimo, las filtraciones de memoria se dispararán, sobrecargando tu CPU. También notarás una firma digital inválida para las instancias falsas.

RuntimeBroker.exe Procesos de Windows que parecen Malware

Acción: abre el administrador de tareas. Haz clic en múltiples instancias válidas de Runtime Broker y selecciona “Finalizar Tarea.” Esto terminará cualquier problema con una aplicación dada. Para las entradas falsas de RuntimeBroker.exe, termina desde CrowdInspect.

4. Winlogon.exe

Cuando se trata de procesos en segundo plano de Windows, no hay nada más importante en el esquema de las cosas que winlogon.exe. No solo rige el proceso de inicio de sesión, sino que también carga perfiles de usuario, controla el salvapantallas y se conecta con múltiples redes. Se encuentra en “C:\Windows\System32.”

Detección de Virus: generalmente, un spyware o una herramienta de keylogger, winlogon.exe es un malware muy peligroso que puede causar que los sistemas comiencen a fallar, lo cual es fácil de reconocer. Si tienes Windows Defender activado, te advertirá para que elimines inmediatamente el archivo y termines cualquier vector utilizado (correo electrónico, navegador web).

Winlogon.exe Procesos de Windows que parecen Malware

Acción: el ejecutable seguro winlogon.exe no tendrá más de una instancia en CrowdInspect. Las otras instancias falsas deben ser eliminadas al llegar utilizando las sugerencias de Windows Defender.

5. Svchost.exe

Svchost.exe se refiere a “host de servicios” de Windows, un proceso de servicio compartido que sirve como un contenedor para cargar varios servicios de Windows. Dependiendo del número de aplicaciones abiertas, generalmente hay muchas instancias de svchost.exe que se ejecutan como procesos individuales.

Detección de Virus: encontrarás un episodio de malware svchost.exe cuando encuentres una carpeta o programa protegido bloqueado por un proceso duplicado o con variantes en la escritura como “svhosts.exe.” Son principalmente ransomware o herramientas de fraude bancario. Sus vectores de origen incluyen archivos PDF, archivos ZIP y JavaScript.

svchost.exe Procesos de Windows que parecen Malware

Acción: estos troyanos son generalmente una amenaza de bajo nivel pero deben ser eliminados a la brevedad. Las herramientas antivirus estándar y Windows Defender están equipadas para eliminar cualquier instancia de host de servicios no encontradas en “C:\Windows\System32.”

También leer: Últimos problemas de actualización de Windows y cómo solucionarlos

6. OfficeClickToRun.exe

Si has estado usando herramientas de Office, como Word, Excel o PowerPoint, te has encontrado con un ejecutable llamado OfficeClickToRun.exe. Su trabajo es ejecutar las versiones más recientes de Microsoft Office en tu dispositivo y manejar las actualizaciones. Incluso cuando no es un malware, OfficeClickToRun.exe puede ser intensivo en memoria en tu CPU. Sin embargo, si periódicamente borras archivos temporales, es mucho menos una carga.

Detección de Virus: ¿el ejecutable está presente en alguna otra ubicación además de Archivos de Programa en la carpeta Compartida de Microsoft? El archivo extra es poco saludable para tu sistema. Además, tu dispositivo Windows solo debería tener una instancia de OfficeClickToRun.exe en ejecución. Verifica las firmas digitales de cualquier otra.

OfficeClickToRun.exe Procesos de Windows que parecen Malware

Acción: aunque no es dañino por sí mismo, las instancias falsas de OfficeClickToRun.exe pueden obstruir la memoria de tu sistema. Generalmente vienen a través de archivos y documentos infectados, que deberían ser eliminados de inmediato.

7. igfxem.exe

igfxEM.exe es un proceso de fondo poco conocido que es crucial para gestionar la tarjeta gráfica Intel y, por lo tanto, es muy importante para la pantalla de la tarjeta de video. Viene preinstalado en tu dispositivo y debe dejarse en paz, ya que no carga el sistema en absoluto.

Detección de Virus: si tienes más de una instancia de igfxEM (y sus errores de escritura como se muestra), valida sus firmas digitales. Si muestra Intel y Microsoft, no hay malware. De lo contrario, no tienes un archivo igfxEM genuino y ese proceso debe ser eliminado.

igfxem.exe Procesos de Windows que parecen Malware

Acción: no se debe tomar ninguna medida si tienes firmas digitales válidas, incluso con múltiples instancias de Intel. Si tu tarjeta gráfica original Intel parece estar corrupta, intenta reinstalar el controlador desde “devmgmt.msc,” Administración de Dispositivos, en el menú de inicio.

8. Csrss.exe

Csrss.exe significa Subsistema de Tiempo de Ejecución de Cliente-Servidor, un proceso de usuario legítimo destinado a gestionar las actividades gráficas de Windows, como el apagado de GUI y los servicios de consola del sistema. A menudo se confunde con malware. Terminarlo puede ser fatal para tu sistema, llevando a un fallo asegurado.

Detección de Virus: Al igual que otros programas en “C:\Windows\System32,” csrss.exe permanece silenciosamente en segundo plano, y encontrarás solo una o dos instancias en CrowdInspect. Cualquier archivo sospechoso tendrá firmas digitales inválidas y detalles de copyright faltantes.

Csrss.exe Procesos de Windows que parecen Malware

Acción: csrss.exe a menudo es utilizado por empresas de software de seguridad fraudulentas y estafadores tecnológicos como “prueba” de que un dispositivo está infectado. Este no es malware real, por lo que nunca debes terminar el proceso existente debido a un mal consejo técnico.

También leer: Cómo reinstalar DirectX en Windows

9. GoogleCrashHandler.exe

Si tienes programas de Google en tu dispositivo Windows, incluyendo Google Chrome, encontrarás un ejecutable llamado GoogleCrashHandler.exe, parte de los paquetes de Google Updater. Este no es un componente crítico de Windows y se puede eliminar de forma segura y fácil, pero tampoco siempre es malware.

Detección de Virus: si la firma digital de Google CrashHandler.exe es inválida, es decir, no fue firmada por Google, entonces estamos mirando una posible señal de infección de spyware o rootkit, ya que el proceso normal es seguro.

GoogleCrashHandler.exe Procesos de Windows que parecen Malware

Acción: elimina cualquier o todas las instancias de GoogleCrashHandler.exe de tu administrador de tareas del sistema, aunque no siempre sea malware. No quieres sobrecargar la CPU innecesariamente a menos que quieras enviar informes de fallos a Google.

10. Spoolsv.exe

Spoolsv.exe es un proceso genuino de Windows, integrado con el servicio de Spooler de Impresión, traduce fuentes y gráficos a hardware de impresora y a cualquier impresora virtual. Este es un proceso central de Windows que ha existido desde el principio de MS-DOS. Terminar cualquier entrada válida de spoolsv.exe llevará a un fallo de la máquina y reinicio del sistema.

Detección de Virus: aunque se asemeja a algún malware, spoolsv.exe es un proceso legítimo y seguro de Windows. Cualquier proceso extra carecerá de firmas digitales de Microsoft. Si los autores de malware utilizan un nombre similar para apuntar a tu sistema, Windows Defender debería alertarte sobre ello.

spoolsv.exe Procesos de Windows que parecen Malware

Acción: no se debe tomar ninguna medida si el proceso spoolsv.exe ha sido validado por una firma digital de Microsoft. De lo contrario, ve al administrador de tareas para finalizar el proceso.

11. Administrador de Tareas

El Administrador de Tareas de Windows (taskmgr.exe) es un programa muy importante que controla todos los procesos fundamentales de Windows así como las aplicaciones. Cerrar este programa esencial y sus derivados, como taskhostw.exe, puede ser fatal para tu sistema, y los autores de malware entienden esto.

Detección de Virus: Si sientes que un programa relacionado con el administrador de tareas no se comporta correctamente, verifica su ubicación de archivo, que debería estar en “C:\Windows\System32.” Reinicia tu dispositivo para ver si el problema ha desaparecido. Si la instancia sospechosa del administrador de tareas continúa, estamos mirando un posible malware. Otra señal es que su firma digital sería inválida.

taskmgr.exe Procesos de Windows que parecen Malware

Acción: cualquier ejecutable infectado con malware “similar al administrador de tareas” se puede identificar y terminar desde el propio administrador de tareas. Sin embargo, si enfrentas un error de TaskSchedulerHelper.dll en Windows 10, toma medidas correctivas como se indica.

Resumen: Señales de advertencia de malware que resemble procesos de Windows

Aquí hay un resumen rápido de cómo manejar cualquier proceso sospechoso que se parece a procesos estándar del sistema Windows. Puede que estés lidiando o no con malware, pero es importante llevar un registro de estas señales de advertencia.

  • Revisa los Detalles de Propiedad de la Aplicación para el copyright correcto: cada programa en Windows 11 y Windows 10 tiene una ubicación de archivo. Desde ahí puedes acceder a los “Detalles” en la pestaña de Propiedades. Asegúrate de que el copyright pertenezca a Windows, TrustedInstaller, o propietarios de procesos legítimos, como Google, Intel, NVIDIA, etc. Si no es así, entonces estamos mirando una posible fuente de malware que debería ser eliminada del sistema.
  • Verifica el uso de CPU de los programas de procesos de Windows: es normal que el uso de CPU de Windows se dispare cuando varios sistemas se ejecutan juntos. Sin embargo, muchas instancias del mismo programa que ralentizan el sistema son motivo de preocupación. Los programas innecesarios deberían ser identificados y cerrados de inmediato.
  • Verifica las firmas digitales de los procesos sospechosos de Windows: esta es la forma más importante y fácil de validar la autenticidad de un proceso. Si la firma digital de un proceso es inválida y no proviene de fuentes de confianza, entonces hay una buena posibilidad de que sea malware.
  • Verifica la ubicación de archivo de procesos sospechosos: la mayoría de los procesos de archivos de Windows tienen una ubicación bien definida en tu PC. Puede ser “C:\Windows\System32,” Archivos de Programa, o alguna otra ubicación bien definida. No deberías encontrar instancias de este proceso en otras áreas, como la unidad D, ya que esto indica la posibilidad de malware.

También leer: Cómo configurar OpenVPN en Windows

Preguntas Frecuentes

1. ¿Qué se debe hacer si un proceso de Windows determinado es realmente dañino?

Ningún proceso legítimo de Windows puede dañar tu sistema. Sin embargo, si hay instancias duplicadas de tales procesos que contienen malware, ve a CrowdInspect, haz clic derecho en ese proceso y selecciona “Finalizar Proceso.” Si tienes Windows Defender activado, se encargará de tales instancias de malware. También lee para aprender por qué Windows Defender es el único antivirus que necesitas.

Crowdinspect Eliminar Proceso Windows Processes Look Malware

2. ¿Qué sucede cuando terminas un proceso de Windows válido y cómo te recuperas de ello?

Si accidentalmente terminas un proceso de Windows válido, las consecuencias dependerán de cuán crítico sea el proceso para tu sistema. Si se trata de un proceso de software no crítico, no habrá impacto en un dispositivo Windows.

Para procesos de alto impacto como winlogon.exe y csrss.exe, Windows tiene un mecanismo incorporado para prevenir su terminación accidental. Sin embargo, si persistes y tratas de finalizar el sistema desde el administrador de tareas, tu dispositivo se apagará solo, requiriendo un reinicio. En el peor de los casos, puede llevar a un apagón completo y daño permanente debido al fallo.

Si se trata de un proceso de bajo impacto integral para la operación y mantenimiento programado de Windows, entonces el sistema reportará un fallo crítico y se apagará automáticamente. Después de un inicio, el problema habrá desaparecido.

Contenido

  1. Cómo averiguar si un proceso de Windows es legítimo
  2. 1. Verificando la legitimidad de un proceso de Windows a través de sus propiedades
  3. 2. Verificando la legitimidad de un proceso de Windows usando CrowdInspect
  4. Lista de Procesos Comunes de Windows 11/10 que Se Parecen a Malware
  5. 1. Explorer.exe
  6. 2. lsass.exe
  7. 3. RuntimeBroker.exe
  8. 4. Winlogon.exe
  9. 5. Svchost.exe
  10. 6. OfficeClickToRun.exe
  11. 7. igfxem.exe
  12. 8. Csrss.exe
  13. 9. GoogleCrashHandler.exe
  14. 10. Spoolsv.exe
  15. 11. Administrador de Tareas
  16. Resumen: Señales de advertencia de malware que resemble procesos de Windows
  17. Preguntas Frecuentes
  18. 1. ¿Qué se debe hacer si un proceso de Windows determinado es realmente dañino?
  19. 2. ¿Qué sucede cuando terminas un proceso de Windows válido y cómo te recuperas de ello?
Panel de control de Ello

Ello: Explorando la Red Social Privada

Bitdefender No se Instala: 3 Soluciones Fáciles que Puedes Usar

Más sobre las soluciones de Bitdefender

Google elimina Inbox y le da seis meses de vida

aspect-ratios-16x9

Entendiendo las relaciones de aspecto de video

Administrador de Archivos con Etiquetas para Organizar tus Archivos: Top 5

Arreglar wake on LAN no funcionando

Wake On LAN No Funciona en Windows [Solucionado]

easycap-mac-mspacman-console

Usando EasyCAP para Capturar VHS y Consolas en el Mac

Google prueba una nueva función de Chrome para la elegibilidad de actualización a Windows 11