Диспетчер задач: подозрительные процессы. Как найти и удалить вирус?
Некоторые вирусные объекты достаточно тщательно скрывают свою деятельность от пользователя. Иногда это происходит настолько качественно, что даже опытный человек не может до конца понять, важная программа это или скрывающийся вирусный объект, который нужно немедленно ликвидировать.
Благодаря Диспетчеру задач, некоторую часть вирусных программ можно отыскать как раз там, в разделе процессов, затем просмотреть их расположение на компьютере и благополучно их удалить. Вроде все легко, но есть одно, но. Как же отличить необходимую программу от того же вируса, ведь по сути они ничем не отличаются. Да и сделав неправильное удаление, можно и вовсе ухудшить работу системы. В данной статье речь пойдет о подозрительных процессах (программах) в диспетчере задач и о правильном удалении их из системы.
Диспетчер задач служит для просмотра программ установленных на компьютере просмотра папок и файлов
АНАЛИЗ ПРОЦЕССОВ, ЗАПУЩЕННЫХ НА КОМПЬЮТЕРЕ
Наверное, нет ни одного пользователя, который бы не хотел, чтобы его компьютер «летал мухой». И большинству из них абсолютно «до лампочки», какие процессы запущены на его ПК, лишь бы они не мешали работать или развлекаться. Но, к сожалению, на качество и скорость работы компьютера в значительной степени влияют процессы, которые запущенны именно в данный конкретный момент. И никуда от этого не деться. Запущенные процессы сказываются на скорости работы даже мощных многоядерных компьютеров, а о маломощных стареньких компьютерах и говорить нечего. Запущенные процессы могут в значительной степени подгружать процессор вашего ПК, а некоторые из них вообще могут оказаться вредоносными.
Как же определить, какие процессы запущены на ПК, степень влияния их на процессор и степень угрозы, которую они могут нести?
Существует множество программ, предназначенных для выявления и оценки процессов, запущенных на компьютере. Причем, надо сразу оговориться, что обычно эти программы выполняют и другие функции, но сейчас речь идет именно о выявлении запущенных процессов.
Одной из таких программ является встроенная в операционные системы семейства Windows программа «Диспетчер задач». Это очень интересная программа, с помощью которой можно определять запущенные на ПК приложения, процессы и службы, управлять вышеперечисленными компонентами (запускать, останавливать или завершать). С помощью нее можно оценивать и влиять на быстродействие компьютера, а также выполнять другие задачи. Запустить Диспетчер задач можно, нажав правой кнопкой мыши в пустой области панели задач (см.1 Рис.1), и выбрав из контекстного меню пункт «Запустить диспетчер задач» (см.2 Рис.1). Кроме этого, если одновременно нажать кнопки Ctrl+Alt+Delete, то на экране из доступных команд можно выбрать команду «Запустить диспетчер задач».
После того, как вы запустите Диспетчер задач, у вас на экране появится окно этой программы (см. Рис.2). В этом окне нас интересует вкладка «Процессы» (см.1 Рис.2). В окне этой вкладки (Рис.2) отображаются запущенные процессы и информация, относящаяся к ним (см.2 Рис.2). Кроме этого можно посмотреть количество запущенных процессов (см.3 Рис.2), загрузку процессора (см.4 Рис.2) и степень загруженности физической памяти (см.5 Рис.2).
В окне Рис.2 можно проанализировать запущенные процессы и, если необходимо, завершить те, которые, по вашему мнению, на данный момент неактуальны. Для этого на выбранном процессе щелкнуть правой кнопкой мыши и из появившегося контекстного меню выбрать команду «Завершить процесс» (см.1 Рис.3).
К сожалению, диспетчер задач, встроенный в Windows для анализа и обработки запущенных процессов не очень удобен и имеет очень ограниченные возможности. Он не в полной мере отображает процессы, запущенные на компьютере. И если вы сравните информацию о загрузке процессора (см.4 Рис.2), с той, которая показана напротив запущенных процессов (см.2 Рис.2), то вы убедитесь, что реальная загрузка значительно выше той, которую создают процессы, отображаемые в окне диспетчера задач. Реально существует множество процессов, скрытых от диспетчера задач. А средства анализа запущенных процессов вообще весьма ограничены. Если в контекстном меню выбрать пункт «Свойства» (см.2 Рис.3), то там вы не увидите даже путь к исполнительному файлу. Но, все-таки, самую главную информацию о процессах на вашем компьютере вы сможете получить именно с помощью диспетчера задач. А именно, вы увидите степень загруженности процессора (см.4 Рис.2) и использования физической памяти (см.5 Рис.2). Если эти параметры равны или близки к 100%, значит ваш компьютер работает на пределе своих возможностей и скорость решения данной конкретной задачи, которой вы сейчас занимаетесь на компьютере, будет минимальной. А изучив и проанализировав процессы через интернет, вы сможете принять решение о возможности завершения того или иного процесса. И не нужно бояться того, что вы можете завершить не тот процесс. Вы не испортите свой ПК, т.к. этот процесс вы завершаете для данного конкретного сеанса, а при повторном запуске компьютера (или программы), процесс, который вы случайно (по незнанию) остановили, снова будет исправно работать.
Из-за недостатков в применении диспетчера задач для анализа процессов, запущенных на компьютере, приходится прибегать к программам сторонних разработчиков. Я уже говорил, что таких программ много. Я предлагаю вашему вниманию две из них. Первая – это программа «Security Task Manager», разработанная Neuber Soft, и программа «ESET Sys Inspector», входящая в комплект антивирусной программы «ESET Smart Security».
Программа «Security Task Manager», предназначена именно для анализа процессов, запущенных на компьютере. Пробную версию этой программы или ее платный вариант можно найти на сайте разработчика. Сама программа интуитивно понятна и удобна в работе. Программа имеет русскоязычный справочный материал, который поможет легко разобраться любому пользователю с особенностями ее эксплуатации.
После запуска программы в ее окне Рис.4 отражаются процессы, запущенные на ПК. В верхней части отображаются наиболее опасные и далее вниз по убыванию степени опасности. Степень опасности акцентируется красным цветом. Чем более насыщенный красный цвет, выделяющий запущенный процесс, тем более опасен этот процесс. При выделении определенного процесса (нажатии на нем левой кнопкой мыши) в нижней правой части окна отображаются характеристики процесса. После вызова контекстного меню на определенном процессе можно задать поиск в Google сведений о процессе, хотя эта функция срабатывает не всегда. Если функция автоматически не срабатывает, то поиск необходимо произвести вручную, введя в поле набора вашего поисковика название сомнительного процесса.
Оценка степени опасности процесса, приведенная в нижней части окна, очень условна. Во-первых, то, что процесс отнесен к категории опасных, не значит, что он действительно запущен вредоносной программой (может быть даже очень полезным). Во-вторых, степень опасности определяется не числовыми значениями, а положением ползунка на условной шкале опасности.
Если вы, основываясь на данных, полученных от программы «Security Task Manager» и из интернета проведете анализ процесса, вы сможете принять обоснованное решение об удалении процесса, или отправке его в карантин. Для этого вы должны будете воспользоваться либо панелью инструментов программы «Security Task Manager», которая расположена в верхней части окна, либо, вызвав контекстное меню нажатием на процессе правой кнопки мыши, выбрать необходимое действие. Сразу скажу — удаление или отправка в карантин сомнительного или ненужного, по вашему мнению, процесса не всегда дает положительные результаты, а точнее не всегда достигает своей цели. Нередко не смотря на попытку удалить процесс, он снова появляется после очередного запуска ПК. Хочу отметить, что я неоднократно слышал от пользователей, что после удаления некоторых «кривых процессов», их компьютер начинал «летать», а иногда и сам пользуюсь этой программой.
Нужно отметить, что в вопросе анализа процессов значительно сильнее работает программа «ESET Sys Inspector», входящая в комплект антивирусной программы «ESET Smart Security». Для того, чтобы ей воспользоваться, необязательно покупать платный антивирус ESET NOD32. Достаточно установить его пробную версию, которая ничем не отличается от платного близнеца, разве что сроком действия. Да и то, тем, кто читал серию статей из цикла «Как второй раз испытать пробную версию понравившейся вам программы», не составит труда использовать эту программу более одного раза.
После того, как вы установите и запустите программу «ESET Sys Inspector», у вас на экране появится окно Рис.5. Сама программа запускается значительно дольше, нежели программа «Security Task Manager», о которой я говорил выше, но и возможности этой программы значительно выше. Сразу оговорюсь, что всю информацию о возможностях применения данной программы вы сможете найти в ее справочных материалах, которые вы сможете вызвать, нажав кнопку «Справка» и выбрав там одноименный пункт (см.1 Рис.5). Сейчас я хочу только вкратце рассказать о возможностях данной программы в вопросе оценки и анализа запущенных процессов.
При проведении анализа можно выбрать степень детализации информации (Полная, Средняя или Основная) (см.2 Рис.5). Установив ползунок «Фильтрация» (см.3 Рис.5), можно задать степень определяемой опасности (от 1 до 9). Лучше оставлять в левом крайнем состоянии (по умолчанию). В левой части окна необходимо выбрать раздел для исследования (см.4 Рис.5). В верхней правой части окна (см.5 Рис.5) отображаются элементы для исследования выбранного раздела. В нижней правой части окна (см.6 Рис.5) отображаются параметры элемента, выбранного в верхней правой части окна.
Итак, поскольку, сейчас мы изучаем запущенные процессы, то и выбираем для исследования именно раздел «Запущенные процессы» (см.1 Рис.6). При этом в верхней правой части окна программы у нас отобразятся запущенные процессы (см.2 Рис.6) и их основные характеристики. Красным цветом выделяются опасные процессы. Если выбрать один из процессов, нажав на нем левой кнопкой мыши, в нашем случае это процесс «csrss.exe» (см.4 Рис.6), то в нижней правой части окна появятся параметры этого процесса (см.3 Рис.6). Чтобы провести анализ процесса, необходимо на выбранном процессе щелкнуть правой кнопкой мыши и выбрать один из пунктов контекстного меню (см.5 Рис.6). Здесь вы можете задать поиск в интернете информации о данном процессе, найти путь к источнику, который запустил этот процесс (выбрав пункт «открыть папку с файлом»). Вы можете скопировать путь к файлу и сделать многое другое. Самое главное, что эта программа выдает информацию о запущенном процессе в правой части окна на основе богатого опыта, накопленного в лабораториях разработчиков антивирусной программы ESET NOD32. Если возникнет необходимость в полном завершении процесса, открыв папку с файлом данного процесса можно прервать процесс, удалив его файл.
Конечно удаление файла — практически необратимый процесс, поэтому, прежде, чем что-либо удалять, создайте точку восстановления. Как это делать, детально написано в статье «Восстановление операционной системы».
В данной статье я привел только незначительную часть программ, позволяющих провести анализ и оценку запущенных на компьютере процессов. Подобных программ множество. Описать их все в одной статье просто не реально. Но и те, которые я здесь привел, надеюсь, помогут поддерживать ваш компьютер в хорошем состоянии.
Связанные понятия (продолжение)
Аппле́т (англ. applet от application — приложение и -let — уменьшительный суффикс) — это несамостоятельный компонент программного обеспечения, работающий в контексте другого, полновесного приложения, предназначенный для одной узкой задачи и не имеющий ценности в отрыве от базового приложения.
В программировании то́чка остано́ва (англ. breakpoint) — это преднамеренное прерывание выполнения программы, при котором выполняется вызов отладчика (одновременно с этим программа сама может использовать точки останова для своих нужд). После перехода к отладчику программист может исследовать состояние программы (логи, состояние памяти, регистров процессора, стека и т. п.), с тем чтобы определить, правильно ли ведёт себя программа. В отличии от полной остановки, с помощью останова, после работы в.
Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS.
Обёртка библиотеки (англ. wrapper) является промежуточным слоем между прикладной программой и другой библиотекой или интерфейсом программирования приложений (API).
Пользовательское пространство — адресное пространство виртуальной памяти операционной системы, отводимое для пользовательских программ, в отличие от пространства ядра, которое резервируется для работы ядра операционной системы, его расширений и, возможно, некоторых драйверов устройств. В англоязычной компьютерной литературе термин «Userland» часто используется для обозначения совокупности приложений, которые выполняются в пространстве пользователя.
Зависа́ние — компьютерное явление, при котором одна или несколько программ или вся операционная система перестают реагировать на действия пользователя, или начинают без остановки выполнять одну и ту же (не обязательно полезную или содержательную) операцию, не реагируя на сообщения от других программ. В этот момент изображение, выводимое программой на монитор (если оно есть) застывает, в отличие от ошибки исполнения, при которой на экран выдаётся сообщение.
Многопользовательское, мультерминальное или терминальное решение позволяет организовать на базе одного компьютера несколько независимых мест — терминалов — с возможностью одновременной работы.
Это список известных операционных систем. Операционные системы могут быть классифицированы по базовой технологии (UNIX-подобные, пост-UNIX/потомки UΝΙΧ), типу лицензии (проприетарная или открытая), развивается ли в настоящее время (устаревшие или современные), по назначению (универсальные, ОС встроенных систем, ОС PDA, ОС реального времени, для рабочих станций или серверов), а также по множеству других признаков.
Иерархическое управление носителями, ИУН (англ. Hierarchical Storage Management, HSM) — технология хранения данных, позволяющая автоматически распределять данные между быстрыми (дорогими), медленными (дешёвыми) накопителями, тиринг (англ. tiering). Системы с ИУН хранят основную массу данных на медленных устройствах большого объёма, используя более быстрые накопители в качестве основной площадки запуска процессов.
Твикер (англ. tweaker) — утилита для тонкой настройки операционной системы либо программного обеспечения, за счёт изменения определённых параметров (нередко скрытых или труднодоступных для пользователя). Часто твикеры используют для персональной настройки внешнего вида графического интерфейса пользователя. В операционных системах семейства Windows твикеры обычно изменяют значения в реестре либо в конфигурационных файлах, которые зачастую невозможно изменить используя средства, предоставляемые системой.
Загру́зчик (англ. loader) — в информатике, программа, отвечающая за загрузку исполнимых файлов и запуск соответствующих новых процессов. Обычно является частью операционной системы, но может быть и самостоятельной программой — к примеру, позволяющей операционной системе запускать программы, скомпилированные для других операционных систем (см. также: эмуляторы, WINE).
Программно-определяемая сеть хранения (также …система хранения, …среда хранения; англ. software-defined storage, SDS) — программное решение, обеспечивающее создание сети хранения данных на неспециализированном оборудовании массового класса, как правило, группе серверных узлов архитектуры x86-64 под управлением операционных систем общего назначения (Linux, Windows, FreeBSD). Основная отличительная возможность — виртуализация функции хранения, отделяющая аппаратное обеспечение от программного, которое.
Коммутатор без операционной системы (англ. Bare-metal switch, BMS, буквально — «коммутатор на голом железе») — вид сетевых коммутаторов, поставляемых без встроенного программного обеспечения, но с программной загрузочной средой ONIE, обеспечивающей установку совместимых сетевых операционных систем на базе Linux. Это даёт возможность потребителям заменять сетевую операционную систему и избежать привязки к поставщику оборудования, а также вписывается в тенденции построения программно-определяемых сетей.
Локальный поисковик или персональный поиск — программное обеспечение для быстрого поиска информации в файлах пользователя. Другими словами, это поисковая система, которая выполняет поиск не в интернете, а на запоминающем устройстве, подключённом к персональному компьютеру пользователя.
Менеджер окон — компьютерная программа, управляющая размещением и определяющая внешний вид окон в оконной системе графического пользовательского интерфейса. Оконные менеджеры работают «поверх» существующей оконной системы, обеспечивающей требуемую функциональность, такую как поддержку графического оборудования, манипуляторов, клавиатуры. Часто оконные менеджеры базируются на некоторой библиотеке пользовательского интерфейса.
Дополнительная память (англ. Extended memory, XMS) — память за пределами первого мегабайта адресного пространства IBM PC-совместимого компьютера с процессором Intel 80286 или более поздним.
Паравиртуализация (англ. Paravirtualization) — техника виртуализации, при которой гостевые операционные системы подготавливаются для исполнения в виртуализированной среде, для чего их ядро незначительно модифицируется. Операционная система взаимодействует с программой гипервизора, который предоставляет ей гостевой API, вместо использования напрямую таких ресурсов, как таблица страниц памяти, код, касающийся виртуализации, локализуется непосредственно в операционную систему. Паравиртуализация таким.
Аппаратный порт — специализированный разъём в компьютере, предназначенный для подключения оборудования определённого типа. Обычно портами называют разъёмы, предназначенные для работы периферийного оборудования, существенно разделённого от архитектуры компьютера (например, не называют портами разъёмы PCI/ISA/AGP/VLB/PCI-E-шин, разъёмы для оперативной памяти и процессора).
Подсистема хранения (англ. database engine, storage engine) — компонент СУБД, управляющий механизмами хранения баз данных, или библиотека, подключаемая к программам и дающая им функции СУБД.
Фьютекс (англ. futex, сокращение от англ. fast userspace mutex) — в программировании способ реализации семафоров и мьютексов POSIX в Linux. Впервые введены в ядро Linux с версии 2.5.7 (development); выработана стабильная семантика с 2.5.40; включаются в стабильные версии серии 2.6.x.
Динамический порт, или Эфемерный порт, — временный порт, открываемый соединением межсетевого протокола транспортного уровня (IP) из определённого диапазона программного стека TCP/IP.
Сигнату́ра ата́ки (вируса) — характерные признаки компьютерного вируса, используемые для их обнаружения. Большинство современных антивирусов, сканеров уязвимостей и систем обнаружения вторжений (СОВ) используют «синтаксические» сигнатуры, взятые непосредственно из тела атаки (файла вируса или сетевого пакета, принадлежащего эксплойту). Также существуют сигнатуры, основанные на поведении или аномалиях — например, слишком агрессивное обращение к какому-либо сетевому порту на компьютере.
Интернет-шлюз — как правило, это программное обеспечение, призванное организовать передачу трафика между разными сетями. Программа является рабочим инструментом системного администратора, позволяя ему контролировать трафик и действия сотрудников.
Полная виртуализация возможна исключительно при условии правильной комбинации оборудования и программного обеспечения. Например, она была невозможной ни в серии IBM System/360, за исключением IBM System/360-67, ни в ранних IBM System/370, пока IBM не добавила оборудование виртуальной памяти в своих System/370 в 1972 г.
Библиотека среды выполнения (также библиотека времени исполнения; англ. runtime library, RTL) — набор библиотек (модулей) той или иной системы программирования, поставляемых вместе с компилятором, операционной системой или средой разработки программ. Как следует из названия, RTL обеспечивает поддержку функций, предоставляемых системой программирования, во время выполнения программы от начала до её завершения.
Том (англ. volume; также логический накопитель, логический диск) — часть долговременной памяти компьютера, рассматриваемая как единое целое для удобства работы. В операционных системах том используется как единица пространства хранения, доступная для разметки (форматирования) под единую файловую систему (такую, как Ext4 или NTFS), либо передаваемая под управление менеджеру томов (такому, как LVM, VxVM, ASM). Таким образом, понятие тома обеспечивает для операционной системы абстракцию от физического.
Портлет — подключаемый, сменный компонент пользовательского интерфейса веб-портала (элемент веб-страницы).
Встраиваемая система управления базами данных — архитектура систем управления базами данных, когда СУБД тесно связана с прикладной программой и работает на том же компьютере, не требуя профессионального администрирования.
Удалённое резервное копирование данных — это сервис, предоставляющий пользователям систему для резервного копирования и хранения компьютерных файлов.
Устройство ввода-вы́вода — компонент типовой архитектуры ЭВМ, предоставляющий компьютеру возможность взаимодействия с внешним миром и, в частности, с пользователями.
Персональный межсетевой экран (файрвол или брандмауэр) — программное обеспечение, осуществляющее контроль сетевой активности компьютера, на котором он установлен, а также фильтрацию трафика в соответствии с заданными правилами. В отличие от межсетевого экрана уровня сети, персональный файрвол устанавливается непосредственно на защищаемом компьютере.
Сокет домена Unix (англ. Unix domain socket, UDS) или IPC-сокет (сокет межпроцессного взаимодействия) — конечная точка обмена данными, подобная Интернет-сокету, но не использующая сетевого протокола для взаимодействия (обмена данными). Используется в операционных системах, поддерживающих стандарт POSIX, для межпроцессного взаимодействия. Корректным термином стандарта POSIX является POSIX Local IPC Sockets. Подобно TCP-сокетам, эти сокеты поддерживают надёжную потоковую передачу (макрос SOCK_STREAM.
В области компьютеризации понятие программирования сетевых задач или иначе называемого сетевого программирования (англ. network programming), довольно сильно схожего с понятиями программирование сокетов и клиент-серверное программирование, включает в себя написание компьютерных программ, взаимодействующих с другими программами посредством компьютерной сети.
Рабочий каталог (англ. working directory, также текущий каталог или текущая директория) процесса — в информатике, каталог файловой системы, который используется для нахождения файлов, указанных только по имени либо по относительному пути.
Атрибут файла (англ. file attribute) — метаданные, которые описывают файл. Атрибут может находиться в двух состояниях: либо установленный, либо снятый. Атрибуты рассматриваются отдельно от других метаданных, таких как даты, расширения имени файла или права доступа. Каталоги и другие объекты файловой системы также могут иметь определённые атрибуты. Также существуют расширенные атрибуты файлов, хранящие данные другого типа.
Внутрисхемное программирование (англ. in-system programming, сокр. ISP, также in-circuit serial programming, ICSP) — технология программирования электронных компонентов (ПЛИС, микроконтроллеры и т. п.), позволяющая программировать компонент, уже установленный в устройство. До появления этой технологии компоненты программировались перед установкой в устройство, для их перепрограммирования требовалось их извлечение из устройства.
Автодополнение, автозавершение (англ. autocomplete) — функция в программах, предусматривающих интерактивный ввод текста (редакторы, оболочки командной строки, браузеры и т. д.) по дополнению текста по введённой его части.
Служба теневого копирования тома (англ. Volume Shadow Copy Service, VSS) — служба операционной системы Windows, позволяющая копировать файлы, с которыми в данный момент времени ведётся работа, и даже с системными и заблокированными файлами. Служба необходима для работы следующих программ: восстановление системы, программ архивации (Paragon Drive Backup, Acronis True Image, Leo Backup, R Drive Image и другие). Обычно служба запускается вручную.
Протокол маршрутизации — сетевой протокол, используемый маршрутизаторами для определения возможных маршрутов следования данных в составной компьютерной сети. Применение протокола маршрутизации позволяет избежать ручного ввода всех допустимых маршрутов, что, в свою очередь, снижает количество ошибок, обеспечивает согласованность действий всех маршрутизаторов в сети и облегчает труд администраторов.
Сигналы и слоты — подход, используемый в некоторых языках программирования и библиотеках (например, Boost и Qt) который позволяет реализовать шаблон «наблюдатель», минимизируя написание повторяющегося кода. Концепция заключается в том, что компонент (часто виджет) может посылать сигналы, содержащие информацию о событии (например: был выделен текст «слово», была открыта вторая вкладка). В свою очередь другие компоненты могут принимать эти сигналы посредством специальных функций — слотов. Система сигналов.
Обновление по воздуху предполагает разные методы распространения новых версий программ, настроек и обновлений ключей шифрования для телефонов, ресиверов и устройств зашифрованной передачи речи (двух-канальные рации с шифрованием). Важной вещью при таком обновлении является наличие главного места, откуда обновление получит каждый пользователь, который был согласен его установить. Пользователь может отказаться от такого обновления, однако «менеджер канала обновления» может удалить пользователя из канала.
Сервлет является интерфейсом Java, реализация которого расширяет функциональные возможности сервера. Сервлет взаимодействует с клиентами посредством принципа запрос-ответ.
Адаптер программного компонента — это тип программного обеспечения, которое логически располагается между двумя программными компонентами и устраняет различия между ними.
Резидентная база данных (англ. in-memory database, IMDB) — база данных, размещаемая в оперативной памяти. Резидентная СУБД — система управления резидентными базами данных, один из видов программных систем, работающих в парадигме резидентных вычислений (англ. in-memory computing).
Функция как услуга — архитектурный шаблон, предполагающий возможность вызова экземпляра управляющего кода без необходимости управления серверами и серверным приложением; ключевой компонент бессерверных вычислений. Одной из первых широко известных реализаций является представленный в 2014 году сервис AWS Lambda, аналогичные предложения среди публичных PaaS есть у Google (Cloud Functions), IBM (на Apache OpenWhisk в составе платформы Bluemix) и Microsoft (Azure Functions)
