İşlemler, Windows'un kaçınılmaz bir parçasıdır ve Görev Yöneticisi'nde düzinelerce veya yüzlercesini görmek alışılmadık bir durum değildir. Her işlem, çalışan bir program veya programın bir parçasıdır. Ne yazık ki, kötü amaçlı yazılım oluşturucuları bunu biliyor ve kötü amaçlı yazılımları meşru işlemlerin adlarının arkasına gizledikleri biliniyor.
Burada, en yaygın olarak ele geçirilen veya kopyalanan işlemlerden bazıları, bunların nerede bulunmaları gerektiği ve kötü amaçlı bir sürümün nasıl tespit edileceği açıklanmaktadır.
1. Svchost.exe
Hizmet Ana Bilgisayarı veya svchost.exe, paylaşılan bir hizmet işlemidir. Diğer çeşitli Windows hizmetlerinin işlemleri paylaşmasına izin verir. Bu, kaynak kullanımını azaltmaya yardımcı olarak sistemi daha verimli hale getirir. Görev Yöneticisi'nde neredeyse kesinlikle birden fazla Svchost.exe örneği göreceksiniz, ancak bu normaldir. Bu dosyalardan biri veya daha fazlası kötü amaçlı yazılım tarafından ele geçirilirse, performansta belirgin bir düşüş fark edebilirsiniz.
Meşru Svchost dosyaları şu adreste bulunmalıdır: C:\Windows\Sistem32. Ele geçirildiğinden şüpheleniyorsanız kontrol edin C:\Windows\Sıcaklık. Burada svchost.exe görürseniz, kötü amaçlı bir dosya olabilir. Dosyayı virüsten koruma yazılımınızla tarayın ve gerekirse karantinaya alın.
2. Explorer.exe
Explorer.exe, grafik kabuktan sorumludur. Onsuz, Görev Çubuğunuz, Başlat Menünüz, Dosya Yöneticiniz ve hatta Masaüstünüz olmazdı. Bu nedenle, Windows'un önemli bir parçasıdır ve devre dışı bırakılamaz.
Trojan.w32.ZAPCHAST dahil olmak üzere birkaç virüs arkasına saklanmak için Explorer.exe dosya adını kullanabilir. Meşru dosya içinde olacak C:\Windows. içinde bulursan Sistem32, antivirüs yazılımınız ile mutlaka kontrol etmelisiniz.
3. winlogon.exe
Winlogon.exe işlemi, Windows işletim sisteminin önemli bir parçasıdır. Oturum açma sırasında kullanıcı profilini yüklemek ve ekran koruyucu çalışırken bilgisayarı kilitlemek gibi şeyleri yönetir. Ne yazık ki, güvenlik öğelerini işlediğinden, Windows Oturum Açma ve winlogon.exe işlemi tehditler için ortak hedeflerdir.
Vundo da dahil olmak üzere birçok Trojan virüsü winlogon.exe içinde gizlenebilir veya bu şekilde gizlenebilir. Winlogon.exe dosyasının olağan konumu C:\Windows\Sistem32. içinde bulursan C:\Windows\WinSecurity, kötü niyetli olabilir. İşlemin kaçırıldığına dair iyi bir gösterge, alışılmadık derecede yüksek bellek kullanımıdır.
Virüsler ve kötü amaçlı yazılımlar yalnızca Windows işlemlerinin arkasına saklanmazlar. İşte bazıları kötü amaçlı yazılımın fark edilmeden bilgisayarınızda saklanabilmesinin diğer yolları.
4. Csrss.exe
İstemci/Sunucu Çalışma Zamanı Alt Sistemi veya Csrss.exe, önemli bir Windows işlemidir. Modern Windows sürümlerinde yaygın olarak kullanılmasa da sistem tarafından hala gereklidir ve devre dışı bırakılamaz.
Nimda. E virüsünün Csrss.exe işlemini taklit ettiği bilinmektedir, ancak tek olası tehdit bu değildir. Yasal dosya şu konumda bulunmalıdır: Sistem32 veya SysWOW64 klasörler. Görev Yöneticisi'nde Csrss.exe işlemine sağ tıklayın ve seçin Dosya konumunu aç. Başka bir yerde bulunuyorsa, kötü amaçlı bir dosya olması muhtemeldir.
5. Lsass.exe
lsass.exe, Windows'taki güvenlik politikasından sorumlu önemli bir işlemdir. Diğer güvenlik prosedürlerinin yanı sıra oturum açma adını ve parolayı doğrular. Sürecin kaçırılması olası değildir. Düzgün çalışmıyorsa, genellikle bilgisayarınızdan otomatik olarak çıkış yapılır. Ancak virüslerin dosya adını gizlemek için kullandıkları bilinmektedir.
İçinde Lsass.exe dosyasını arayın. C:\Windows\Sistem32. Onu bulman gereken tek yer burası. gibi başka bir yerde görürseniz, C:\Windows\sistem veya C:\Program Dosyaları, şüpheyle hareket edin ve dosyayı antivirüsünüzle tarayın.
6. Hizmetler.exe
Services.exe işlemi, çeşitli temel Windows hizmetlerinin başlatılmasından ve durdurulmasından sorumludur. Bu listedeki diğer Windows işlemleri gibi, virüsler ve kötü amaçlı yazılımlar da onu hedefler çünkü bu onların göz önünde saklanmalarına olanak tanır.
Dosya ele geçirilirse, bilgisayarınızın başlatılması ve kapatılması sırasında sorunlarla karşılaşabilirsiniz. Gerçek Services.exe dosyasını arayın. Sistem32 dosya. gibi başka bir yerde bulunuyorsa, C:\Windows\ConnectionStatus, dosya bir virüs olabilir.
Burada belirtilen işlemler, Windows'un sorunsuz çalışması için gereklidir. Ama hepsi öyle değil ve çoğu gerekli değil performansa yardımcı olmak için süreçler bile kapatılabilir.
7. Spoolsv.exe
Windows Yazdırma Biriktiricisi Hizmeti veya Spoolsv.exe, yazdırma arabiriminin önemli bir parçasıdır. Gerektiğinde yazdırma kuyruğu gibi şeyleri yönetmek için bekleyerek arka planda çalışır. İşlem, bir yazıcının bağlı olmasına bağlı değildir, bu nedenle bunu Görev Yöneticisi'nde gördüğünüzde şaşırmamalısınız.
Belki de Spoolsv.exe kolayca göz ardı edildiğinden, bir virüs kendisini meşru göstermek için bu adı alabilir. Gerçek biriktirme dosyası bulunabilir C:\Windows\Sistem32. Sahte dosya genellikle C:\Windowsveya bir kullanıcı profili klasöründe.
Bir Sürecin Meşru Olup Olmadığını Nasıl Kontrol Edersiniz?
Görev Yöneticisi, şüpheli etkinlik ararken arkadaşınızdır. Etkilenen işlemler genellikle düzensiz davranarak normalden daha fazla CPU gücü ve bellek tüketir. Ancak durum her zaman böyle değildir, bu nedenle bir işlemin meşru olup olmadığını kontrol etmenin başka yollarını da burada bulabilirsiniz.
Burada listelenen temel işlemlerin çoğu yalnızca System32 klasöründe görünmelidir. Görev Yöneticisi'nde şüpheli bir dosyanın konumunu kolayca kontrol edebilirsiniz. İşleme sağ tıklayın ve seçin Dosya konumunu aç. Dosyanın doğru yerde olduğundan emin olmak için açılan klasörün yolunu kontrol edin.
Bir dosyanın meşru olup olmadığını anlamanın başka bir yolu da boyutunu kontrol etmektir. Bu temel işlemlerin .exe dosyalarının çoğu 200 kb'nin altında olacaktır. Görev Yöneticisi'nde işlem adına sağ tıklayın, seçin Özellikler ve boyutuna bakın. Alışılmadık derecede büyük görünüyorsa, güvenli olup olmadığını belirlemek için daha yakından bakın.
ayrıca yapabilirsin EXE dosyasının sertifikasını kontrol edin. Orijinal bir dosya, Microsoft tarafından verilen bir güvenlik sertifikasına sahip olacaktır. Başka bir şey görürseniz, kötü niyetli olması muhtemeldir.
Yapılacak son şey, şüpheli dosyaları güncel bir antivirüs tarayıcısıyla taramaktır. Virüslü olarak işaretlenen tüm dosyaları karantinaya alın ve kaldırın. Neyse ki, Windows'un modern sürümleri yerleşik olarak Microsoft Defender ile gelir, bu yüzden öğrenin Microsoft Defender ile tek bir dosya veya klasör nasıl taranır Bulduğunuz şüpheli dosyaları kontrol etmek için.
Bir Virüsü Gizliyor Olabilecek Windows İşlemleri
Windows PC'nizi kötü amaçlı yazılımlardan ve virüslerden korumanın bir parçası da bunların nerede saklandığını bilmektir. Bazen kötü amaçlı bir dosya, çok fazla CPU ve bellek kullanarak garip davranır. Ama her zaman değil. Bu nedenle, şüpheli bir dosyayı başka şekillerde tespit etmek yararlı bir beceridir.
