11 законных процессов Windows, которые могут выглядеть как вредоносные программы

Процессы Windows играют важную роль в правильной работе вашего ПК или ноутбука. Некоторые из них, такие как csrss.exe и winlogon.exe, настолько критичны, что если вы вдруг решите их завершить, ваше устройство может выйти из строя. Авторы вредоносного ПО пользуются такой критичностью для заражения здоровых систем Windows. Предположительно, вирусы, рекламное ПО, шпионские программы и трояны могут быть названы как угодно - даже названными в честь стандартных процессов системы Windows.

Ниже приведены несколько ведущих процессов Windows 11 и 10, которые часто путают с их аналогами-вредоносными программами. Узнайте, как распознать подделки, если они появятся на вашей системе.

Содержание

• Как узнать, является ли процесс Windows законным
• 1. Explorer.exe
• 2. lsass.exe
• 3. RuntimeBroker.exe
• 4. Winlogon.exe
• 5. Svchost.exe
• 6. OfficeClickToRun.exe
• 7. igfxem.exe
• 8. Csrss.exe
• 9. GoogleCrashHandler.exe
• 10. Spoolsv.exe
• 11. Диспетчер задач
• Резюме: Предупредительные знаки вредоносного ПО, напоминающего процессы Windows
• Часто задаваемые вопросы

Также читайте: Как отформатировать диск в FAT32 в Windows

Как узнать, является ли процесс Windows законным

Существует два способа проверить, является ли процесс Windows законным или источником вредоносного ПО: через его свойства приложения и с помощью внешних инструментов, таких как CrowdInspect от CrowdStrike.

1. Проверка законности процесса Windows через его свойства

Все авторизованные файлы процессов Windows связаны с корпорацией Microsoft, официальным разработчиком программы/приложения или встроенной учетной записью Microsoft, такой как TrustedInstaller.exe, которая управляет папками, такими как WindowsApps.

Чтобы определить, является ли процесс Windows 11 или 10 законным и не является источником вредоносного ПО, вам нужно заглянуть под капот в его свойства приложения. Перейдите на вкладку “Сведения” и найдите официального владельца авторских прав процесса. Если это Microsoft, разработчик приложения или TrustedInstaller, то все в порядке.

Также в Windows 11/10 вы можете проверить вкладку “Цифровые подписи” свойств процесса. Здесь вы найдете официальные цифровые подписи с последними временными метками, что даст вам дополнительный уровень уверенности.

Поскольку подписание драйвера для этих процессов требует стандартных разрешений Microsoft (к тому же, любой несанкционированный доступ к корню устройства предотвращается безопасной загрузкой UEFI), в настоящее время авторам вредоносного ПО невозможно подделать цифровые подписи в Windows 11.

От обыденного до критически важного, такого как “services.exe” или “svchost.exe”, все процессы Windows 11 подписаны цифровыми подписями с временными метками. С каждым успешным обновлением Windows эта аутентификация повторно проверяется.

С другой стороны, свойства процесса Windows 10 могут не содержать вкладку Цифровые подписи вовсе. Также некоторые процессы могут некорректно отображать информацию об авторских правах.

Тем не менее, даже в Windows 10 критически важные внутренние системные процессы, такие как Winlogon.exe, всегда отображают эту информацию. Вы можете проверить подлинность программ другими способами. Кроме того, если вы установите неподписанные драйверы в Windows 10 или 11, они не покажут никаких цифровых подписей при последующей перезагрузке.

Также читайте: 11 законных процессов Windows, которые могут выглядеть как вредоносные программы

2. Проверка законности процесса Windows с помощью CrowdInspect

Как в Windows 10, так и в Windows 11 вы можете проверить подлинность файла процесса с помощью внешнего программного обеспечения: CrowdInspect от CrowdStrike. CrowdInspect - это бесплатный инструмент для хостовой и реальной инспекции процесса, который сканирует на наличие фонового вредоносного ПО с использованием движков обнаружения, таких как VirusTotal.

1. Скачайте ZIP-файл CrowdInspect с официальной ссылки и щелкните по распакованной программе, чтобы запустить ее. Вам не нужно ничего устанавливать.
2. Примите лицензионное соглашение и переходите к экрану, где вы можете выполнить гибридный анализ всех фоновых процессов на вашем устройстве Windows. Используйте встроенный API-ключ и нажмите “OK”.

1. Дождитесь, пока CrowdInspect заполнит ваш экран полным набором фоновых программ и процессов на вашем устройстве Windows.

Вы можете проверить статус программ с помощью цветных символов. Любой элемент, который чист, отмечен зеленым значком. Если есть сомнения, вы увидите вопросы рядом с значком. Для тех элементов с низкой угрозой есть желтый значок. Элементы с высокой угрозой определяются красным значком. Вы не увидите никаких желтых или красных значков, если ваше устройство здорово.

1. Чтобы дополнительно проверить, что нет угрозы вредоносного ПО, щелкните правой кнопкой мыши на процессе и выберите “Посмотреть результаты теста HA”. Вы не должны заметить никаких ошибок, что является безопасным индикатором того, что вы не имеете дело с вредоносным ПО.

Также читайте: Как запланировать выключение и запуск Windows

Список общих процессов Windows 11/10, похожих на вредоносные программы

1. Explorer.exe

Универсальная программа Проводник Windows, explorer.exe, легко доступна с панели задач и рабочего стола. Его основная задача - служить файловым менеджером для всех файлов и папок вашего устройства Windows 11/10. Из-за его жизненно важного значения программа explorer.exe является любимой целью атакующих.

Обнаружение вируса: вредоносное ПО, представляющее собой explorer.exe, обычно появляется в виде троянов, программ-вымогателей (особенно по электронной почте) и файлов Adobe Flash. Законная программа всегда находится в “C:\Windows”, а дубликаты могут появляться на диске D, в папке Программные файлы, скрытых папках или любом другом месте на ПК.

Действие: если на вашем устройстве есть два-три экземпляра explorer.exe, не о чем беспокоиться, если у всех них есть действительные цифровые подписи и расположение. Когда несколько процессов используют ЦП, определите поддельные в CrowdInspect, затем щелкните правой кнопкой мыши, чтобы “убить процесс”.

2. lsass.exe

lsass.exe обозначает службу подсистемы локальной службы безопасности, которая работает в фоновом режиме во время вашей аутентификации пользователя Windows. Кроме вредоносного ПО, не следует завершать оригинальные процессы, так как это приведет к потере доступа к учетным записям администратора и локальным, что вызовет перезагрузку устройства.

Обнаружение вируса: распространенный способ, которым авторы вредоносного ПО маскируют lsass, - это замена строчной “l” на “i” в верхнем регистре или заглавной “L”. Будьте осторожны с любыми преднамеренными опечатками. Также любые недействительные цифровые подписи и файлы, находящиеся вне папки “C:\Windows\System32”, являются явным признаком.

Действие: завершите поддельные процессы lsass из диспетчера задач. Если вы не уверены, это “l” или “i”, поступите так же из CrowdInspect. Несколько действительных экземпляров lsass допустимы и не должны быть подвержены изменениям.

3. RuntimeBroker.exe

RuntimeBroker.exe - безопасный процесс Microsoft, задача которого - управлять разрешениями для любых приложений, загруженных из Microsoft Store. Он проверяет подлинность программ, таких как приложение “Фото”. Если какое-либо приложение не принадлежит вашему устройству Windows, Runtime Broker сообщает вам об этом, потребляя много дополнительной памяти.

Обнаружение вируса: если ваше устройство Windows заражено вирусом RuntimeBroker.exe, его присутствие будет замечено в других местах ПК, кроме “C:\Windows\System32”. Поскольку программа не является законной, утечки памяти возрастут, нагружая ваш ЦП. Вы также заметите недействительную цифровую подпись для поддельных экземпляров.

Действие: откройте диспетчер задач. Кликните на несколько действительных экземпляров Runtime Broker и нажмите “Завершить задачу”. Это решит любые проблемы с данным приложением. Для поддельных записей RuntimeBroker.exe завершите их из CrowdInspect.

4. Winlogon.exe

Когда дело доходит до фоновых процессов Windows, нет ничего более важного, чем winlogon.exe. Он не только управляет процессом входа в систему, но также загружает профили пользователей, контролирует экранный Saver и подключается к нескольким сетям. Он расположен в “C:\Windows\System32”.

Обнаружение вируса: на самом деле winlogon.exe является очень опасным вредоносным ПО, обычно представляемым шпионскими программами или средствами для ведения журнала нажатий клавиш, которое может вызвать сбои систем, что легко распознается. Если у вас включен Защитник Windows, он сообщит вам, чтобы немедленно удалить файл и завершить любые использованные векторы (электронная почта, веб-браузер).

Действие: защищенный исполняемый файл winlogon.exe не будет иметь более одного экземпляра в CrowdInspect. Остальные поддельные экземпляры должны быть удалены при появлении, следуя рекомендациям Защитника Windows.

5. Svchost.exe

Svchost.exe обозначает “хост службы” Windows, общий процесс службы, который служит оболочкой для загрузки различных служб Windows. В зависимости от количества открытых приложений, обычно работает множество экземпляров svchost.exe в качестве отдельных процессов.

Обнаружение вируса: вы столкнетесь с эпизодом вредоносного ПО svchost.exe, когда найдете защищенную папку или программу, заблокированную дублирующим процессом или с вариантами написания, например “svhosts.exe”. В основном это средства программ-вымогателей или банковского мошенничества. Их вектором источника могут быть файлы PDF, ZIP и JavaScript.

Действие: эти трояны обычно представляют собой низкий уровень угрозы, но их следует удалить как можно скорее. Стандартные антивирусные инструменты и Защитник Windows способны удалить любые экземпляры хостов служб, не найденные в “C:\Windows\System32”.

Также читайте: Последние проблемы обновления Windows и как их решить

6. OfficeClickToRun.exe

Если вы использовали офисные инструменты, такие как Word, Excel или PowerPoint, вы столкнулись с исполняемым файлом OfficeClickToRun.exe. Его задача - запускать последние версии Microsoft Office на вашем устройстве и обрабатывать обновления. Даже когда это не вредоносное ПО, OfficeClickToRun.exe может потреблять много памяти вашего ЦП. Однако если вы периодически удаляете временные файлы, это становится гораздо менее обременительным.

Обнаружение вируса: присутствует ли исполняемый файл в каком-либо другом месте, кроме папки Программные файлы в Microsoft Shared? Дополнительный файл вреден для вашей системы. Также ваше устройство Windows должно иметь только один работающий экземпляр OfficeClickToRun.exe. Проверьте цифровые подписи для любых других экземпляров.

Действие: хотя сам по себе он не вреден, поддельные экземпляры OfficeClickToRun.exe могут забивать память вашей системы. Обычно они приходят через зараженные файлы и документы, которые следует быстро удалить.

7. igfxem.exe

igfxEM.exe - малоизвестный фоновый процесс, который критически важен для управления графической карточкой Intel и, следовательно, очень важен для отображения видеокарты. Он предустановлен на вашем устройстве и не должен мешать, так как не перегружает систему вообще.

Обнаружение вируса: если у вас есть более одного экземпляра igfxEM (и его орфографических вариаций), проверьте его цифровые подписи. Если отображается Intel и Microsoft, то нет вредоносного ПО. В противном случае у вас нет подлинного файла igfxEM, и этот процесс необходимо удалить.

Действие: никаких действий не нужно, если у вас действительные цифровые подписи, даже с несколькими экземплярами Intel. Если ваша оригинальная графическая карта Intel кажется поврежденной, попробуйте переустановить драйвер из “devmgmt.msc”, Управления устройствами в меню “Пуск”.

8. Csrss.exe

Csrss.exe обозначает подсистему клиент-серверного времени, легитимный пользовательский процесс, предназначенный для управления графическими действиями Windows, такими как завершение GUI и услуги консоли системы. Он очень часто ошибочно принимается за вредоносное ПО. Завершение его может быть фатальным для вашей системы, что обернется неминуемым сбоем.

Обнаружение вируса: Как и другие программы в “C:\Windows\System32”, csrss.exe остается на заднем плане, и вы увидите только один или два экземпляра в CrowdInspect. Любые подозрительные файлы будут иметь недействительные цифровые подписи и отсутствие деталей авторских прав.

Действие: csrss.exe часто используется мошенническими компаниями по безопасности и мошенниками в области технологий в качестве “доказательства”, что устройство заражено. Это не настоящее вредоносное ПО, поэтому вы никогда не должны завершать существующий процесс из-за неправильных советов в области технологий.

Также читайте: Как переустановить DirectX в Windows

9. GoogleCrashHandler.exe

Если у вас на устройство Windows установлены какие-либо программы Google, включая Google Chrome, вы обнаружите исполняемый файл GoogleCrashHandler.exe, который является частью пакетов обновления Google. Это не критический компонент Windows и может быть безопасно удален, но это также не всегда вредоносное ПО.

Обнаружение вируса: если цифровая подпись Google CrashHandler.exe недействительна, то есть она не была подписана Google, то мы рассматриваем возможный признак заражения шпионским ПО или руткитом, так как нормальный процесс безопасен.

Действие: удалите любые или все экземпляры GoogleCrashHandler.exe из диспетчера задач вашей системы, даже если это не всегда вредоносное ПО. Вы не хотите чрезмерно нагружать ЦП, если только не хотите отправлять отчеты о сбоях в Google.

10. Spoolsv.exe

Spoolsv.exe - это настоящий процесс Windows, встроенный в службу спулера печати, который переводит шрифты и графику в аппаратное обеспечение принтера и любые виртуальные принтеры. Это основной процесс Windows, существующий с самого начала MS-DOS. Завершение любого действительного экземпляра spoolsv.exe приведет к сбою машины и перезагрузке системы.

Обнаружение вируса: хотя он похож на некоторые вредоносные программы, spoolsv.exe является безопасным законным процессом Windows. Любые дополнительные процессы будут лишены цифровых подписей Microsoft. Если авторы вредоносного ПО используют похожее название для атаки на вашу систему, Защитник Windows должен предупредить вас об этом.

Действие: никаких действий не следует предпринимать, если процесс spoolsv.exe был подтвержден цифровой подписью Microsoft. В противном случае переходите в диспетчер задач, чтобы завершить процесс.

11. Диспетчер задач

Диспетчер задач Windows (taskmgr.exe) является очень важной программой, которая контролирует все основные процессы Windows, а также приложения. Закрытие этой важной программы и её производных, таких как taskhostw.exe, может быть фатальным для вашей системы, и авторы вредоносного ПО осознают это.

Обнаружение вируса: Если вы чувствуете, что программа, связанная с диспетчером задач, ведет себя неправильно, проверьте её расположение файла, которое должно находиться в “C:\Windows\System32”. Перезагрузите устройство, чтобы убедиться, что проблема исчезла. Если подозрительный экземпляр диспетчера задач продолжает существовать, мы имеем дело с возможным вредоносным ПО. Другим признаком является недействительная цифровая подпись.

Действие: любое зараженное вредоносным ПО исполняемое “похожее на диспетчер задач” можно идентифицировать и завершить из самого диспетчера задач. Однако, если вы сталкиваетесь с ошибкой TaskSchedulerHelper.dll в Windows 10, примите корректирующие меры, как указано.

Резюме: Предупредительные знаки вредоносного ПО, напоминающего процессы Windows

Вот краткое резюме того, как справиться с любыми подозрительными процессами, которые напоминают стандартные процессы системы Windows. Вы можете или не мочь иметь дело с вредоносным ПО, но важно отслеживать эти предупредительные знаки.

• Проверьте детали свойств приложения для корректных авторских прав: каждую программу в Windows 11 и 10 легко определить по расположению файла. Оттуда вы можете зайти в “Сведения” на вкладке свойств. Убедитесь, что авторские права принадлежат Windows, TrustedInstaller или законным владельцам процессов, таким как Google, Intel, NVIDIA и т.д. Если нет, то мы имеем дело с потенциальным источником вредоносного ПО, который следует удалить из системы.
• Проверьте загрузку ЦП программ процессов Windows: нормально, когда загрузка ЦП Windows резко возрастает, когда несколько систем работают вместе. Однако многие экземпляры одной и той же программы, замедляющей систему - это повод для беспокойства. Необязательные программы следует незамедлительно идентифицировать и закрыть.
• Проверьте подозрительные процессы Windows на наличие цифровых подписей: это самый важный и простой способ подтвердить подлинность процесса. Если цифровая подпись процесса недействительна и не поступает от надежных источников, то есть высокая вероятность, что это вредоносное ПО.
• Проверьте расположение файлов подозрительных процессов: большинство файловых процессов Windows имеют четко определенное местоположение на вашем ПК. Это может быть “C:\Windows\System32”, папка Программные файлы или какое-то другое четко определенное местоположение. Вы не должны находить экземпляры этого процесса в других областях, таких как диск D, так как это указывает на возможность вредоносного ПО.

Также читайте: Как настроить OpenVPN в Windows

Часто задаваемые вопросы

1. Что делать, если определенный процесс Windows действительно вреден?

Ни один законный процесс Windows не может нанести вред вашему устройству. Однако, если есть дублирующие экземпляры таких процессов, содержащих вредоносное ПО, перейдите в CrowdInspect, щелкните правой кнопкой мыши на этот процесс и выберите “Убить процесс”. Если Защитник Windows включен, он позаботится о таких экземплярах вредоносного ПО. Также читайте, чтобы узнать, почему Защитник Windows - это единственный антивирус, который вам нужен.

2. Что происходит, когда вы завершаете действительный процесс Windows и как восстановиться после этого?

Если вы случайно завершите действительный процесс Windows, последствия будут зависеть от того, насколько критичен процесс для вашей системы. Если это не критический программный процесс, на устройство Windows не будет никакого влияния.

Что касается высокоэффективных процессов, таких как winlogon.exe и csrss.exe, Windows имеет встроенный механизм, чтобы предотвратить их случайное завершение. Однако, если вы настаиваете и пытаетесь завершить систему из диспетчера задач, ваше устройство выключится само, потребовав перезагрузки. В худшем случае это может привести к полному выключению и постоянному повреждению из-за сбоя.

Если это процесс низкой нагрузки, который важен для запланированной работы и обслуживания Windows, то система сообщит об критическом сбое и автоматически выключится. После перезагрузки проблема исчезнет.