Як знайти вірус у списку процесів Windows

Коли в системі щось не так або просто хочеться проконтролювати ефективність встановленого на комп'ютері антивіруса, ми зазвичай натискаємо три заповітні клавіші Ctrl, Alt, Del і запускаємо Диспетчер завдань, сподіваючись виявити вірус в списку процесів. Але в ньому ми бачимо лише велика кількість працюючих на комп'ютері програм, кожна з яких представлена ​​своїм процесом. І де ж тут ховається вірус? Відповісти на це питання вам допоможе наша сьогоднішня стаття.

{Mosloadposition debug}
Для того щоб визначити, чи є вірус в процесах або його там немає, потрібно дуже уважно вдивитися в список процесів. В операційній системі Windows Vista в обов'язковому порядку натисніть кнопочку «Відображати процеси всіх користувачів», інакше ви толком нічого і не побачите. Перш за все, зверніть увагу на опис процесу в стовпчику «Опис». Якщо опису немає або воно якесь «корявенько», це повинно вас насторожити. Адже розробники програм мають звичку підписувати свої творіння на зрозумілій російській або англійській мовах.
Відзначивши поглядом процеси з підозрілим описом, звертаємо погляд на наступний стовпчик - «Користувач». Віруси зазвичай запускаються від імені користувача, рідше у вигляді служб і від імені системи - SYSTEM, LOCAL SERVICE або NETWORK SERVICE.

Отже, знайшовши процес з підозрілим описом, що запускається від імені користувача або незрозуміло від чийого імені, клацніть ньому правою кнопкою мишки і в контекстному меню виберіть пункт «Властивості». Відкриється віконце з властивостями програми, яка запустила цей процес. Особливу увагу зверніть на вкладку «Докладно», де вказана інформація про розробника, версії файлу і його опис, а також на пункт «Розміщення» вкладки «Загальні» - тут вказаний шлях до запущеної програмі.


Якщо шлях «Розміщення» веде в каталог Temp, Temporary Internet Files або ще в який-небудь підозріле місце (наприклад, в папку якоїсь програми каталогу Program Files, але ви впевнені, що таку програму ви не встановлювали), то, МОЖЛИВО, даний процес належить вірусу. Але все це лише наші здогадки, за детальною інформацією, звичайно ж, краще звернутися до інтернету. Непогані списки процесів є на сайтах http://www.what-process.com, http://www.tasklist.org і http://www.processlist.com. Якщо після всіх пошуків ваші побоювання на рахунок підозрілого процесу підтвердяться, можете радіти - на вашому комп'ютері оселився вірус, троян або інший зловредів, якого потрібно терміново ліквідувати.
Але віконце з властивостями запустив процес файлу з Диспетчера завдань може і не відкритися. Тому крім стандартних засобів Windows потрібно користуватися різними корисними утилітами, здатними видати максимум інформації про підозрілий процесі. Одну з таких програм - Starter - ми вже розглядали.
У Starter на вкладці «Процеси» представлена ​​вичерпна інформація про виділений процесі: опис програми і ім'я файлу, який запустив процес, інформація про розробника, список модулів (програмних компонентів), задіяних процесом.

У Starter на вкладці «Процеси» представлена ​​вичерпна інформація про виділений процесі: опис програми і ім'я файлу, який запустив процес, інформація про розробника, список модулів (програмних компонентів), задіяних процесом

Таким чином, немає потреби копатися у властивостях файлу, що запустив процес - все і так, як на долоні. Тим не менш, це не заважає клацнути по підозрілому процесу правою кнопкою мишки і вибрати «Властивості», щоб отримати докладні відомості про файл процесу в окремому віконці.

Тим не менш, це не заважає клацнути по підозрілому процесу правою кнопкою мишки і вибрати «Властивості», щоб отримати докладні відомості про файл процесу в окремому віконці

Щоб потрапити в папку програми, який належить процес, клацніть за назвою процесу правою кнопкою миші і виберіть «Провідник в папку процесу».

Щоб потрапити в папку програми, який належить процес, клацніть за назвою процесу правою кнопкою миші і виберіть «Провідник в папку процесу»

Але сама зручна опція в Starter - можливість почати пошук інформації про процес прямо з вікна програми. Для цього клацніть правою кнопкою мишки по процесу та виберіть «Шукати в Інтернет».

Для цього клацніть правою кнопкою мишки по процесу та виберіть «Шукати в Інтернет»

Після того, як ви отримаєте повну інформацію про файл, запустити процес, його розробника, призначення і думка про процес в мережі інтернет, зможете досить точно визначити - вірус перед вами або мирна програма-трудяга. Тут діє той же принцип, що і в диспетчері завдань. Підозрілі ті процеси і модулі процесів, для яких не вказано розробник, в описі яких нічого немає або написано щось невиразне, процес або задіяні їм модулі запускаються з підозрілою папки. Наприклад, Temp, Temporary Internet Files або з папки в Program Files, але ви точно пам'ятаєте, що зазначену там програму ви не встановлювали. І, нарешті, якщо в інтернеті чітко сказано, що даний процес належить вірусу, радійте - зловредів не вдалося сховатися від вас!


Одне з найпоширеніших помилок початківців чайників стосується процесу svchost.exe. Пишеться він саме так і ніяк інакше: svshost.exe, scvhost.exe, cvshost.exe і інші варіації на цю тему - віруси, які маскуються під хороший процес, який, до речі, належить службам Windows. Точніше, один процес svchost.exe може запускати відразу декілька системних служб. Оскільки служб у операційної системи багато і всі вони потрібні їй, процесів svchost.exe теж багато.


У Windows XP процесів svchost.exe має бути не більше шести. П'ять процесів svchost.exe - нормально, а ось вже сім - стовідсоткова гарантія, що на вашому комп'ютері оселився зловредів. У Windows Vista процесів svchost.exe більше шести. У мене, наприклад, їх чотирнадцять. Але і системних служб в Windows Vista набагато більше, ніж в попередній версії цієї ОС.
Дізнатися, які саме служби запускаються процесом svchost.exe, вам допоможе інша корисна утиліта - Process Explorer. Завантажити останню версію Process Explorer ви можете з офіційного сайту Microsoft: http://technet.microsoft.com/ru-ru/sysinternals/bb896653.aspx
Process Explorer видасть вам опис процесу, яка кинула його програму, найменування розробника і безліч корисної технічної інформації, зрозумілою хіба що програмістам.
Наведіть мишку на ім'я цікавить вас процесу, і ви побачите шлях до файлу, який жбурнув даний процес.

Наведіть мишку на ім'я цікавить вас процесу, і ви побачите шлях до файлу, який жбурнув даний процес

А для svchost.exe Process Explorer покаже повний перелік служб, що відносяться до виділеного процесу. Один процес svchost.exe може запускати кілька служб або всього одну.

exe може запускати кілька служб або всього одну


Щоб побачити властивості файлу, що запустив процес, клацніть по потрібних вам процесу правою кнопкою мишки і виберіть «Properties» ( «Властивості»).

Для пошуку інформації про процес в інтернеті за допомогою пошукової системи Google, просто натисніть на назву процесу правою кнопкою миші і виберіть «Google».

Як і раніше, підозри повинні викликати процеси без опису, без найменування розробника, що запускаються з тимчасових папок (Temp, Temporary Internet Files) або з папки програми, яку ви не встановлювали, а також ідентифікуються в інтернеті як віруси.
І пам'ятайте, для якісно роботи програм Process Explorer і Starter в Windows Vista, їх потрібно запускати з адміністративними правами: клацніть по виконуваного файлу програми правою кнопкою мишки і виберіть «Запуск від імені адміністратора».
Однак хочеться вас розчарувати, тільки дуже дурні віруси видають себе в списку процесів. Сучасні автори вірусів вже давно навчилися ховати свої творіння не тільки від очей користувачів, але і від антивірусних програм. Тому врятувати вас в разі зараження якісно написаної шкідливою програмою може лише хороший антивірус зі свіжими базами (та й то не факт!), Наявність резервної копії з усією вашою інформацією і диск з дистрибутивом Windows для переустановлення системи. Проте, періодично заглядати в список процесів все ж варто - хіба мало який scvhost або mouse.exe там причаївся.

Спеціально для проекту Ячайнік , Олена Карлтон

{Mosloadposition cpanel}

{Mosloadposition debug}

І де ж тут ховається вірус?