Prozesse sind ein unvermeidlicher Bestandteil von Windows, und es ist nicht ungewöhnlich, Dutzende oder Hunderte von ihnen im Task-Manager zu sehen. Jeder Prozess ist ein Programm oder Teil eines laufenden Programms. Leider wissen die Ersteller von Malware dies und sind dafür bekannt, bösartige Software hinter den Namen legitimer Prozesse zu verstecken.
Hier sind einige der am häufigsten entführten oder duplizierten Prozesse, zusammen mit dem Ort, an dem sie sich befinden sollten und wie man eine bösartige Version erkennt.
1. Svchost.exe
Der Diensthost oder svchost.exe ist ein Shared-Service-Prozess. Es ermöglicht verschiedenen anderen Windows-Diensten, Prozesse gemeinsam zu nutzen. Dies trägt dazu bei, den Ressourcenverbrauch zu reduzieren, wodurch das System effizienter wird. Sie werden mit ziemlicher Sicherheit mehr als eine Instanz von Svchost.exe im Task-Manager sehen, aber das ist normal. Wenn eine oder mehrere dieser Dateien durch Malware kompromittiert sind, können Sie eine deutliche Leistungsminderung feststellen.
Die legitimen Svchost-Dateien sollten in gefunden werden C:\Windows\System32. Wenn Sie vermuten, dass es entführt wurde, überprüfen Sie es C:\Windows\Temp. Wenn Sie hier svchost.exe sehen, könnte es sich um eine bösartige Datei handeln. Scannen Sie die Datei mit Ihrer Antivirensoftware und isolieren Sie sie gegebenenfalls.
2. Explorer.exe
Explorer.exe ist für die grafische Shell zuständig. Ohne sie hätten Sie keine Taskleiste, kein Startmenü, keinen Dateimanager oder sogar den Desktop. Daher ist es ein wesentlicher Bestandteil von Windows und kann nicht deaktiviert werden.
Mehrere Viren können sich hinter dem Dateinamen Explorer.exe verstecken, darunter trojan.w32.ZAPCHAST. Die legitime Datei wird darin sein C:\Windows. Wenn du es drin findest System32, sollten Sie dies unbedingt mit Ihrer Antivirensoftware überprüfen.
3. Winlogon.exe
Der Prozess Winlogon.exe ist ein wesentlicher Bestandteil des Windows-Betriebssystems. Es behandelt Dinge wie das Laden des Benutzerprofils während der Anmeldung und das Sperren des Computers, wenn der Bildschirmschoner läuft. Leider sind die Windows-Anmeldung und der Prozess winlogon.exe aufgrund der Verarbeitung von Sicherheitselementen häufige Ziele für Bedrohungen.
Mehrere Trojaner, einschließlich Vundo, können in winlogon.exe versteckt oder als solche getarnt sein. Der übliche Speicherort der Datei Winlogon.exe ist C:\Windows\System32. Wenn du es drin findest C:\Windows\WinSecurity, es könnte bösartig sein. Ein guter Hinweis darauf, dass der Prozess gekapert wurde, ist eine ungewöhnlich hohe Speicherauslastung.
Viren und Malware verstecken sich nicht nur hinter Windows-Prozessen. Hier sind einige auf andere Weise kann Malware unentdeckt bleiben und sich auf Ihrem Computer verstecken.
4. Csrss.exe
Das Client/Server Run-Time Subsystem oder Csrss.exe ist ein wesentlicher Windows-Prozess. Obwohl es in modernen Windows-Versionen nicht so weit verbreitet ist, wird es dennoch vom System benötigt und kann nicht deaktiviert werden.
Die Nimda. Es ist bekannt, dass der E-Virus den Csrss.exe-Prozess nachahmt, obwohl dies nicht die einzige potenzielle Bedrohung ist. Die legitime Datei sollte sich im befinden System32 oder SysWOW64 Ordner. Klicken Sie im Task-Manager mit der rechten Maustaste auf den Prozess Csrss.exe und wählen Sie Dateispeicherort öffnen. Wenn es sich woanders befindet, handelt es sich wahrscheinlich um eine bösartige Datei.
5. Lsass.exe
lsass.exe ist ein wesentlicher Prozess, der für die Sicherheitsrichtlinie unter Windows verantwortlich ist. Es überprüft neben anderen Sicherheitsverfahren den Anmeldenamen und das Passwort. Es ist unwahrscheinlich, dass der Prozess entführt wird. Wenn es nicht richtig läuft, werden Sie normalerweise automatisch von Ihrem Computer abgemeldet. Es ist jedoch bekannt, dass Viren den Dateinamen zum Verstecken verwenden.
Suchen Sie nach der Lsass.exe-Datei in C:\Windows\System32. Dies ist der einzige Ort, an dem Sie es finden sollten. Wenn Sie es an einem anderen Ort sehen, z C:\Windows\system oder C:\Programme, handeln Sie misstrauisch und scannen Sie die Datei mit Ihrem Antivirenprogramm.
6. Dienste.exe
Der Prozess Services.exe ist für das Starten und Stoppen verschiedener wichtiger Windows-Dienste verantwortlich. Wie die anderen Windows-Prozesse in dieser Liste zielen Viren und Malware darauf ab, weil es ihnen ermöglicht, sich vor aller Augen zu verstecken.
Wenn die Datei entführt wird, können Sie Probleme beim Starten und Herunterfahren Ihres PCs feststellen. Suchen Sie nach der echten Services.exe-Datei in der System32 Ordner. Wenn es sich woanders befindet, wie z C:\Windows\Verbindungsstatus, könnte die Datei ein Virus sein.
Die hier genannten Prozesse sind für den reibungslosen Betrieb von Windows unerlässlich. Aber nicht alle sind, und viele nicht wesentlich Prozesse können sogar geschlossen werden, um die Leistung zu verbessern.
7. Spoolsv.exe
Der Windows Print Spooler Service oder Spoolsv.exe ist ein wichtiger Bestandteil der Druckschnittstelle. Es läuft im Hintergrund und wartet darauf, Dinge wie die Druckwarteschlange bei Bedarf zu verwalten. Der Prozess ist nicht davon abhängig, dass ein Drucker angeschlossen ist, daher sollten Sie nicht überrascht sein, ihn im Task-Manager zu sehen.
Vielleicht, weil Spoolsv.exe leicht übersehen wird, kann ein Virus den Namen annehmen, um sich legitim erscheinen zu lassen. Die wahre Spools-Datei finden Sie in C:\Windows\System32. Die gefälschte Datei erscheint oft in C:\Windows, oder in einem Benutzerprofilordner.
Wie überprüfen Sie, ob ein Prozess legitim ist?
Der Task-Manager ist Ihr Freund bei der Suche nach verdächtigen Aktivitäten. Infizierte Prozesse verhalten sich oft unregelmäßig und verbrauchen mehr CPU-Leistung und Arbeitsspeicher als üblich. Aber das ist nicht immer der Fall, also sind hier einige andere Möglichkeiten, um zu überprüfen, ob ein Prozess legitim ist.
Die meisten der hier aufgeführten wesentlichen Prozesse sollten nur im System32-Ordner erscheinen. Sie können den Speicherort einer verdächtigen Datei ganz einfach im Task-Manager überprüfen. Klicken Sie mit der rechten Maustaste auf den Prozess und wählen Sie ihn aus Dateispeicherort öffnen. Überprüfen Sie den Pfad des sich öffnenden Ordners, um sicherzustellen, dass sich die Datei am richtigen Ort befindet.
Eine andere Möglichkeit festzustellen, ob eine Datei legitim ist, besteht darin, die Größe zu überprüfen. Die meisten .exe-Dateien dieser wichtigen Prozesse werden weniger als 200 KB groß sein. Rechtsklick auf den Prozessnamen im Task-Manager, auswählen Eigenschaften und schau dir die Größe an. Wenn es ungewöhnlich groß erscheint, schauen Sie genauer hin, um festzustellen, ob es sicher ist.
Du kannst auch Überprüfen Sie das Zertifikat der EXE-Datei. Eine authentische Datei verfügt über ein von Microsoft ausgestelltes Sicherheitszertifikat. Wenn Sie etwas anderes sehen, ist es wahrscheinlich bösartig.
Als letztes müssen Sie verdächtige Dateien mit einem aktuellen Antivirenscanner scannen. Isolieren und entfernen Sie alle Dateien, die als infiziert gekennzeichnet sind. Glücklicherweise verfügen moderne Versionen von Windows über einen integrierten Microsoft Defender, also lernen Sie es kennen So scannen Sie eine einzelne Datei oder einen einzelnen Ordner mit Microsoft Defender um alle verdächtigen Dateien zu überprüfen, die Sie finden.
Die Windows-Prozesse, die möglicherweise einen Virus verbergen
Ein Teil des Schutzes Ihres Windows-PCs vor Malware und Viren besteht darin, zu wissen, wo sie sich verstecken. Manchmal verhält sich eine bösartige Datei seltsam und verbraucht zu viel CPU und Arbeitsspeicher. Aber nicht immer. Es ist also eine nützliche Fähigkeit, eine verdächtige Datei auf andere Weise zu erkennen.