11 Processi Legittimi di Windows che Possono Assomigliare a Malware

I processi di Windows giocano un ruolo significativo nel corretto funzionamento del tuo PC o laptop. Alcuni, come csrss.exe e winlogon.exe, sono così cruciali che se decidi erroneamente di terminarli, potresti finire per far crashare il tuo dispositivo. Gli autori di malware approfittano di tale criticità per infettare sistemi Windows sani. La premessa è che virus, adware, spyware e Trojan possono essere etichettati in qualsiasi modo – persino chiamati con i nomi di processi di sistema standard di Windows.

Di seguito ci sono alcuni dei principali processi di Windows 11 e 10 spesso confusi per malware con nome simile. Scopri come riconoscere i falsi se si presentano sul tuo sistema.

Indice

• Come scoprire se un processo di Windows è legittimo
• 1. Explorer.exe
• 2. lsass.exe
• 3. RuntimeBroker.exe
• 4. Winlogon.exe
• 5. Svchost.exe
• 6. OfficeClickToRun.exe
• 7. igfxem.exe
• 8. Csrss.exe
• 9. GoogleCrashHandler.exe
• 10. Spoolsv.exe
• 11. Task Manager
• Riepilogo: Segnali di avvertimento di malware che somigliano ai processi di Windows
• Domande Frequenti

Leggi anche: Come formattare un’unità in FAT32 su Windows

Come scoprire se un processo di Windows è legittimo

Ci sono due modi per verificare se un processo di Windows è legittimo o una fonte di malware: attraverso le sue Proprietà dell’applicazione e utilizzando strumenti esterni come CrowdInspect di CrowdStrike.

1. Verifica della legittimità di un processo di Windows attraverso le sue Proprietà

Tutti i file dei processi di Windows autorizzati sono collegati alla Microsoft Corporation, allo sviluppatore ufficiale del programma/app o a un account Microsoft integrato come TrustedInstaller.exe, che governa cartelle come WindowsApps.

Per determinare se un processo di Windows 11 o 10 è legittimo e non è una fonte di malware, devi guardare sotto il cofano nelle sue Proprietà dell’applicazione. Vai alla scheda “Dettagli” e trova il proprietario del copyright ufficiale del processo. Se è Microsoft, un sviluppatore di app, o TrustedInstaller, sei a posto.

Sempre in Windows 11/10, puoi controllare la scheda “Firme Digitali” delle Proprietà di un processo. Qui troverai le firme digitali ufficiali con le ultime timestamp che ti danno un ulteriore livello di sicurezza.

Poiché la firma di un driver per questi processi richiede autorizzazioni standard di Microsoft (inoltre, qualsiasi accesso non autorizzato alla radice del dispositivo è prevenuto dal secure boot UEFI), ora è impossibile per gli autori di malware falsificare le firme digitali in Windows 11.

Dal banale al criticamente importante, come “services.exe” o “svchost.exe”, tutti i processi di Windows 11 sono firmati digitalmente con timestamp. Con ogni aggiornamento di Windows riuscito, questa autenticazione viene verificata nuovamente.

D’altra parte, le Proprietà dei processi di Windows 10 potrebbero avere la scheda Firme Digitali completamente assente. Inoltre, alcuni dei processi potrebbero non mostrare correttamente le informazioni sul copyright.

Tuttavia, anche in Windows 10, processi di sistema interni mission-critical come Winlogon.exe mostrano sempre queste informazioni. Puoi verificare l’autenticità del software in altri modi. Inoltre, se installi driver non firmati in Windows 10 o 11, non mostreranno alcuna firma digitale al successivo riavvio.

Leggi anche: 11 Processi Legittimi di Windows che Possono Assomigliare a Malware

2. Verifica della legittimità di un processo di Windows utilizzando CrowdInspect

Su Windows 10 e Windows 11, puoi verificare l’autenticità di un file di processo attraverso un’applicazione software esterna: CrowdInspect di CrowdStrike. CrowdInspect è uno strumento gratuito di ispezione dei processi basato su host e in tempo reale che scansiona i malware in background utilizzando motori di rilevamento come VirusTotal.

1. Scarica il file ZIP di CrowdInspect dal link ufficiale e clicca sul programma estratto per avviarlo. Non devi installare nulla.
2. Accetta un contratto di licenza e procedi alla schermata in cui puoi fare un’analisi ibrida di tutti i processi in background sul tuo dispositivo Windows. Usa la chiave API integrata e clicca su “OK.”

1. Aspetta finché CrowdInspect non popola il tuo schermo con l’intero set di programmi e processi in background sul tuo dispositivo Windows.

Puoi verificare lo stato dei programmi attraverso simboli di colore. Qualsiasi voce che è pulita è indicata da un’icona verde. Se ci sono dubbi, vedrai punti interrogativi accanto all’icona. Per quegli elementi con una minaccia di bassa gravità, c’è un’icona gialla. Gli elementi con minaccia di alta gravità sono indicati da un’icona rossa. Non vedrai alcuna icona gialla o rossa se il tuo dispositivo è sano.

1. Per verificare ulteriormente che non ci siano preoccupazioni per malware, fai clic con il tasto destro sul processo e clicca su “Visualizza risultati del test HA.” Non dovresti notare errori, un’indicazione sicura che non stai trattando alcun malware.

Leggi anche: Come programmare lo spegnimento e l’accensione di Windows

Elenco dei comuni processi di Windows 11/10 che somigliano a malware

1. Explorer.exe

Il programma universale di Windows File Explorer, explorer.exe, è facilmente accessibile dalla barra delle applicazioni e dal desktop. Il suo scopo principale è servire come gestore di file per tutti i file e le cartelle del tuo dispositivo Windows 11/10. A causa della sua vitale importanza, il programma explorer.exe è un obiettivo preferito per gli attaccanti.

Rilevamento del Virus: il malware explorer.exe di solito si presenta come Trojan, ransomware (specialmente via email) e file di Adobe Flash. Il programma legittimo si trova sempre in “C:\Windows,” e i duplicati possono apparire nell’unità D, in Program Files, in cartelle nascoste, o in qualsiasi altra posizione del PC.

Azione: se ci sono due o tre istanze di explorer.exe sul tuo dispositivo, non c’è nulla di cui preoccuparsi a patto che abbiano tutte firme digitali valide e posizioni corrette. Quando ci sono più processi che consumano CPU, identifica quelli falsi in CrowdInspect, poi fai clic destro per “terminare il processo.”

2. lsass.exe

lsass.exe sta per Local Security Authority Subsystem Service, che si occupa dell’autenticazione dell’utente in Windows. Oltre al malware, non dovresti terminare i processi originali, poiché ciò comporterebbe la perdita di accesso agli account Admin e locali, richiedendo un riavvio del dispositivo.

Rilevamento del Virus: un modo comune per gli autori di malware di mascherare lsass è sostituire la minuscola “l” con una “i” maiuscola, o una “L” maiuscola. Fai attenzione a eventuali errori di ortografia intenzionali. Inoltre, qualsiasi firma digitale non valida e file posizionati al di fuori della cartella “C:\Windows\System32” è un ovvio segnale di avvertimento.

Azione: termina i processi lsass falsi dal task manager. Se non sei sicuro se sia una “l” o una “i,” fai lo stesso da CrowdInspect. Molteplici istanze valide di lsass vanno bene e non devono essere toccate.

3. RuntimeBroker.exe

RuntimeBroker.exe è un processo Microsoft sicuro il cui compito è gestire le autorizzazioni per qualsiasi app scaricata dal Microsoft Store. Verifica l’autenticità di programmi come l’app Foto. Se qualsiasi app non appartiene al tuo dispositivo Windows, il Broker di Runtime ti avvisa consumando molta memoria extra.

Rilevamento del Virus: se il tuo dispositivo Windows è infettato dal virus RuntimeBroker.exe, vedrai la sua presenza in altre posizioni del PC oltre a “C:\Windows\System32.” Poiché il programma non è legittimo, le perdite di memoria schizzano alle stelle, appesantendo la tua CPU. Noterai anche una firma digitale non valida per le istanze false.

Azione: apri il task manager. Clicca su più istanze valide di Runtime Broker e clicca su “Termina attività.” Questo porrà fine a qualsiasi problema con una determinata app. Per le voci RuntimeBroker.exe false, terminale tramite CrowdInspect.

4. Winlogon.exe

Quando si tratta dei processi di Windows in background, non c’è nulla di più importante nello schema delle cose di winlogon.exe. Non solo governa il processo di accesso, ma carica anche i profili utente, controlla il salvaschermo e si connette a molteplici reti. Si trova in “C:\Windows\System32.”

Rilevamento del Virus: di solito uno strumento spyware o di registrazione dei tasti, winlogon.exe è un malware molto pericoloso che può causare il crash dei sistemi, cosa facile da riconoscere. Se hai Windows Defender attivo, ti avviserà di eliminare immediatamente il file e di terminare eventuali vettori utilizzati (email, browser web).

Azione: l’eseguibile winlogon.exe sicuro non avrà più di un’istanza in CrowdInspect. Le altre istanze false dovrebbero essere eliminate al momento della rilevazione seguendo i suggerimenti di Windows Defender.

5. Svchost.exe

Svchost.exe si riferisce a “service host” di Windows, un processo di servizio condiviso che funge da shell per caricare vari servizi di Windows. A seconda del numero di applicazioni aperte, ci sono di solito molte istanze di svchost.exe che vengono eseguite come processi individuali.

Rilevamento del Virus: puoi imbatterti in un episodio di malware svchost.exe quando trovi una cartella o un programma protetti bloccati da un processo duplicato o con varianti di ortografia come “svhosts.exe.” Si tratta principalmente di strumenti di ransomware o di frode bancaria. I loro vettori sorgente includono file PDF, file ZIP e JavaScript.

Azione: questi Trojan sono di solito una minaccia di basso livello ma dovrebbero essere rimossi al più presto. Gli strumenti antivirus standard e Windows Defender sono equipaggiati per eliminare qualsiasi istanza di service host non trovata in “C:\Windows\System32.”

Leggi anche: Ultimi Problemi di Aggiornamento di Windows e Come Risolverli

6. OfficeClickToRun.exe

Se hai utilizzato strumenti di Office – come Word, Excel o PowerPoint – ti sarà capitato di incappare in un eseguibile chiamato OfficeClickToRun.exe. Il suo compito è eseguire le ultime versioni di Microsoft Office sul tuo dispositivo e gestire gli aggiornamenti. Anche se non è un malware, OfficeClickToRun.exe può essere intensivo in termini di memoria sulla tua CPU. Tuttavia, se elimini periodicamente i file temporanei, è molto meno pesante.

Rilevamento del Virus: è presente l’eseguibile in qualsiasi altra posizione oltre a Program Files nella cartella Microsoft Condivisa? Il file extra è dannoso per il tuo sistema. Inoltre, il tuo dispositivo Windows dovrebbe avere solo un’istanza di OfficeClickToRun.exe in esecuzione. Controlla le firme digitali per eventuali altri.

Azione: anche se di per sé non è dannoso, le istanze false di OfficeClickToRun.exe possono ostruire la memoria del tuo sistema. Di solito provengono da file e documenti infetti, i quali dovrebbero essere prontamente eliminati.

7. igfxem.exe

igfxEM.exe è un processo poco conosciuto che è cruciale per gestire la scheda grafica Intel e quindi molto importante per la visualizzazione della scheda video. Viene preinstallato sul tuo dispositivo e dovrebbe essere lasciato in pace, poiché non appesantisce affatto il sistema.

Rilevamento del Virus: se hai più di un’istanza di igfxEM (e le sue errate ortografie come mostrate), verifica le sue firme digitali. Se mostra Intel e Microsoft, non ci sono malware. Altrimenti, non hai un file igfxEM genuino e quel processo deve essere rimosso.

Azione: non dovrebbero essere prese azioni se hai firme digitali valide – anche con molteplici istanze Intel. Se la tua scheda grafica Intel originale sembra danneggiata, prova a reinstallare il driver da “devmgmt.msc,” Gestione Dispositivi, nel menu Start.

8. Csrss.exe

Csrss.exe sta per Client Server Runtime Subsystem, un processo utente legittimo destinato a gestire le attività grafiche di Windows, come lo spegnimento dell’interfaccia grafica e i servizi della console di sistema. Viene spesso scambiato per malware. Terminarlo può essere fatale per il tuo sistema, portando a un crash assicurato.

Rilevamento del Virus: Come altri programmi in “C:\Windows\System32,” csrss.exe rimane silenzioso in background, e troverai solo una o due istanze in CrowdInspect. Qualsiasi file sospetto avrà firme digitali non valide e dettagli sul copyright mancanti.

Azione: csrss.exe viene spesso utilizzato da aziende di sicurezza informatica disoneste e truffatori tecnologici come “prova” che un dispositivo è infetto. Questo non è vero malware, quindi non dovresti mai terminare il processo esistente a causa di un consiglio tecnico errato.

Leggi anche: Come reinstallare DirectX su Windows

9. GoogleCrashHandler.exe

Se hai programmi Google sul tuo dispositivo Windows, incluso Google Chrome, troverai un eseguibile chiamato GoogleCrashHandler.exe, parte dei pacchetti di Google Updater. Questo non è un componente critico di Windows e può essere rimosso facilmente e in sicurezza, ma non è sempre malware.

Rilevamento del Virus: se la firma digitale di Google CrashHandler.exe è non valida, cioè non è stata firmata da Google, allora stiamo esaminando un possibile segnale di infezione da spyware o rootkit, poiché il processo normale è sicuro.

Azione: rimuovi qualsiasi o tutte le istanze di GoogleCrashHandler.exe dal task manager del tuo sistema anche se non è sempre malware. Non vuoi gravare inutilmente sulla CPU a meno che non desideri inviare rapporti di crash a Google.

10. Spoolsv.exe

Spoolsv.exe è un processo Windows genuino, integrato con il servizio di Spooler di Stampa, traduce font e grafiche in hardware per stampanti e qualsiasi stampante virtuale. Questo è un processo core di Windows che esiste fin dall’inizio di MS-DOS. Terminare qualsiasi voce valida del processo spoolsv.exe porterà a un malfunzionamento della macchina e a un riavvio del sistema.

Rilevamento del Virus: anche se assomiglia a qualche malware, spoolsv.exe è un processo di Windows legittimo e sicuro. Qualsiasi processo aggiuntivo non avrà firme digitali da Microsoft. Se gli autori di malware utilizzano un nome simile per attaccare il tuo sistema, Windows Defender dovrebbe avvisarti alla sua comparsa.

Azione: non dovrebbero essere prese azioni se il processo spoolsv.exe è stato convalidato da una firma digitale di Microsoft. Altrimenti, vai al task manager per terminare il processo.

11. Task Manager

Il Task Manager di Windows (taskmgr.exe) è un programma molto importante che controlla tutti i processi core di Windows così come le applicazioni. Chiudere questo programma essenziale e le sue derivate, come taskhostw.exe, può essere fatale per il tuo sistema, e gli autori di malware ne sono consapevoli.

Rilevamento del Virus: Se ritieni che un programma correlato al task manager non stia funzionando correttamente, controlla la sua posizione nel file, che dovrebbe trovarsi in “C:\Windows\System32.” Riavvia il tuo dispositivo per vedere se il problema è scomparso. Se l’istanza sospetta del task manager continua, stiamo esaminando un potenziale malware. Un altro segnale è la sua firma digitale che sarebbe non valida.

Azione: qualsiasi eseguibile infettato da malware “simile al task manager” può essere identificato e terminato dal task manager stesso. Se, tuttavia, stai affrontando un errore TaskSchedulerHelper.dll in Windows 10, prendi i passi correttivi come mostrato.

Riepilogo: Segnali di avvertimento di malware che somigliano ai processi di Windows

Ecco un rapido riepilogo su come affrontare eventuali processi sospetti che assomigliano a processi di sistema standard di Windows. Potresti o meno avere a che fare con qualche malware, ma è importante tenere traccia di questi segnali di avvertimento.

• Controlla i dettagli delle Proprietà dell’applicazione per il copyright corretto: ogni programma in Windows 11 e Windows 10 ha una posizione del file. Da lì puoi accedere ai “Dettagli” nella scheda delle Proprietà. Assicurati che il copyright appartenga a Windows, TrustedInstaller, o legittimi proprietari di processi, come Google, Intel, NVIDIA, ecc. Se non è così, stiamo esaminando una potenziale fonte di malware che dovrebbe essere rimossa dal sistema.
• Controlla l’uso della CPU dei programmi di processo di Windows: è normale che l’uso della CPU di Windows aumenti quando più sistemi vengono eseguiti insieme. Tuttavia, molteplici istanze dello stesso programma che rallentano il sistema sono motivo di preoccupazione. I programmi non necessari dovrebbero essere identificati e chiusi immediatamente.
• Controlla i processi di Windows sospetti per le firme digitali: questo è il modo più importante e più facile per convalidare l’autenticità di un processo. Se la firma digitale di un processo è non valida e non proviene da fonti fidate, allora c’è una buona possibilità che sia malware.
• Controlla la posizione dei file dei processi sospetti: la maggior parte dei file di processo di Windows ha una posizione ben definita sul tuo PC. Può essere “C:\Windows\System32,” i Program Files, o un’altra posizione ben definita. Non dovresti trovare istanze di questo processo in altre aree, come l’unità D, poiché indica la possibilità di malware.

Leggi anche: Come configurare OpenVPN su Windows

Domande Frequenti

1. Cosa dovrebbe essere fatto se un certo processo di Windows è realmente dannoso?

Nessun processo legittimo di Windows può danneggiare il tuo sistema. Tuttavia, se ci sono istanze duplicate di tali processi che contengono malware, vai su CrowdInspect, fai clic destro su quel processo e clicca su “Termina processo.” Se hai Windows Defender attivo, si occuperà di tali istanze di malware. Leggi anche perché Windows Defender è l’unico antivirus di cui hai bisogno.

2. Cosa succede se termini un processo legittimo di Windows e come puoi recuperare da ciò?

Se termini accidentalmente un processo legittimo di Windows, le conseguenze dipenderanno da quanto sia critico il processo per il tuo sistema. Se si tratta di un processo software non critico, non ci sarà alcun impatto su un dispositivo Windows.

Per processi di grande impatto come winlogon.exe e csrss.exe, Windows ha un meccanismo integrato per prevenire la loro interruzione accidentale. Tuttavia, se persisti e provi a chiudere il sistema dal task manager, il tuo dispositivo si spegnerà da solo, richiedendo un riavvio. Nei casi peggiori, può portare a un blackout completo e a danni permanenti a causa di un crash.

Se si tratta di un processo a bassa incidenza integrale all’operazione programmata e alla manutenzione di Windows, allora il sistema segnalerà un errore critico e si spegnerà automaticamente. Dopo l’avvio, il problema sarà scomparso.