Як знайти вірус у списку процесів Windows

Коли в системі щось не так чи просто хочеться проконтролювати ефективність встановленого на комп'ютері антивірусу, ми зазвичай натискаємо три заповітні клавіші Ctrl, Alt, Del та запускаємо Диспетчер завдань, сподіваючись виявити вірус у списку процесів. Але в ньому ми бачимо лише велику кількість програм, що працюють на комп'ютері, кожна з яких представлена ​​своїм процесом. І де тут ховається вірус? Відповісти на це питання вам допоможе наша сьогоднішня стаття

Для того щоб визначити, чи є вірус у процесах чи його там немає, потрібно дуже уважно вдивитись у список процесів. В операційній системі Windows Vista обов'язково натисніть кнопочку «Відображати процеси всіх користувачів», інакше ви до пуття нічого і не побачите. Насамперед, зверніть увагу на опис процесу у стовпчику «Опис». Якщо опису немає чи воно якесь «корявеньке», це має вас насторожити. Адже розробники програм мають звичку підписувати свої твори зрозумілою російською чи англійською мовами.
Відзначивши поглядом процеси з підозрілим описом, звертаємо погляд наступний стовпчик – «Користувач». Віруси зазвичай запускаються від імені користувача, рідше як служб і від імені системи - SYSTEM, LOCAL SERVICE або NETWORK SERVICE.

Отже, знайшовши процес з підозрілим описом, що запускається від імені користувача або незрозуміло від імені, клацніть правою кнопкою мишки і в контекстному меню виберіть пункт «Властивості». Відкриється віконце з властивостями програми, яка запустила цей процес.Особливу увагу зверніть на вкладку «Докладно», де вказано інформацію про розробника, версію файлу та його опис, а також пункт «Розміщення» вкладки «Загальні» - тут вказано шлях до запущеної програми.

Якщо шлях «Розміщення» веде до каталогу Temp, Temporary Internet Files або ще в якесь підозріле місце (наприклад, в папку певної програми каталогу Program Files, але ви впевнені, що таку програму ви не встановлювали), то, МОЖЛИВО, цей процес належить вірусу. Але все це лише наші здогади, за детальною інформацією, звичайно, краще звернутися до інтернету. Непогані списки процесів є на сайтах what-process.com http://www.tasklist.org та http://www.processlist.com. Якщо після всіх пошуків ваші побоювання щодо підозрілого процесу підтвердяться, можете радіти – на вашому комп'ютері оселився вірус, троян чи інший зловред, якого потрібно терміново ліквідувати.

Але віконце з властивостями файлу з Диспетчера завдань, що запустив процес, може і не відкритися. Тому, крім стандартних засобів Windows, потрібно користуватися різними корисними утилітами, здатними видати максимум інформації про підозрілий процес. Одну з таких програм – Starter – ми вже розглядали (http://www.yachaynik.ru/content/view/88/).

У Starter на вкладці «Процеси» представлена ​​вичерпна інформація про виділений процес: опис програми та ім'я файлу, який запустив процес, інформація про розробника, список модулів (програмних компонентів), задіяних процесом.

Таким чином, немає потреби копатися у властивостях файлу, що запустив процес - все і так, як на долоні.Тим не менш, це не заважає клацнути по підозрілому процесу правою кнопкою мишки і вибрати "Властивості", щоб отримати докладні відомості про файл процесу в окремому вікні.

Щоб потрапити до папки програми, яка належить процесу, клацніть правою кнопкою миші за назвою процесу і виберіть «Провідник до папки процесу».

Але найзручніша опція в Starter – можливість почати пошук інформації про процес прямо з вікна програми.

Після того, як ви отримаєте повну інформацію про файл, що запустив процес, його розробника, призначення та думку про процес в мережі інтернет, зможете досить точно визначити – вірус перед вами або мирна програма-трудяга. Завдання. Підозріли ті процеси і модулі процесів, для яких не вказано розробник, в описі яких нічого немає або написано щось невиразне, процес або задіяні модулі запускаються з підозрілої папки. Наприклад, Temp, Temporary Internet Files або з папки в Program Files, але ви точно пам'ятаєте, що вказану там програму ви не встановлювали. вірусу, радійте - зловреді не вдалося сховатися від вас!

Одна з найпоширеніших помилок чайників-початківців стосується процесу svchost.exe. Належить службам Windows. Точніше, один процес svchost.exe може запускати відразу кілька системних служб.Оскільки служб операційної системи багато і всі вони потрібні їй, процесів svchost.exe теж багато.

У Windows XP процесів svchost.exe має бути не більше шести. П'ять процесів svchost.exe – нормально, а ось уже сім – стовідсоткова гарантія, що на вашому комп'ютері оселився зловред. У Windows Vista процесів svchost.exe більше шести. У мене, наприклад, їх чотирнадцять. Але і системних служб Windows Vista набагато більше, ніж у попередній версії цієї ОС.

Дізнатися, які служби запускаються процесом svchost.exe, вам допоможе інша корисна утиліта – Process Explorer. Завантажити останню версію Process Explorer можна з офіційного сайту Microsoft: technet.microsoft.com

Process Explorer видасть вам опис процесу, що запустила його програму, найменування розробника та безліч корисної технічної інформації, зрозумілої хіба що програмістам.

Наведіть мишку на ім'я процесу, що вас цікавить, і ви побачите шлях до файлу, що запустив даний процес.

А для svchost.exe Process Explorer покаже повний список служб, що належать до виділеного процесу. Один процес svchost.exe може запускати кілька служб або лише одну.

Щоб побачити властивості файлу, що запустив процес, клацніть по процесу, що вас цікавить правою кнопкою мишки і виберіть «Properties» («Властивості»).

Щоб знайти інформацію про процес в Інтернеті за допомогою пошукової системи Google, просто клацніть по назві процесу правою кнопкою миші та виберіть "Google".

Як і раніше, підозри повинні викликати процеси без опису, без найменування розробника, що запускаються з тимчасових папок (Temp, Temporary Internet Files) або з папки програми, яку ви не встановлювали, а також віруси, що ідентифікуються в інтернеті.

І пам'ятайте, для якісно роботи програм Process Explorer і Starter у Windows Vista їх потрібно запускати з адміністративними правами: клацніть по виконуваному файлу програми правою кнопкою мишки і виберіть «Запуск від імені адміністратора».

Однак хочеться вас розчарувати, лише дуже дурні віруси видають себе у списку процесів. Сучасні вірусописачі вже давно навчилися ховати свої твори не лише від очей користувачів, а й від антивірусних програм. Тому врятувати вас у разі зараження якісно написаною шкідливою програмою може лише хороший антивірус зі свіжими базами (та й то не факт!), наявність резервної копії з усією інформацією та диск з дистрибутивом Windows для переустановки системи. Тим не менш, періодично заглядати в список процесів все ж таки варто - мало якийсь scvhost або mouse.exe там причаївся.

Як знайти вірус у списку процесів Windows

Коли в системі щось не так чи просто хочеться проконтролювати ефективність встановленого на комп'ютері антивірусу, ми зазвичай натискаємо три заповітні клавіші Ctrl, Alt, Del та запускаємо Диспетчер завдань, сподіваючись виявити вірус у списку процесів. Але в ньому ми бачимо лише велику кількість програм, що працюють на комп'ютері, кожна з яких представлена ​​своїм процесом. І де тут ховається вірус? Відповісти на це питання вам допоможе наша сьогоднішня стаття

Для того щоб визначити, чи є вірус у процесах чи його там немає, потрібно дуже уважно вдивитись у список процесів. В операційній системі Windows Vista обов'язково натисніть кнопочку «Відображати процеси всіх користувачів», інакше ви до пуття нічого і не побачите. Насамперед, зверніть увагу на опис процесу у стовпчику «Опис». Якщо опису немає чи воно якесь «корявеньке», це має вас насторожити. Адже розробники програм мають звичку підписувати свої твори зрозумілою російською чи англійською мовами.
Відзначивши поглядом процеси з підозрілим описом, звертаємо погляд наступний стовпчик – «Користувач». Віруси зазвичай запускаються від імені користувача, рідше як служб і від імені системи - SYSTEM, LOCAL SERVICE або NETWORK SERVICE.

Отже, знайшовши процес з підозрілим описом, що запускається від імені користувача або незрозуміло від імені, клацніть правою кнопкою мишки і в контекстному меню виберіть пункт «Властивості». Відкриється віконце з властивостями програми, яка запустила цей процес. Особливу увагу зверніть на вкладку «Докладно», де вказано інформацію про розробника, версію файлу та його опис, а також пункт «Розміщення» вкладки «Загальні» - тут вказано шлях до запущеної програми.

Якщо шлях «Розміщення» веде до каталогу Temp, Temporary Internet Files або ще в якесь підозріле місце (наприклад, в папку певної програми каталогу Program Files, але ви впевнені, що таку програму ви не встановлювали), то, МОЖЛИВО, цей процес належить вірусу. Але все це лише наші здогади, за детальною інформацією, звичайно, краще звернутися до інтернету.Непогані списки процесів є на сайтах what-process.com http://www.tasklist.org та http://www.processlist.com. Якщо після всіх пошуків ваші побоювання щодо підозрілого процесу підтвердяться, можете радіти – на вашому комп'ютері оселився вірус, троян чи інший зловред, якого потрібно терміново ліквідувати.

Але віконце з властивостями файлу з Диспетчера завдань, що запустив процес, може і не відкритися. Тому, крім стандартних засобів Windows, потрібно користуватися різними корисними утилітами, здатними видати максимум інформації про підозрілий процес. Одну з таких програм – Starter – ми вже розглядали (http://www.yachaynik.ru/content/view/88/).

У Starter на вкладці «Процеси» представлена ​​вичерпна інформація про виділений процес: опис програми та ім'я файлу, який запустив процес, інформація про розробника, список модулів (програмних компонентів), задіяних процесом.

Таким чином, немає потреби копатися у властивостях файлу, що запустив процес - все і так, як на долоні. Тим не менш, це не заважає клацнути по підозрілому процесу правою кнопкою мишки і вибрати "Властивості", щоб отримати докладні відомості про файл процесу в окремому вікні.

Щоб потрапити до папки програми, яка належить процесу, клацніть правою кнопкою миші за назвою процесу і виберіть «Провідник до папки процесу».

Але найзручніша опція Starter – можливість почати пошук інформації про процес прямо з вікна програми. Для цього клацніть правою кнопкою мишки процес і виберіть «Шукати в Інтернет».

Після того, як ви отримаєте повну інформацію про файл, що запустив процес, його розробника, призначення та думку про процес в мережі інтернет, зможете досить точно визначити – вірус перед вами чи мирна програма-трудяга. Тут діє той самий принцип, що й у Диспетчері завдань. Підозріли процеси та модулі процесів, для яких не вказано розробника, в описі яких нічого немає або написано щось невиразне, процес або задіяні ним модулі запускаються з підозрілої папки. Наприклад, Temp, Temporary Internet Files або з папки Program Files, але ви точно пам'ятаєте, що вказану там програму ви не встановлювали. І, нарешті, якщо в інтернеті чітко сказано, що цей процес належить вірусу, радійте - зловреді не вдалося сховатися від вас!

Одна з найпоширеніших помилок чайників-початківців стосується процесу svchost.exe. Пишеться він саме так і ніяк інакше: svshost.exe, scvhost.exe, cvshost.exe та інші варіації на цю тему – віруси, що маскуються під добрий процес, який, до речі, належить службам Windows. Точніше, один процес svchost.exe може запускати кілька системних служб. Оскільки служб операційної системи багато і всі вони потрібні їй, процесів svchost.exe теж багато.

У Windows XP процесів svchost.exe має бути не більше шести. П'ять процесів svchost.exe – нормально, а ось уже сім – стовідсоткова гарантія, що на вашому комп'ютері оселився зловред. У Windows Vista процесів svchost.exe більше шести. У мене, наприклад, їх чотирнадцять. Але і системних служб Windows Vista набагато більше, ніж у попередній версії цієї ОС.

Дізнатися, які служби запускаються процесом svchost.exe, вам допоможе інша корисна утиліта – Process Explorer. Завантажити останню версію Process Explorer можна з офіційного сайту Microsoft: technet.microsoft.com

Process Explorer видасть вам опис процесу, що запустила його програму, найменування розробника та безліч корисної технічної інформації, зрозумілої хіба що програмістам.

Наведіть мишку на ім'я процесу, що вас цікавить, і ви побачите шлях до файлу, що запустив даний процес.

А для svchost.exe Process Explorer покаже повний список служб, що належать до виділеного процесу. Один процес svchost.exe може запускати кілька служб або лише одну.

Щоб побачити властивості файлу, що запустив процес, клацніть по процесу, що вас цікавить правою кнопкою мишки і виберіть «Properties» («Властивості»).

Щоб знайти інформацію про процес в Інтернеті за допомогою пошукової системи Google, просто клацніть по назві процесу правою кнопкою миші та виберіть "Google".

Як і раніше, підозри повинні викликати процеси без опису, без найменування розробника, що запускаються з тимчасових папок (Temp, Temporary Internet Files) або з папки програми, яку ви не встановлювали, а також віруси, що ідентифікуються в інтернеті.

І пам'ятайте, для якісно роботи програм Process Explorer і Starter у Windows Vista їх потрібно запускати з адміністративними правами: клацніть по виконуваному файлу програми правою кнопкою мишки і виберіть «Запуск від імені адміністратора».

Однак хочеться вас розчарувати, лише дуже дурні віруси видають себе у списку процесів. Сучасні вірусописачі вже давно навчилися ховати свої твори не лише від очей користувачів, а й від антивірусних програм.Тому врятувати вас у разі зараження якісно написаною шкідливою програмою може лише хороший антивірус зі свіжими базами (та й то не факт!), наявність резервної копії з усією інформацією та диск з дистрибутивом Windows для переустановки системи. Тим не менш, періодично заглядати в список процесів все ж таки варто - мало якийсь scvhost або mouse.exe там причаївся.

Віруси на комп'ютері: як розпізнати їх та вжити заходів

Шкідливі програми або віруси можуть призвести до вашого комп'ютера в хаос. Вони можуть деактивувати антивірусну програму та зробити комп'ютер вразливим для іншого шкідливого програмного забезпечення, заважати нормальному функціонуванню комп'ютера або пошкодити файли операційної системи. Читайте про симптоми, які сигналізують про наявність на комп'ютері вірусу. Як віруси реагує комп'ютер, антивірусна програма чи браузер.

Віруси здирники шифрують дані користувачів таким чином, що їх практично неможливо розшифрувати або відновити. Віруси можуть отримати доступ до будь-яких даних, будь то особисті файли, банківські дані або паролі користувача, а також створювати двійники облікових записів.

Що ж робити, щоб захистити себе та комп'ютер від вірусів? Почати необхідно з встановлення антивірусної програми. Також не завадить освоїти навички безпечного користування комп'ютером. Частою причиною зараження комп'ютера вірусами або іншим шкідливим програмним забезпеченням є відсутність комп'ютерної грамотності користувача, яку також варто підтягнути.

Нові види вірусів і шкідливих програм з'являються весь час, тому вони не завжди можуть визначити кожну антивірусну програму, принаймні до того моменту, поки не будуть внесені в базу даних сигнатур вірусів.Такі нові віруси можуть потрапити в систему і пройти всі програмні засоби захисту.

Якщо ви випадково завантажили підозрілий файл, який містить вірус або натиснули на вкладення в email, ваша система може бути інфікована такими вірусами як: Trojan, Rootkit, Worm, Backdoor, Junkware або Malware. Тому, перш ніж кликати на невідомому файлі або на посилання краще подумати двічі і стежити за тим, щоб встановлена ​​на вашому комп'ютері антивірусна програма була з актуальними антивірусними сигнатурами.

Отже, як визначити, що ваш комп'ютер заражений вірусами? Ось кілька явних ознак, які сигналізують про те, що на комп'ютері є віруси або інше шкідливе ПЗ:

Вашу антивірусну програму деактивовано (відключено)

Деякі типи шкідливих програм можуть деактивувати або вимкнути антивірусну програму або антивірусне рішення для захисту інтернет-користувачів (internet security suite). У такому разі шкідливі програми можуть вільно проникнути на комп'ютер, вкрасти чи пошкодити дані. Існує багато типів шкідливих програм, деякі націлені на пошкодження або знищення даних, інші шифрують файли і вимагають оплату за відновлення до них доступу. Спроби повторно інсталювати або встановити антивірусне ПЗ, такими вірусами можуть також блокуватися. Встановившись на комп'ютер, віруси можуть вносити зміни до реєстру, які блокуватимуть встановлення антивірусних програм.

Антивірусна програма повідомляє про наявність на комп'ютері вірусів

Найкращим способом визначити наявність на комп'ютері є наявність відповідних повідомлень антивірусної програми або брандмауера.Брандмауер – це потужний інструмент захисту, який контролює все, що завантажується на комп'ютер з Інтернету та з комп'ютера в Інтернет.

Комп'ютер працює повільно або гальмує

Якщо комп'ютер почав працювати повільніше, ніж зазвичай або гальмувати, це також є ознакою того, що він заражений шкідливим програмним забезпеченням.

Якщо якась невідома програма використовує багато ресурсів процесора, вона може і бути вірусом. Також, вірус може своєю діяльністю використовувати ресурси жорсткого диска. операційної системи під час увімкнення комп'ютера або його відключення, а також бути причиною зависань.

Браузер перенаправляє на інші сайти або не запускається

Проблеми в роботі браузера є ключовою ознакою того, що безпека комп'ютера порушена. Наприклад, здійснюючи пошук інформації або сайту за допомогою Google, ви виявляєте, що, переходячи за посиланням потрібного сайту, ви потрапляєте не на нього, а на рекламний сайт, який ви не шукали. ніколи раніше на нього не переходили. Браузер також може почати повільно працювати або зависати, може з'явитися велика кількість надбудов або розширень, за наявності Інтернет-з'єднання. браузер не може підключитися до мережі, і т.д.

Комп'ютер працює зі збоями або зависає під час перезавантаження

Руткит або вірус можуть стати причиною нестабільної роботи операційної системи або навіть вносити зміни в master boot record (MBR). комп'ютер вірусами.

Це тільки найпоширеніші способи визначення наявності на комп'ютері вірусів, шкідливих програм (malware) або програм здирників (ransomware), і їх симптоми.

Якщо ж, внаслідок зараження комп'ютера вірусами або діяльності шкідливих програм, ваш комп'ютер втратив працездатність, відновити яку можливо лише перевстановленням операційної системи або форматуванням жорсткого диска, а як результат ваші дані були втрачені або пошкоджені, ви їх можете відновити за допомогою програми відновлення даних Також, рекомендуємо скористатися одним із способів, описаних в інших статтях нашого. блогу.

Автор: Vladimir Mareev, Технічний письменник

Володимир Марєєв - автор і перекладач технічних текстів у компанії Hetman Software.Статті включають також різноманітні огляди новинок ринку комп'ютерних пристроїв, популярних операційних систем, посібники з використання поширених і специфічних програм, приклади рішень системних або апаратних проблем, що виникають, і багато інших видів публікацій.

Редактор: Michael Miroshnichenko, Технічний письменник

Мірошниченко Михайло – одні з провідних програмістів у Hetman Software. Спираючись на п'ятнадцятирічний досвід розробки програмного забезпечення, він ділиться своїми знаннями з читачами нашого блогу. Мимо програмування Михайло є експертом у галузі відновлення даних, файлових систем, пристроїв зберігання даних, RAID масивів.