Tecnologia em palavras simples

11 Processos Windows Legítimos que Podem Parecer Malware

Imagem em Destaque Processos Windows que Parecem Malware

Os processos do Windows desempenham um papel significativo no funcionamento adequado do seu PC ou laptop. Alguns, como csrss.exe e winlogon.exe, são tão cruciais que, se você decidir terminá-los por engano, pode acabar travando o seu dispositivo. Os autores de malware se aproveitam de tal criticidade para infectar sistemas Windows saudáveis. A premissa é que vírus, adware, spyware e trojans podem ser rotulados de qualquer forma - até mesmo nomeados após processos padrão do sistema Windows.

Abaixo estão alguns dos principais processos do Windows 11 e 10 que costumam ser confundidos com malware devido a seus nomes. Aprenda a identificar as falsificações se elas aparecerem no seu sistema.

Índice

  • Como Descobrir se um Processo do Windows é Legítimo
    1. Explorer.exe
    1. lsass.exe
    1. RuntimeBroker.exe
    1. Winlogon.exe
    1. Svchost.exe
    1. OfficeClickToRun.exe
    1. igfxem.exe
    1. Csrss.exe
    1. GoogleCrashHandler.exe
    1. Spoolsv.exe
    1. Gerenciador de Tarefas
  • Resumo: Sinais de Alerta de Malware que se Assemelham a Processos do Windows
  • Perguntas Frequentes

Leia também: Como Format ar um Disco em FAT32 no Windows

Como Descobrir se um Processo do Windows é Legítimo

Existem duas maneiras de verificar se um processo do Windows é legítimo ou uma fonte de malware: por meio de suas Propriedades do Aplicativo e utilizando ferramentas externas, como o CrowdInspect da CrowdStrike.

1. Verificando a Legitimidade de um Processo do Windows através de Suas Propriedades

Todos os arquivos de processos autorizados do Windows estão conectados à Microsoft Corporation, ao desenvolvedor oficial do programa/aplicativo ou a uma conta Microsoft integrada, como TrustedInstaller.exe, que governa pastas como WindowsApps.

Para determinar se um processo do Windows 11 ou 10 é legítimo e não uma fonte de malware, você precisa olhar debaixo do capô em suas Propriedades do Aplicativo. Vá até a aba “Detalhes” e encontre o proprietário oficial dos direitos autorais do processo. Se for a Microsoft, um desenvolvedor de aplicativos ou TrustedInstaller, você está seguro.

Processos do Windows Parecem Malware Propriedades do Aplicativo Detalhes Windows11

Ainda no Windows 11/10, você pode verificar a aba “Assinaturas Digitais” nas Propriedades de um processo. Aqui você encontrará as assinaturas digitais oficiais com os últimos carimbos de data, oferecendo uma camada adicional de segurança.

Como a assinatura de um driver para esses processos requer permissões padrão da Microsoft (além disso, qualquer acesso não autorizado à raiz do dispositivo é impedido pelo UEFI secure boot), agora é impossível para os autores de malware falsificarem as assinaturas digitais no Windows 11.

Processos do Windows Parecem Malware Assinatura Digital Windows11

Do trivial ao criticamente importante, como “services.exe” ou “svchost.exe”, todos os processos do Windows 11 estão assinados digitalmente com carimbos de data. A cada atualização bem-sucedida do Windows, essa autenticação é revalidada.

Processos do Windows Parecem Malware Assinatura Digital Windows112

Por outro lado, as Propriedades do Processo do Windows 10 podem ter a aba de Assinaturas Digitais ausente completamente. Além disso, alguns dos processos podem não exibir as informações de direitos autorais corretamente.

No entanto, mesmo no Windows 10, processos internos críticos como Winlogon.exe sempre exibem essa informação. Você pode verificar a autenticidade do software por outros meios. Além disso, se você instalar drivers não assinados no Windows 10 ou 11, eles não mostrarão nenhuma assinatura digital após a reinicialização subsequente.

Processos do Windows Parecem Malware Propriedades do Aplicativo

Leia também: 11 Processos do Windows Legítimos que Podem Parecer Malware

2. Verificando a Legitimidade de um Processo do Windows Usando CrowdInspect

No Windows 10 e Windows 11, você pode verificar a autenticidade de um arquivo de processo através de uma aplicação de software externa: CrowdInspect da CrowdStrike. O CrowdInspect é uma ferramenta gratuita de inspeção de processos em tempo real baseada em host que faz varredura por malware de fundo usando mecanismos de detecção, como o VirusTotal.

  1. Baixe o arquivo ZIP do CrowdInspect pelo link oficial e clique no programa descompactado para iniciá-lo. Você não precisa instalar nada.
  2. Aceite um acordo de licença e prossiga para a tela onde você pode fazer uma análise híbrida de todos os processos em segundo plano no seu dispositivo Windows. Use a chave API embutida e clique em “OK.”

Processos do Windows Parecem Malware Início do Crowdinspect Windows11

  1. Aguarde até que o CrowdInspect preencha sua tela com todo o conjunto de programas e processos em segundo plano no seu dispositivo Windows.

Você pode verificar o status dos programas através de símbolos coloridos. Qualquer item que esteja limpo é indicado por um ícone verde. Se houver dúvidas, você verá pontos de interrogação ao lado do ícone. Para aqueles itens com uma ameaça de baixa gravidade, há um ícone amarelo. Itens com ameaça de alta gravidade são indicados por um ícone vermelho. Você não verá ícones amarelos ou vermelhos se o seu dispositivo estiver saudável.

Processos do Windows Parecem Malware Processos Verdes Crowdinspect Windows11

  1. Para verificar ainda mais se não há preocupações com malware, clique com o botão direito no processo e clique em “Ver Resultados do Teste HA.” Você não deve notar erros, uma indicação segura de que você não está lidando com nenhum malware.

Processos do Windows Parecem Malware Zero Erro Crowdinspect

Leia também: Como Agendar Desligamento e Inicialização do Windows

Lista de Processos Comuns do Windows 11/10 que Se Assemelham a Malware

1. Explorer.exe

O programa universal do Windows File Explorer, explorer.exe, é facilmente acessível pela barra de tarefas e desktop. Seu objetivo principal é atuar como um gerenciador de arquivos para todos os arquivos e pastas do seu dispositivo Windows 11/10. Devido à sua importância vital, o programa explorer.exe é um alvo favoritos dos atacantes.

Detecção de Vírus: malware explorer.exe geralmente aparece como trojans, ransomware (especialmente por e-mail), e arquivos do Adobe Flash. O programa legítimo sempre é encontrado em “C:\Windows,” e as duplicatas podem aparecer em D drive, Arquivos de Programas, pastas ocultas, ou qualquer outra localização no PC.

Processos do Windows Parecem Malware Explorerexe

Ação: se houver duas a três instâncias de explorer.exe em seu dispositivo, não há motivo para se preocupar, desde que todas tenham assinaturas digitais válidas e localizações adequadas. Quando há múltiplos processos consumindo CPU, identifique os falsos no CrowdInspect, e em seguida clique com o botão direito para “matar o processo.”

2. lsass.exe

lsass.exe significa Local Security Authority Subsystem Service, que atua por trás da autenticação do usuário do Windows. Além do malware, você não deve terminar os processos originais, pois isso fará com que seu sistema perca o acesso a contas Administrativas e locais, exigindo uma reinicialização do dispositivo.

Detecção de Vírus: uma maneira comum de os autores de malware disfarçarem lsass é substituindo o “l” minúsculo por um “i” em maiúsculas, ou um “L” maiúsculo. Fique atento a qualquer erro de digitação intencional. Além disso, qualquer assinatura digital inválida e arquivos localizados fora da pasta “C:\Windows\System32” são uma evidência óbvia.

Processos do Windows Parecem Malware Lsassexe

Ação: termine os processos lsass falsos pelo gerenciador de tarefas. Se não tiver certeza se é um “l” ou um “i,” faça o mesmo no CrowdInspect. Múltiplas instâncias válidas de lsass são aceitáveis e não devem ser alteradas.

3. RuntimeBroker.exe

RuntimeBroker.exe é um processo seguro da Microsoft que tem a função de gerenciar permissões para aplicativos baixados da Microsoft Store. Ele verifica a autenticidade de programas como o aplicativo Fotos. Se algum aplicativo não pertencer ao seu dispositivo Windows, o Runtime Broker alerta você ao consumir muita memória extra.

Detecção de Vírus: se seu dispositivo Windows estiver infectado com o vírus RuntimeBroker.exe, você verá sua presença em outras localizações do PC além de “C:\Windows\System32.” Como o programa não é legítimo, os vazamentos de memória dispararão, sobrecarregando sua CPU. Você também notará uma assinatura digital inválida para as instâncias falsas.

Processos do Windows Parecem Malware Runtimebrokerexe

Ação: abra o gerenciador de tarefas. Clique nas múltiplas instâncias válidas do Runtime Broker e clique em “Encerrar Tarefa.” Isso encerrará quaisquer problemas com um determinado aplicativo. Para as entradas falsas do RuntimeBroker.exe, termine-as pelo CrowdInspect.

4. Winlogon.exe

Quando se trata de processos em segundo plano do Windows, não há nada mais importante no esquema das coisas do que winlogon.exe. Ele não só governa o processo de login, mas também carrega perfis de usuário, controla o protetor de tela e se conecta com várias redes. Ele está localizado em “C:\Windows\System32.”

Detecção de Vírus: geralmente uma ferramenta de spyware ou keylogger, winlogon.exe é um malware muito perigoso que pode fazer com que os sistemas comecem a travar, o que é fácil de reconhecer. Se você tiver o Windows Defender ativado, ele o alertará para excluir imediatamente o arquivo e encerrar qualquer vetor usado (e-mail, navegador).

Processos do Windows Parecem Malware Winlogonexe

Ação: o executável seguro winlogon.exe não terá mais de uma instância no CrowdInspect. As outras instâncias falsas devem ser excluídas assim que encontradas, utilizando as sugestões do Windows Defender.

5. Svchost.exe

Svchost.exe refere-se ao “service host” do Windows, um processo de serviço compartilhado que atua como uma interface para carregar vários serviços do Windows. Dependendo do número de aplicativos abertos, geralmente há muitas instâncias de svchost.exe em execução como processos individuais.

Detecção de Vírus: você encontrará um episódio de malware svchost.exe quando encontrar uma pasta ou programa protegido bloqueado por um processo duplicado ou com variantes de grafia, como “svhosts.exe.” Eles são principalmente ferramentas de ransomware ou fraudes bancárias. Seus vetores de origem incluem arquivos PDF, arquivos ZIP e JavaScript.

Processos do Windows Parecem Malware Svchostexe

Ação: esses trojans geralmente são uma ameaça de baixo nível, mas devem ser removidos assim que possível. Ferramentas antivírus padrão e o Windows Defender estão equipados para excluir quaisquer instâncias de service host que não sejam encontradas em “C:\Windows\System32.”

Leia também: Problemas mais recentes da Atualização do Windows e Como Corrigi-los

6. OfficeClickToRun.exe

Se você tem usado ferramentas do Office - como Word, Excel ou PowerPoint - já encontrou um executável chamado OfficeClickToRun.exe. Sua função é executar as versões mais recentes do Microsoft Office em seu dispositivo e lidar com as atualizações. Mesmo quando não é um malware, o OfficeClickToRun.exe pode consumir muita memória da sua CPU. No entanto, se você excluir periodicamente arquivos temporários, isso diminuirá bastante a carga.

Detecção de Vírus: o executável está presente em qualquer outra localização além da Pasta de Programas na pasta Compartilhada da Microsoft? O arquivo extra é prejudicial ao seu sistema. Além disso, seu dispositivo Windows deve ter apenas uma instância do OfficeClickToRun.exe em execução. Verifique as assinaturas digitais para quaisquer outras.

Processos do Windows Parecem Malware Officeclicktorunjpg

Ação: embora não seja nocivo por si só, as instâncias falsas do OfficeClickToRun.exe podem entupir a memória do seu sistema. Elas geralmente vêm por meio de arquivos e documentos infectados, os quais devem ser prontamente excluídos.

7. igfxem.exe

igfxEM.exe é um processo pouco conhecido em segundo plano que é crucial para gerenciar a placa gráfica Intel e, portanto, é muito importante para a exibição da placa de vídeo. Ele vem pré-instalado no seu dispositivo e deve ser deixado em paz, pois não sobrecarrega o sistema.

Detecção de Vírus: se você tiver mais de uma instância de igfxEM (e suas misspellings), valide suas assinaturas digitais. Se mostrar Intel e Microsoft, não há malware. Caso contrário, você não possui um arquivo igfxEM genuíno, e esse processo deve ser removido.

Processos do Windows Parecem Malware Igfxemn

Ação: nenhuma ação deve ser tomada se você tiver assinaturas digitais válidas - mesmo com múltiplas instâncias da Intel. Se sua placa gráfica Intel original parecer corrompida, tente reinstalar o driver pelo “devmgmt.msc,” Gerenciamento de Dispositivos, no menu Iniciar.

8. Csrss.exe

Csrss.exe significa Client Server Runtime Subsystem, um processo de usuário legítimo destinado a gerenciar atividades gráficas do Windows, como fechamento da GUI e serviços do console do sistema. Ele é muito comumente confundido com malware. Terminar esse processo pode ser fatal para o seu sistema, levando a uma falha garantida.

Detecção de Vírus: Assim como outros programas em “C:\Windows\System32,” csrss.exe permanece tranquilamente em segundo plano, e você encontrará apenas uma ou duas instâncias no CrowdInspect. Quaisquer arquivos suspeitos terão assinaturas digitais inválidas e Detalhes de Direitos Autorais ausentes.

Processos do Windows Parecem Malware Csrssjpg

Ação: csrss.exe é frequentemente utilizado por empresas de software de segurança fraudulentas e golpistas de tecnologia como “prova” de que um dispositivo está infectado. Isso não é malware real, então você nunca deve terminar o processo existente por causa de um conselho técnico errado.

Leia também: Como Reinstalar o DirectX no Windows

9. GoogleCrashHandler.exe

Se você tiver algum programa do Google no seu dispositivo Windows, incluindo o Google Chrome, você encontrará um executável chamado GoogleCrashHandler.exe, uma parte dos pacotes do Google Updater. Este não é um componente crítico do Windows e pode ser removido de forma segura e fácil, mas também não é sempre um malware.

Detecção de Vírus: se a assinatura digital do Google CrashHandler.exe for inválida, ou seja, não foi assinada pelo Google, então estamos observando um possível sinal de infecção por spyware ou rootkit, já que o processo normal é seguro.

Processos do Windows Parecem Malware Google Crash Handler

Ação: remova quaisquer ou todas as instâncias de GoogleCrashHandler.exe do gerenciador de tarefas do seu sistema, mesmo que não seja sempre malware. Você não quer sobrecarregar a CPU desnecessariamente a menos que queira enviar relatórios de falha para o Google.

10. Spoolsv.exe

Spoolsv.exe é um processo genuíno do Windows, integrado ao serviço de Gerenciador de Impressão, que traduz fontes e gráficos para hardware de impressora e qualquer impressora virtual. Este é um processo central do Windows que existe desde o início do MS-DOS. Terminar qualquer entrada de processo spoolsv.exe válida levará a uma falha da máquina e reinicialização do sistema.

Detecção de Vírus: embora pareça algum malware, spoolsv.exe é um processo do Windows legítimo e seguro. Quaisquer processos extras não terão assinaturas digitais da Microsoft. Se autores de malware usarem um nome semelhante para atacar seu sistema, o Windows Defender deverá alertá-lo sobre isso.

Processos do Windows Parecem Malware Spoolsv

Ação: nenhuma ação deve ser tomada se o processo spoolsv.exe foi validado por uma assinatura digital da Microsoft. Caso contrário, vá ao gerenciador de tarefas para encerrar o processo.

11. Gerenciador de Tarefas

O Gerenciador de Tarefas do Windows (taskmgr.exe) é um programa muito importante que controla todos os processos centrais do Windows, bem como os aplicativos. Encerrar esse programa essencial e suas derivadas, como taskhostw.exe, pode ser fatal para o seu sistema, e os autores de malware perceberam isso.

Detecção de Vírus: Se você sentir que um programa relacionado ao gerenciador de tarefas não está se comportando corretamente, verifique sua localização de arquivo, que deve estar em “C:\Windows\System32.” Reinicie seu dispositivo para ver se o problema desapareceu. Se a instância suspeita do gerenciador de tarefas continuar, estamos observando um possível malware. Outro sinal é que sua assinatura digital seria inválida.

Processos do Windows Parecem Malware Taskmgr

Ação: qualquer executável “semelhante ao gerenciador de tarefas” infectado por malware pode ser identificado e encerrado a partir do próprio gerenciador de tarefas. Se, no entanto, você estiver enfrentando o erro TaskSchedulerHelper.dll no Windows 10, tome as medidas corretivas conforme mostrado.

Resumo: Sinais de Alerta de Malware que se Assemelham a Processos do Windows

Aqui está um resumo rápido de como lidar com quaisquer processos suspeitos que se assemelham a processos do sistema Windows padrão. Você pode ou não estar lidando com qualquer malware, mas é importante ficar atento a esses sinais de alerta.

  • Verifique os Detalhes da Propriedade do Aplicativo para direitos autorais corretos: cada programa no Windows 11 e Windows 10 possui uma localização de arquivo. A partir daí, você pode acessar os “Detalhes” na aba de Propriedades. Certifique-se de que os direitos autorais pertencem ao Windows, TrustedInstaller, ou proprietários de processos legítimos, como Google, Intel, NVIDIA, etc. Caso contrário, estamos observando uma possível fonte de malware que deve ser removida do sistema.
  • Verifique o uso da CPU dos programas do Processos do Windows: é normal que o uso da CPU do Windows dispare quando vários sistemas estão rodando juntos. No entanto, muitas instâncias do mesmo programa reduzindo a velocidade do sistema é uma causa de preocupação. Os programas desnecessários devem ser identificados e encerrados imediatamente.
  • Verifique os processos do Windows suspeitos quanto a assinaturas digitais: esta é a maneira mais importante e mais fácil de validar a autenticidade de um processo. Se a assinatura digital de um processo for inválida e não vier de fontes confiáveis, então há uma boa chance de que seja malware.
  • Verifique a localização do arquivo de processos suspeitos: a maioria dos processos de arquivos do Windows possui uma localização bem definida no seu PC. Pode ser “C:\Windows\System32,” os Arquivos de Programas, ou alguma outra localização bem definida. Você não deve encontrar instâncias deste processo em outras áreas, como D drive, pois isso indica a possibilidade de malware.

Leia também: Como Configurar OpenVPN no Windows

Perguntas Frequentes

1. O que deve ser feito se um certo processo do Windows for realmente nocivo?

Nenhum processo do Windows legítimo pode prejudicar seu sistema. No entanto, se houver instâncias duplicadas de tais processos que contenham malware, vá para o CrowdInspect, clique com o botão direito nesse processo e clique em “Matar Processo.” Se você tiver o Windows Defender ativado, ele cuidará de tais instâncias de malware. Leia também para aprender por que o Windows Defender é o único antivírus que você precisa.

Processos do Windows Parecem Malware Crowdinspect Matar Processo Windows11

2. O que acontece quando você termina um processo válido do Windows e como se recuperar disso?

Se você terminar acidentalmente um processo válido do Windows, as consequências dependerão de quão crítico é o processo para o seu sistema. Se for um processo de software não crítico, não haverá impacto no dispositivo Windows.

Para processos de alto impacto, como winlogon.exe e csrss.exe, o Windows possui um mecanismo integrado para evitar sua terminação acidental. No entanto, se você persistir e tentar encerrar o sistema a partir do gerenciador de tarefas, seu dispositivo se desligará sozinho, exigindo uma reinicialização. Na pior das hipóteses, pode levar a um apagão completo e danos permanentes devido a uma falha.

Conteúdo

  1. Como Descobrir se um Processo do Windows é Legítimo
  2. 1. Verificando a Legitimidade de um Processo do Windows através de Suas Propriedades
  3. 2. Verificando a Legitimidade de um Processo do Windows Usando CrowdInspect
  4. Lista de Processos Comuns do Windows 11/10 que Se Assemelham a Malware
  5. 1. Explorer.exe
  6. 2. lsass.exe
  7. 3. RuntimeBroker.exe
  8. 4. Winlogon.exe
  9. 5. Svchost.exe
  10. 6. OfficeClickToRun.exe
  11. 7. igfxem.exe
  12. 8. Csrss.exe
  13. 9. GoogleCrashHandler.exe
  14. 10. Spoolsv.exe
  15. 11. Gerenciador de Tarefas
  16. Resumo: Sinais de Alerta de Malware que se Assemelham a Processos do Windows
  17. Perguntas Frequentes
  18. 1. O que deve ser feito se um certo processo do Windows for realmente nocivo?
  19. 2. O que acontece quando você termina um processo válido do Windows e como se recuperar disso?
Painel do Ello

Ello: Explorando a Rede Social Privada

Bitdefender Não Instalando: 3 Soluções Fáceis que Você Pode Usar

Mais sobre as Soluções do Bitdefender

Google Descontinuando o Inbox e Dando a Ele Seis Meses de Vida

aspect-ratios-16x9

Entendendo as Proporções de Vídeo

Gerenciador de Arquivos com Etiquetas para Organizar seus Arquivos: Top 5

Corrigir wake on LAN não funcionando

Wake On LAN Não Funcionando no Windows [Resolvido]

easycap-mac-mspacman-console

Usando EasyCAP para Capturar VHS e Consoles no Mac

Google testa novo recurso do Chrome para elegibilidade de atualização para Windows 11