Добрый день.
Большинство вирусов в ОС Windows стараются скрыть свое присутствие от глаз пользователя. Причем, что интересно, иногда вирусы очень хорошо маскируются под системные процессы Windows да так, что даже опытному пользователю с первого взгляда не найти подозрительный процесс.
Кстати, большинство вирусов можно найти в диспетчере задач Windows (во вкладке процессы), а затем посмотреть их месторасположение на жестком диске и удалить. Только вот какие из всего многообразия процессов (а их там иногда несколько десятков) — нормальные, а какие считать подозрительными?
В этой статье расскажу, как я нахожу подозрительные процессы в диспетчере задач, а так же, как потом удаляю вирусную программу с ПК.
1. Как войти в диспетчер задач
Нужно нажать сочетание кнопок CTRL + ALT + DEL или CTRL + SHIFT + ESC (работает в Windows XP, 7, 8, 10).
В диспетчере задач можно просмотреть все программы, которые в данный момент запущены компьютером (вкладки приложения и процессы). Во вкладке процессы можно увидеть все программы и системные процессы, которые работают в данный момент на компьютере. Если какой-то процесс сильно грузит центральный процессор (далее ЦП) — то его можно завершить.
Диспетчер задач Windows 7.
2. AVZ — поиск подозрительных процессов
В большей кучи запущенных процессов в диспетчере задач не всегда просто разобраться и определить где нужные системные процессы, а где «работает» вирус, маскирующийся под один из системных процессов (например, очень много вирусов маскируется, называя себя svhost.exe (а ведь это системный процесс, необходимый для работы Windows)).
На мой взгляд, очень удобно искать подозрительные процессы с помощью одной антивирусной программы — AVZ (вообще, это целый комплекс утилит и настроек для обеспечения безопасности ПК).
AVZ
Сайт программы (там же и ссылки на скачивание): http://z-oleg.com/secur/avz/download.php
Для начала работ, просто извлеките содержимое архива (который скачаете по ссылке выше) и запустите программу.
В меню сервис есть две важных ссылки: диспетчер процессов и менеджер автозапуска.
AVZ — меню сервис.
Рекомендую сначала зайти в менеджер автозапуска и посмотреть, какие же программы и процессы грузятся при старте Windows. Кстати, на скриншоте ниже вы можете заметить, что некоторые программы помечены зеленым цветом (это проверенные и безопасные процессы, внимание уделите тем процессам, которые черного цвета: нет ли среди них чего-нибудь, что вы не устанавливали?).
AVZ — менеджер автозапуска.
В диспетчере процессов картина будет похожей: тут отображаются процессы, которые работают в данный момент на вашем ПК. Особое внимание уделите процессам черного цвета (это те процессы, за которые поручиться AVZ не может).
AVZ — Диспетчер процессов.
Например, на скриншоте ниже показан один подозрительный процесс — он вроде системный, только о нем AVZ ничего не знает… Наверняка, если не вирус — то какая-нибудь рекламная программа, открывающая какие-нибудь вкладки в браузере или показывая баннеры.
Вообще, лучше всего при нахождении подобного процесса: открыть его место хранения (щелкнуть правой кнопкой мышки по нему и выбрать в меню «Открыть место хранение файла»), а затем завершить этот процесс. После завершения — удалить все подозрительное из места хранения файла.
После подобной процедуры проверить компьютер на вирусы и adware (об этом ниже).
Диспетчер задач Windows — открыть место расположение файла.
3. Сканирование компьютера на вирусы, Adware, трояны и пр.
Чтобы просканировать компьютер на вирусы в программе AVZ (а сканирует она достаточно хорошо и рекомендуется в качестве дополнения к вашему основному антивирусу) — можно не задавать никаких особенных настроек…
Достаточно будет отметить диски, которые будут подвергнуты сканированию и нажать кнопку «Пуск».
Антивирусная утилита AVZ — санирование ПК на вирусы.
Сканирование достаточно быстрое: на проверку диска в 50 ГБ — на моем ноутбуке потребовалось минут 10 (не более).
После полной проверки компьютера на вирусы, я рекомендую проверить компьютер еще такими утилитами, как: Чистилка, ADW Cleaner или Mailwarebytes.
Чистилка — ссылка на оф. сайт: https://chistilka.com/
ADW Cleaner — ссылка на оф. сайт: https://toolslib.net/downloads/viewdownload/1-adwcleaner/
Mailwarebytes — ссылка на оф. сайт: http://www.malwarebytes.org/
AdwCleaner — сканирование ПК.
4. Исправление критических уязвимостей
Оказывается, не все настройки Windows по умолчанию безопасны. Например, если у вас разрешен автозапуск с сетевых дисков или сменных носителей — при подключении оных к вашему компьютеру — они могут его заразить вирусами! Чтобы этого не было — нужно отключить автозапуск. Да, конечно, с одной стороны неудобно: диск теперь не будет авто-проигрываться, после его вставки в CD-ROM, зато ваши файлы будут в безопасности!
Для изменения таких настроек, в AVZ нужно перейти в раздел файл, а затем запустить мастер поиска и устранения проблем. Далее просто выбираете категорию проблем (например, системные), степень опасности и затем сканируете ПК. Кстати, здесь же можно и очистить систему от мусорных файлов и подчистить историю посещения различных сайтов.
AVZ — поиск и устранение уязвимостей.
PS
Кстати, если вы не видите часть процессов в диспетчере задач (ну или что-то грузит процессор, но среди процессов нет ничего подозрительного) — то рекомендую воспользоваться утилитой Process Explorer (https://technet.microsoft.com/ru-ru/bb896653.aspx).
На этом все, удачи!
- Распечатать
Оцените статью:
- 5
- 4
- 3
- 2
- 1
(33 голоса, среднее: 4.1 из 5)
Поделитесь с друзьями!
Когда в системе что-то не так или просто хочется проконтролировать эффективность установленного на компьютере антивируса, мы обычно нажимаем три заветные клавиши Ctrl, Alt, Del и запускаем Диспетчер задач, надеясь обнаружить вирус в списке процессов. Но в нем мы видим лишь большое количество работающих на компьютере программ, каждая из которых представлена своим процессом. И где же тут скрывается вирус? Ответить на этот вопрос вам поможет наша сегодняшняя статья
Для того чтобы определить, есть вирус в процессах или его там нет, нужно очень внимательно вглядеться в список процессов. В операционной системе Windows Vista в обязательном порядке нажмите кнопочку «Отображать процессы всех пользователей», иначе вы толком ничего и не увидите. Прежде всего, обратите внимание на описание процесса в столбике «Описание». Если описания нет или оно какое-то «корявенькое», это должно вас насторожить. Ведь разработчики программ имеют привычку подписывать свои творения на понятном русском или английском языках.
Отметив взглядом процессы с подозрительным описанием, обращаем взор на следующий столбик – «Пользователь». Вирусы обычно запускаются от имени пользователя, реже в виде служб и от имени системы — SYSTEM, LOCAL SERVICE или NETWORK SERVICE.
Итак, найдя процесс с подозрительным описанием, запускаемый от имени пользователя или непонятно от чьего имени, щелкните нему правой кнопкой мышки и в появившемся контекстном меню выберите пункт «Свойства». Откроется окошко со свойствами программы, которая запустила данный процесс. Особое внимание обратите на вкладку «Подробно», где указана информация о разработчике, версии файла и его описание, а также на пункт «Размещение» вкладки «Общие» — здесь указан путь к запущенной программе.
Если путь «Размещение» ведет в каталог Temp, Temporary Internet Files или еще в какое-либо подозрительное место (например, в папку некой программы каталога Program Files, но вы уверены, что такую программу вы не устанавливали), то, ВОЗМОЖНО, данный процесс принадлежит вирусу. Но все это лишь наши догадки, за подробной информацией, конечно же, лучше обратиться к интернету. Неплохие списки процессов есть на сайтах what-process.com http://www.tasklist.org и http://www.processlist.com. Если после всех поисков ваши опасения на счет подозрительного процесса подтвердятся, можете радоваться – на вашем компьютере поселился вирус, троян или другой зловред, которого нужно срочно ликвидировать.
Но окошко со свойствами запустившего процесс файла из Диспетчера задач может и не открыться. Поэтому помимо стандартных средств Windows нужно пользоваться различными полезными утилитами, способными выдать максимум информации о подозрительном процессе. Одну из таких программ – Starter – мы уже рассматривали (http://www.yachaynik.ru/content/view/88/).
В Starter на вкладкее«Процессы» представлена исчерпывающая информация о выделенном процессе: описание программы и имя файла, который запустил процесс, информация о разработчике, список модулей (программных компонентов), задействованных процессом.
Таким образом, нет нужды копаться в свойствах файла, запустившего процесс – всё и так, как на ладони. Тем не менее, это не мешает щелкнуть по подозрительному процессу правой кнопкой мышки и выбрать «Свойства», чтобы получить доскональные сведения о файле процесса в отдельном окошке.
Чтобы попасть в папку программы, который принадлежит процесс, щелкните по названию процесса правой кнопкой мыши и выберите «Проводник в папку процесса».
Но самая удобная опция в Starter – возможность начать поиск информации о процессе прямо из окна программы. Для этого щелкните правой кнопкой мышки по процессу и выберите «Искать в Интернет».
После того, как вы получите полную информацию о файле, запустившем процесс, его разработчике, назначении и мнение о процессе в сети интернет, сможете достаточно точно определить – вирус перед вами или мирная программа-трудяга. Здесь действует тот же принцип, что и в Диспетчере задач. Подозрительны те процессы и модули процессов, для которых не указан разработчик, в описании которых ничего нет либо написано что-то невнятное, процесс или задействованные им модули запускаются из подозрительной папки. Например, Temp, Temporary Internet Files или из папки в Program Files, но вы точно помните, что указанную там программу вы не устанавливали. И, наконец, если в интернете четко сказано, что данный процесс принадлежит вирусу, радуйтесь – зловреду не удалось спрятаться от вас!
Одно из самых распространенных заблуждений начинающих чайников касается процесса svchost.exe. Пишется он именно так и никак иначе: svshost.exe, scvhost.exe, cvshost.exe и другие вариации на эту тему – вирусы, маскирующиеся под хороший процесс, который, кстати, принадлежит службам Windows. Точнее, один процесс svchost.exe может запускать сразу несколько системных служб. Поскольку служб у операционной системы много и все они нужны ей, процессов svchost.exe тоже много.
В Windows XP процессов svchost.exe должно быть не более шести. Пять процессов svchost.exe – нормально, а вот уже семь – стопроцентная гарантия, что на вашем компьютере поселился зловред. В Windows Vista процессов svchost.exe больше шести. У меня, к примеру, их четырнадцать. Но и системных служб в Windows Vista намного больше, чем в предыдущей версии этой ОС.
Узнать, какие именно службы запускаются процессом svchost.exe, вам поможет другая полезная утилита – Process Explorer. Скачать последнюю версию Process Explorer вы можете с официального сайта Microsoft: technet.microsoft.com
Process Explorer выдаст вам описание процесса, запустившую его программу, наименование разработчика и множество полезной технической информации, понятной разве что программистам.
Наведите мышку на имя интересующего вас процесса, и вы увидите путь к файлу, запустившему данный процесс.
А для svchost.exe Process Explorer покажет полный перечень служб, относящихся к выделенному процессу. Один процесс svchost.exe может запускать несколько служб или всего одну.
Чтобы увидеть свойства файла, запустившего процесс, щелкните по интересующему вас процессу правой кнопкой мышки и выберите «Properties» («Свойства»).
Для поиска информации о процессе в интернете при помощи поисковой системы Google, просто щелкните по названию процесса правой кнопкой мыши и выберите «Google».
Как и ранее, подозрения должны вызвать процессы без описания, без наименования разработчика, запускающиеся из временных папок (Temp, Temporary Internet Files) или из папки программы, которую вы не устанавливали, а также идентифицируемые в интернете как вирусы.
И помните, для качественно работы программ Process Explorer и Starter в Windows Vista, их нужно запускать с административными правами: щелкните по исполняемому файлу программы правой кнопкой мышки и выберите «Запуск от имени администратора».
Однако хочется вас разочаровать, только очень глупые вирусы выдают себя в списке процессов. Современные вирусописатели уже давно научились прятать свои творения не только от глаз пользователей, но и от антивирусных программ. Поэтому спасти вас в случае заражения качественно написанной вредоносной программой может лишь хороший антивирус со свежими базами (да и то не факт!), наличие резервной копии со всей вашей информацией и диск с дистрибутивом Windows для переустановки системы. Тем не менее, периодически заглядывать в список процессов все же стоит – мало ли какой scvhost или mouse.exe там притаился.
Главная » Проблемы » Подозрительные процессы в диспетчере задач и что с ними делать?
Сегодня хочу поведать вам неизвестных процессах в Windows, которые могут вызвать подозрения у любого пользователя. Если процесс производит какое-то действие, например, загружает процессор до 100 процентов, то даже неопытный пользователь поймет, что от него нужно избавиться. Но бывает и такое, что процесс просто висит в системе и вроде бы ничего не делает. Возможно это вирус. Чаще всего они скрывается под видом системных процессов. Конечно, можно проверить их, зайдя в диспетчере задач, и определить их местонахождение. Если это вирус, то удалить.
В данном руководстве я постараюсь объяснить, как найти подозрительный процесс, а также добиться того, чтобы он больше не запускался.
Это интересно: Что делать, если пропал диспетчер задач?
Где смотреть процессы?
Для начала нужно зайти в диспетчер задач. Нажмите сочетание клавиш Esc+Shift+Ctrl и перейдите на вкладочку «Процессы». Здесь находятся все приложения и системные процессы, которые нужны для нормального функционирования Windows. При нахождении процесса, который сильно нагружает процессор, либо жесткий диск, вы его можете завершить. При завершении системного процесса может возникнуть проблема и компьютер перезагрузится, поэтому будьте осторожны.
Как определить вирус в диспетчере задач?
Это интересно: Лечащая утилита AVZ для быстрого удаления вирусов [Часть 2]
Часто вирусы могут маскироваться под системные процессы, одним из них является svhost.exe. На глаз вы не определите, что это вредонос. Понадобится утилита. Существует множество программ для поиска вирусов на ПК. В данной статье я представлю AVZ.
Это интересно: Процесс svchost.exe является вирусом, как это выявить?
Скачать эту антивирусную утилиту нужно по этой ссылке: http://z-oleg.com/secur/avz/download.php
Вам необходимо распаковать архив в любую пустую папку и запустить утилиту. Дальше идем на вкладку «Сервис». Там есть два пункта, которые нам понадобятся: «Диспетчер процессов» и «Менеджер запуска».
Для начала запустим «Менеджер запуска» и посмотрим, какие утилиты и программы у нас грузятся вместе с системой. Стоит заметить, что AVZ выделяет безопасные процессы зеленым цветом. Если цвет отличается, допустим, черный, то стоит задуматься, а не вирус ли это. Все ненужное вы можете отключить.
Далее зайдем в «Диспетчер процессов». Здесь похожая картина, но показываются процессы, работающие в данный момент времени. Как и в первом случае, процессы, выделенные черным цветом, вызывают подозрения, поэтому уделите им особое внимание.
Конечно, находящееся в процессах не обязательно может быть вирусом, это может быть и рекламная утилита, которая будет сильно надоедать.
- Удаление вирусов с помощью Dr Web Cureit [Часть 1]
- Удаляем вирусы с помощью Kaspersky Virus Removal Tool [Часть 3]
Обычно системные процессы находятся на системном диске. Если этот путь отличается, то процесс можно смело завершить. Чтобы проверить местонахождение нажмите по процессу правой кнопкой мыши, и выберите пункт «Открыть расположение файла». Чтобы завершить процесс, нужно также открыть меню и выбрать там «Снять задачу» или «Завершить процесс».
Ищем вирусы с помощью AVZ
В AVZ перейдите на вкладку «Область поиска» и выделите галочками диски, которые будете сканировать. В методике лечения отметьте все так, как на скриншоте. Отмечаем галочку эвристическое удаление файлов, а еще галочки слева. Теперь нажимаем кнопку «Пуск».
При положительных результатах, то есть утилита ничего не обнаружила, то попробуйте использовать другие утилиты, например, Mailwarebytes.
Исправление небезопасных настроек Windows
Это интересно: Защита компьютера от вирусов с флешек и прочих носителей
Используя AVZ, можно исправить некоторые настройки, которые в Windows стоят стандартно. К ним относится автозапуск с внешних носителей. Представьте, вы вставляете флешку, происходит автозапуск, и ваша система уже заражена вирусом.
Чтобы отключить автозапуск нажмите «Файл», а потом «Мастер поиска и устранения проблем». В выпадающем меню «Категория проблемы» выбираем, скажем, «Системные процессы». Степень опасности – средней тяжести. Отмечаем галочки нужные пункты и жмем кнопку «Исправить отмеченные проблемы».
Напоследок хочу сказать, что диспетчер задач не всегда показывает все процессы. Поэтому вы можете использовать для этого дела утилиту Process Explorer.
( 1 оценка, среднее 5 из 5 )
Как правило, большинство троянских и шпионских программ стараются скрыть своё присутствие на компьютере для чего прибегают к различного рода хитростям, например, тщательно прячут свои процессы либо маскируются под процессы системные. Потенциальной «жертвой» вируса может стать любой системный процесс, но чаще всего вредоносные программы прикрываются маской процесса svchost.
И на это у них есть свои причины. Дело в том, что svchost запускается в нескольких экземплярах внешне практически ничем неотличимых друг от друга, так что если в Диспетчере задач появится ещё один процесс svchost, а их число может достигать нескольких десятков, особого подозрения со стороны пользователя это не вызовет. Но если они одинаковы, как определить, какой из них является настоящим, а какой волком в овечьей шкуре?
Оказывается, что не так уже и сложно, но перед тем как приступать к их идентификации, позвольте пару слов о самом процессе svchost. Как видно из его полного названия Generic Host Process for Win32 Services, отвечает он за работу служб и сервисов, причём как системных, так и сторонних, использующих динамические библиотеки DLL, которые в свою очередь составляют немалую часть файлов Windows и прикладных программ.
Этот процесс настолько важен, что если файл svchost.exe будет повреждён, Windows не сможет нормально работать. В работающей системе присутствует как минимум четыре экземпляра процесса svchost, но их может быть и значительно больше. Необходимость такого дублирования объясняется количеством обслуживаемых процессом служб и сервисов, а также необходимостью обеспечения стабильности системы.
Итак, как же узнать, является ли svchost настоящим? Первым критерием подлинности файла svchost.exe является его месторасположение. Его законным местом обитания являются следующие папки:
• C:/WINDOWS/system32
• C:/Windows/SysWOW64
• C:/WINDOWSPrefetch
• C:WINDOWS/ServicePackFiles/i386
• С:/WINDOWS/winsxs/*
Примечание: звёздочка в конце пути С:/WINDOWS/winsxs обозначает, что в папке winsxs может быть ещё один каталог. Как правило, он имеет длинное название из набора символов, например, amd64_3ware.inf.resources_31bf3856ad364e35_6.3.9600.16384_ru-ru_7f622cb60fd30b1c. В виде исключения из правил файл svchost.exe может располагаться в каталоге антишпионской программы Malwarebytes Anti-Malware.
Если же он обнаружится в какой-нибудь другой папке, особенно в корневой Windows или в «Пользователи», то скорее всего вы имеете дело с маскирующимся вирусом. Проверить расположение файла svchost.exe можно из Диспетчера задач, кликнув по процессу правой кнопкой мыши и выбрав в меню опцию «Открыть расположение файла» либо с помощью сторонних утилит вроде Process Explorer. Используя сторонние файловые менеджеры, также можно выполнить поиск всех файлов svchost.exe по маске.
Последний способ не столь надёжен, так как подделывающийся под процесс svchost вирус может использовать более хитрый способ маскировки. Так, в имени файла одна из латинских букв может быть заменена кириллической. Внешне такой файл ничем не будет отличаться от настоящего, более того, он может располагаться в том же каталоге, что и «правильный» svchost.exe. Впрочем, проверить его подлинность не составляет особого труда. Достаточно сравнить коды символов имени файла воспользовавшись таблицей символов Юникода. Иногда в название файла svchost добавляется лишняя буква, либо наоборот, пропускается. Невнимательный пользователь может и не заметить разницу между, скажем, svchost.exe и svhost.exe.
Тем не менее, спешить удалять подозрительный svchost сходу не стоит. Для начала неплохо было бы проверить его на мульти антивирусном сервисе вроде VirusTotal и, если подозрительный файл окажется подделкой, хотя одна из антивирусных программ выдаст положительный результат. Вредоносный файл, маскирующийся под svchost удаляем с помощью Dr.Web LiveDisk либо утилиты AVZ. Если будете использовать AVZ, вам также понадобиться специальный скрипт, скачать который можно по ссылке ниже.
Алгоритм удаления вируса в AVZ следующий: запускаем утилиты, в меню Файл выбираем опцию «Выполнить скрипт» после чего вставляем код скрипта из прилагаемого файла и нажимаем кнопку «Запустить». При этом будет выполнена перезагрузка компьютера.
После старта проверяем, был ли удалён вирус и проводим полную проверку системного раздела антивирусным сканером.
Скрипт для AVZ: yadi.sk/i/aMnvkKS0m7kp6
Загрузка…
Инструкции
Время чтения 2 мин.Просмотры 178Опубликовано 07.02.2023
Process Hacker, в отличие от аналогов, не умеет определять уровень безопасности запущенных приложений, процессов и служб автоматически, зато предоставляет все средства для их обнаружения человеком. Разберёмся, как с помощью программы найти майнер и удалить его.
Позволяющий найти вирус алгоритм прост: найдём прожорливый процесс, убедимся, что это майнер, завершим его работу и удалим с компьютера.
При подозрении на наличие майнера запустите Процесс Хакер, отсортируйте активные задачи по нагрузке на центральный процессор – кликните по названию столбика «CPU».
Значение 100% или близкое к нему – первый признак майнера, эти модули полностью нагружают вычислительные мощности компьютера. Второй – псевдосистемное название – написано с лишней или заменённой буквой, чтобы походить на системное.
Также майнер может задействовать вычислительные мощности видеокарты. Если процессор работает в штатном режиме, найдите подозрительный процесс, два раза кликните по нему и посмотрите использование графического ускорителя во вкладке «GPU».
Предварительно рекомендуем отправить подозрительный объект на Virustotal.
Перейдите в папку с файлом двойным кликом или выделите процесс и зажмите Ctrl + Enter.
Вернитесь обратно в Process Hacker, выделите процесс и снимите его клавишей Delete или через правый клик.
Если ниже по дереву есть еще приложения, выберите «Terminate tree».
Подтвердите действие.
Переключитесь на Проводник и удалите файл с названием, как у завершенного процесса.
Теперь удалить файл получится классическим образом.
Если нет – он окажется недоступным, вам стоит воспользоваться Unlocker, LockHunter или аналогичной программой для удаления заблокированных файлов.