I processi sono una parte inevitabile di Windows e non è insolito vederne dozzine o centinaia in Task Manager. Ogni processo è un programma o parte di un programma in esecuzione. Sfortunatamente, i creatori di malware lo sanno e sono noti per nascondere software dannoso dietro i nomi di processi legittimi.
Ecco alcuni dei processi più comunemente dirottati o duplicati, insieme a dove dovrebbero trovarsi e come individuare una versione dannosa.
1. Svchost.exe
Il Service Host, o svchost.exe, è un processo di servizio condiviso. Consente a vari altri servizi Windows di condividere processi. Questo aiuta a ridurre l'utilizzo delle risorse, rendendo il sistema più efficiente. Quasi sicuramente vedrai più di un'istanza di Svchost.exe in Task Manager, ma questo è normale. Se uno o più di questi file sono compromessi da malware, potresti notare una netta riduzione delle prestazioni.
I file Svchost legittimi dovrebbero essere trovati in C:\Windows\System32. Se sospetti che sia stato dirottato, controlla C:\Windows\Temp. Se vedi svchost.exe qui, potrebbe essere un file dannoso. Scansiona il file con il tuo software antivirus e mettilo in quarantena se necessario.
2. Explorer.exe
Explorer.exe è responsabile della shell grafica. Senza di esso, non avresti la barra delle applicazioni, il menu Start, il file manager o persino il desktop. Pertanto, è una parte essenziale di Windows e non può essere disabilitata.
Diversi virus possono utilizzare il nome del file Explorer.exe per nascondersi dietro, incluso trojan.w32.ZAPCHAST. Il file legittimo sarà in C:\Windows. Se lo trovi dentro Sistema32, dovresti assolutamente verificarlo con il tuo software antivirus.
3. Winlogon.exe
Il processo Winlogon.exe è una parte essenziale del sistema operativo Windows. Gestisce cose come il caricamento del profilo utente durante l'accesso e il blocco del computer quando viene eseguito lo screensaver. Sfortunatamente, poiché gestisce elementi di sicurezza, Windows Logon e il processo winlogon.exe sono bersagli comuni per le minacce.
Diversi virus trojan, incluso Vundo, possono essere nascosti all'interno o camuffati come winlogon.exe. La posizione abituale del file Winlogon.exe è C:\Windows\System32. Se lo trovi dentro C:\Windows\WinSecurity, potrebbe essere dannoso. Una buona indicazione che il processo è stato dirottato è l'uso insolitamente elevato della memoria.
Virus e malware non si nascondono solo dietro i processi di Windows. Eccotene alcune altri modi in cui il malware può passare inosservato e nascondersi sul tuo computer.
4. Csrss.exe
Il sottosistema run-time client/server, o Csrss.exe, è un processo Windows essenziale. Sebbene non sia così ampiamente utilizzato nelle moderne versioni di Windows, è ancora richiesto dal sistema e non può essere disabilitato.
Il Nimda. È noto che il virus E imita il processo Csrss.exe, sebbene questa non sia l'unica potenziale minaccia. Il file legittimo dovrebbe trovarsi nel file Sistema32 O SysWOW64 cartelle. Fare clic con il tasto destro sul processo Csrss.exe in Task Manager e scegliere Aprire la destinazione del file. Se si trova altrove, è probabile che sia un file dannoso.
5. Lsass.exe
lsass.exe è un processo essenziale responsabile della politica di sicurezza su Windows. Verifica il nome di accesso e la password, tra le altre procedure di sicurezza. È improbabile che il processo venga dirottato. Se non funziona correttamente, di solito verrai automaticamente disconnesso dal tuo computer. Ma è noto che i virus usano il nome del file per nascondersi.
Cerca il file Lsass.exe in C:\Windows\System32. Questo è l'unico posto dove dovresti trovarlo. Se lo vedi in un'altra posizione, ad esempio C:\Windows\sistema O C:\Programmi, agisci con sospetto e scansiona il file con il tuo antivirus.
6. Servizi.exe
Il processo Services.exe è responsabile dell'avvio e dell'arresto di vari servizi essenziali di Windows. Come gli altri processi di Windows in questo elenco, virus e malware lo prendono di mira perché consente loro di nascondersi in bella vista.
Se il file viene dirottato, potresti notare problemi durante l'avvio e lo spegnimento del tuo PC. Cerca il vero file Services.exe nel file Sistema32 cartella. Se si trova altrove, ad esempio in C:\Windows\Stato connessione, il file potrebbe essere un virus.
I processi menzionati qui sono essenziali per il buon funzionamento di Windows. Ma non tutti lo sono, e molti non sono essenziali i processi possono anche essere chiusi per aiutare con le prestazioni.
7. Spoolsv.exe
Il servizio spooler di stampa di Windows, o Spoolsv.exe, è una parte importante dell'interfaccia di stampa. Funziona in background, in attesa di gestire cose come la coda di stampa quando richiesto. Il processo non dipende dalla connessione di una stampante, quindi non dovresti essere sorpreso di vederlo in Task Manager.
Forse perché Spoolsv.exe viene facilmente trascurato, un virus può prendere il nome per sembrare legittimo. Il vero file di spool può essere trovato in C:\Windows\System32. Il file falso apparirà spesso in C:\Windowso in una cartella del profilo utente.
Come verificare se un processo è legittimo?
Il Task Manager è tuo amico quando cerchi attività sospette. I processi infetti si comportano spesso in modo irregolare, consumando più potenza della CPU e memoria del solito. Ma non è sempre così, quindi ecco alcuni altri modi per verificare che un processo sia legittimo.
La maggior parte dei processi essenziali elencati qui dovrebbe apparire solo nella cartella System32. Puoi controllare facilmente la posizione di un file sospetto nel Task Manager. Fare clic con il tasto destro sul processo e selezionare Aprire la destinazione del file. Controlla il percorso della cartella che si apre per assicurarti che il file sia nella posizione corretta.
Un altro modo per sapere se un file è legittimo è controllare la dimensione. La maggior parte dei file .exe di questi processi essenziali sarà inferiore a 200kb. Fare clic con il tasto destro del mouse sul nome del processo in Task Manager, selezionare Proprietà e guarda le dimensioni. Se sembra insolitamente grande, dai un'occhiata più da vicino per determinare se è sicuro.
Puoi anche controllare il certificato del file EXE. Un file autentico avrà un certificato di sicurezza emesso da Microsoft. Se vedi qualcos'altro, è probabile che sia dannoso.
L'ultima cosa da fare è scansionare i file sospetti con uno scanner antivirus aggiornato. Metti in quarantena e rimuovi tutti i file contrassegnati come infetti. Fortunatamente, le versioni moderne di Windows sono dotate di Microsoft Defender integrato, quindi impara come scansionare un singolo file o cartella con Microsoft Defender per controllare eventuali file sospetti che trovi.
I processi di Windows che potrebbero nascondere un virus
Parte della protezione del tuo PC Windows da malware e virus è sapere dove si nascondono. A volte un file dannoso si comporta in modo strano, utilizzando troppa CPU e memoria. Ma non sempre. Quindi individuare un file sospetto in altri modi è un'abilità utile.
