تعد العمليات جزءًا لا مفر منه من Windows ، وليس من غير المعتاد رؤية العشرات أو المئات منها في إدارة المهام. كل عملية عبارة عن برنامج أو جزء من برنامج قيد التشغيل. لسوء الحظ ، يعرف منشئو البرامج الضارة ذلك ومن المعروف أنهم يخفون البرامج الضارة وراء أسماء العمليات المشروعة.
فيما يلي بعض العمليات الأكثر شيوعًا التي يتم الاستيلاء عليها أو تكرارها ، جنبًا إلى جنب مع المكان الذي يجب أن توجد فيه وكيفية اكتشاف إصدار ضار.
1. ملف Svchost.exe
مضيف الخدمة ، أو ملف Svchost.exe ، هو عملية خدمة مشتركة. يسمح للعديد من خدمات Windows الأخرى بمشاركة العمليات. يساعد هذا في تقليل استخدام الموارد ، مما يجعل النظام أكثر كفاءة. من شبه المؤكد أنك سترى أكثر من مثيل واحد من Svchost.exe في إدارة المهام ، لكن هذا أمر طبيعي. إذا تم اختراق ملف أو أكثر من هذه الملفات بواسطة البرامج الضارة ، فقد تلاحظ انخفاضًا واضحًا في الأداء.
يجب العثور على ملفات Svchost الشرعية بتنسيق ج: \ Windows \ System32. إذا كنت تشك في أنه قد تم الاختطاف ، فتحقق
C: \ Windows \ Temp. إذا رأيت ملف Svchost.exe هنا ، فقد يكون ملفًا ضارًا. قم بفحص الملف باستخدام برنامج مكافحة الفيروسات الخاص بك ، وقم بعزله إذا لزم الأمر.2. Explorer.exe
Explorer.exe مسؤول عن الغلاف الرسومي. بدونها ، لن يكون لديك شريط مهام أو قائمة ابدأ أو مدير الملفات أو حتى سطح المكتب. لذلك ، فهو جزء أساسي من Windows ولا يمكن تعطيله.
يمكن للعديد من الفيروسات استخدام اسم الملف Explorer.exe للاختباء خلفه ، بما في ذلك trojan.w32.ZAPCHAST. سيكون الملف الشرعي بتنسيق ج: \ ويندوز. إذا وجدته في النظام 32، يجب عليك بالتأكيد التحقق من ذلك باستخدام برنامج مكافحة الفيروسات الخاص بك.
3. Winlogon.exe
تعد عملية Winlogon.exe جزءًا أساسيًا من نظام التشغيل Windows. إنه يتعامل مع أشياء مثل تحميل ملف تعريف المستخدم أثناء تسجيل الدخول وقفل الكمبيوتر عند تشغيل شاشة التوقف. لسوء الحظ ، نظرًا لأنه يتعامل مع عناصر الأمان ، يعد Windows Logon وعملية winlogon.exe أهدافًا شائعة للتهديدات.
يمكن إخفاء العديد من فيروسات أحصنة طروادة ، بما في ذلك Vundo ، داخل أو متخفية باسم winlogon.exe. الموقع المعتاد لملف Winlogon.exe هو ج: \ Windows \ System32. إذا وجدته في ج: \ Windows \ WinSecurity، يمكن أن تكون ضارة. أحد المؤشرات الجيدة على تعرض العملية للاختطاف هو استخدام ذاكرة عالية بشكل غير عادي.
لا تختبئ الفيروسات والبرامج الضارة خلف عمليات Windows فقط. هنا بعض طرق أخرى يمكن بها عدم اكتشاف البرامج الضارة وإخفائها على جهاز الكمبيوتر الخاص بك.
4. Csrss.exe
يعد النظام الفرعي لوقت تشغيل العميل / الخادم ، أو Csrss.exe ، إحدى عمليات Windows الأساسية. على الرغم من عدم استخدامه على نطاق واسع في إصدارات Windows الحديثة ، إلا أنه لا يزال مطلوبًا من قبل النظام ولا يمكن تعطيله.
نيمدا. من المعروف أن فيروس E يحاكي عملية Csrss.exe ، على الرغم من أن هذا ليس التهديد الوحيد المحتمل. يجب أن يكون الملف الشرعي موجودًا في ملف النظام 32 أو SysWOW64 المجلدات. انقر بزر الماوس الأيمن فوق عملية Csrss.exe في إدارة المهام واختر افتح مكان ملف. إذا كان موجودًا في أي مكان آخر ، فمن المحتمل أن يكون ملفًا ضارًا.
5. Lsass.exe
lsass.exe هي عملية أساسية مسؤولة عن سياسة الأمان على Windows. يتحقق من اسم تسجيل الدخول وكلمة المرور ، من بين إجراءات أمنية أخرى. من غير المحتمل أن يتم اختطاف العملية. إذا لم يكن يعمل بشكل صحيح ، فسيتم عادةً تسجيل خروجك تلقائيًا من جهاز الكمبيوتر الخاص بك. لكن من المعروف أن الفيروسات تستخدم اسم الملف للاختباء.
ابحث عن ملف Lsass.exe بتنسيق ج: \ Windows \ System32. هذا هو المكان الوحيد الذي يجب أن تجده فيه. إذا رأيته في مكان آخر ، مثل ج: \ ويندوز \ نظام أو C: \ ملفات البرنامج، تصرّف بحذر وافحص الملف باستخدام برنامج مكافحة الفيروسات.
6. Services.exe
تعتبر عملية Services.exe مسؤولة عن بدء تشغيل العديد من خدمات Windows الأساسية وإيقافها. مثل عمليات Windows الأخرى في هذه القائمة ، تستهدفها الفيروسات والبرامج الضارة لأنها تسمح لها بالاختباء في مرأى من الجميع.
إذا تم اختراق الملف ، فقد تلاحظ مشاكل أثناء بدء تشغيل جهاز الكمبيوتر وإيقاف تشغيله. ابحث عن ملف Services.exe الحقيقي في ملف النظام 32 مجلد. إذا كان موجودًا في أي مكان آخر ، مثل في C: \ Windows \ ConnectionStatus، يمكن أن يكون الملف فيروسًا.
العمليات المذكورة هنا ضرورية للتشغيل السلس لنظام Windows. ولكن ليس كل شيء ، والعديد منها غير ضروري يمكن حتى إغلاق العمليات للمساعدة في الأداء.
7. Spoolsv.exe
تعد خدمة Windows Print Spooler Service أو Spoolsv.exe جزءًا مهمًا من واجهة الطباعة. يعمل في الخلفية ، في انتظار إدارة أشياء مثل قائمة انتظار الطباعة عند الحاجة. لا تعتمد العملية على توصيل طابعة ، لذلك لا ينبغي أن تفاجأ برؤيتها في إدارة المهام.
ربما بسبب التغاضي عن Spoolsv.exe بسهولة ، يمكن للفيروس أن يأخذ الاسم ليجعل نفسه يبدو شرعيًا. يمكن العثور على ملف spools الحقيقي بتنسيق ج: \ Windows \ System32. غالبًا ما يظهر الملف المزيف بتنسيق ج: \ ويندوز، أو في مجلد ملف تعريف المستخدم.
كيف تتحقق مما إذا كانت العملية مشروعة؟
مدير المهام هو صديقك عند البحث عن نشاط مشبوه. غالبًا ما تتصرف العمليات المصابة بشكل متقطع ، مما يؤدي إلى استهلاك طاقة وذاكرة وحدة المعالجة المركزية أكثر من المعتاد. لكن هذا ليس هو الحال دائمًا ، لذا إليك بعض الطرق الأخرى للتحقق من شرعية العملية.
يجب أن تظهر معظم العمليات الأساسية المدرجة هنا في مجلد System32 فقط. يمكنك بسهولة التحقق من موقع ملف مشبوه في إدارة المهام. انقر بزر الماوس الأيمن فوق العملية وحدد افتح مكان ملف. تحقق من مسار المجلد الذي يفتح للتأكد من أن الملف في المكان الصحيح.
هناك طريقة أخرى لمعرفة ما إذا كان الملف شرعيًا وهي التحقق من الحجم. سيكون حجم معظم ملفات exe. لهذه العمليات الأساسية أقل من 200 كيلوبايت. انقر بزر الماوس الأيمن فوق اسم العملية في إدارة المهام ، وحدد ملكيات وانظر إلى الحجم. إذا بدت كبيرة بشكل غير عادي ، فقم بإلقاء نظرة فاحصة لتحديد ما إذا كانت آمنة.
بامكانك ايضا تحقق من شهادة ملف EXE. سيكون للملف الأصلي شهادة أمان صادرة عن Microsoft. إذا رأيت أي شيء آخر ، فمن المحتمل أن يكون ضارًا.
آخر شيء يجب القيام به هو فحص الملفات المشبوهة باستخدام ماسح ضوئي محدث لمكافحة الفيروسات. عزل وإزالة أي ملفات تم وضع علامة على أنها مصابة. لحسن الحظ ، تأتي الإصدارات الحديثة من Windows مدمجة مع Microsoft Defender ، لذا تعلم كيفية مسح ملف أو مجلد واحد ضوئيًا باستخدام Microsoft Defender للتحقق من أي ملفات مشبوهة تجدها.
عمليات Windows التي قد تخفي فيروسًا
جزء من الحفاظ على جهاز الكمبيوتر الخاص بك الذي يعمل بنظام Windows في مأمن من البرامج الضارة والفيروسات هو معرفة مكان اختبائها. في بعض الأحيان ، يتصرف الملف الضار بشكل غريب ، حيث يستخدم الكثير من وحدة المعالجة المركزية والذاكرة. لكن ليس دائما. لذا فإن اكتشاف ملف مشبوه بطرق أخرى يعد مهارة مفيدة.
