Диспетчер задач: подозрительные процессы. Как найти и удалить вирус?
Некоторые вирусные объекты достаточно тщательно скрывают свою деятельность от пользователя. Иногда это происходит настолько качественно, что даже опытный человек не может до конца понять, важная программа это или скрывающийся вирусный объект, который нужно немедленно ликвидировать.
Благодаря Диспетчеру задач, некоторую часть вирусных программ можно отыскать как раз там, в разделе процессов, затем просмотреть их расположение на компьютере и благополучно их удалить. Вроде все легко, но есть одно, но. Как же отличить необходимую программу от того же вируса, ведь по сути они ничем не отличаются. Да и сделав неправильное удаление, можно и вовсе ухудшить работу системы. В данной статье речь пойдет о подозрительных процессах (программах) в диспетчере задач и о правильном удалении их из системы.
Дерево процессов
В Windows процессы знают только своих родителей, а более древних предков не знают.
Например у нас есть такое дерево процессов:
Если мы завершим дерево процессов “Процесс_1“, то завершатся все процессы. Потому что “Процесс_1” знает про “Процесс_2“, а “Процесс_2” знает про “Процесс_3“.
Если мы вначале завершим “Процесс_2“, а затем завершаем дерево процессов “Процесс_1“, то завершится только “Процесс_1“, так как между “Процесс_1” и “Процесс_3” не останется связи.
Например, запустите командную строку и выполните команду title parrent чтобы изменить заголовок окна и start cmd чтобы запустить второе окно командной строки:
Измените заголовок второго окна на child и из него запустите программу paint:
В окне командной строке child введите команду exit, окно закроется а paint продолжит работать:
После этого на рабочем столе останутся два приложения, командная строка parrent и paint. При этом parrent будет являться как бы дедом для paint.
Запустите “Диспетчер задач”, на вкладке “Процессы” найдите процесс “Обработчик команд Windows”, разверните список и найдите “parrent“. Затем нажмите на нём правой копкой мыши и выберите “Подробно”:
Вы переключитесь на вкладку “Подробно” с выделенным процессом “cmd.exe“. Нажмите правой кнопкой по этому процессу и выберите «Завершить дерево процессов»:
Окно командной строки Parrent завершится а Paint останется работать. Так мы убедились что связи между первым процессом и его внуком нет, если у внука нет непосредственного родителя.
Процесс svchost.exe
Очень часто большую нагрузку на процессор создает процесс svchost.exe. Он используется многими системными службами Windows, но под него могут «маскироваться» и вирусы. При этом, для вирусов характерным является запуск этого процесса от имени пользователя компьютера. Если в своем диспетчере устройств Вы обнаружили такой случай, значит Ваш компьютер 100 % заражен, поскольку «настоящий» svchost.exe запускается только от имени системы и некоторых ее служб.
Еще один признак использования svchost.exe вредоносной программой — его запуск через автозагрузку Windows. Туда он тоже может попасть только под воздействием вирусов. Обязательно проверьте список автозагрузки компьютера на наличие в нем записей с svchost.exe (как это сделать см. в предыдущем пункте).
Но далеко не всегда высокая активность svchost.exe бывает вызвана вредоносными программами. Служба обновления Windows, например, также использует этот процесс и способна создавать большую нагрузку. Чтобы это проверить, необходимо в диспетчере задач Windows щелкнуть правой кнопкой мышки по процессу svchost.exe, который больше всего нагружает процессор, и в появившемся контекстном меню выбрать пункт «Перейти к службам». Откроется список служб, в котором будут выделены те из них, которые причастны к запуску данного процесса.
Если среди них будет служба обновления Windows, значит с большой долей вероятности она и является причиной проблемы. Решить ее можно несколькими способами:
1. Ждать, ничего не предпринимая. Когда закончится загрузка и установка обновлений Windows, проблема исчезнет сама собой. Именно этот путь выхода из ситуации является наиболее предпочтительным. Но если компьютер сильно «тормозит» и без него в данный момент нельзя обойтись, можно попробовать другие варианты.
2. Разрешить процессу svchost.exe использовать только часть ядер процессора. Делается это так:
• щелкнуть правой кнопкой мышкой по «тяжелому» процессу svchost.exe в диспетчере задач Windows;
• в появившемся контекстном меню выбрать пункт «Задать соответствие»;
• в открывшемся окне оставить галочки только возле одного или двух ядер процессора (в зависимости от того, сколько их у процессора вообще) и нажать кнопку «ОК».
3. Полностью отказаться от загрузки и установки обновлений Windows. Делать это не рекомендуется, но если Вас не сильно волнует безопасность компьютера, то можно. С этой целью достаточно отключить системную службу обновления Windows, действуя следующим образом:
• на клавиатуре нажать комбинацию клавиш Win+R, в появившемся окне напечатать команду services.msc , после чего нажать клавишу Enter;
• в открывшемся списке системных служб найти службу с названием «Центр обновления Windows» (см. ближе к концу списка) и дважды щелкнуть по ней левой кнопкой мышки;
• откроется окно, в котором в выпадающем списке «Тип запуска» выбрать вариант «Отключена», затем нажать кнопку «Применить»;
• закрыть все открытые окна и перезагрузить компьютер.
НАПИСАТЬ АВТОРУ
Удалите сторонние программные службы из автозагрузки Windows.
- Откройте вкладку «Процессы» в диспетчере задач.
- Разверните службу, которую нужно отключить, щелкнув ее стрелку.
- Щелкните службу правой кнопкой мыши и выберите « Открыть службы» .
- Затем дважды щелкните службу, которую необходимо отключить, в окне «Службы», чтобы открыть окно ее свойств.
- В раскрывающемся меню Тип запуска выберите Отключено .
- Выберите параметр « Применить» и нажмите « ОК», чтобы закрыть окно.
Хотите избавиться от повторяющихся процессов в Windows 10? Вот лучший инструмент, который сделает это за вас.
Многие из сторонних программных служб, перечисленных в разделе фоновые службы, могут быть частью запуска Windows. Таким образом, кнопка Завершить задачу только временно остановит эти службы, пока вы не перезапустите Windows.
Поэтому вам нужно отключить некоторые службы, перечисленные в фоновых процессах, чтобы они не запускались снова во время запуска системы.
Это удалит выбранную службу из автозагрузки Windows. Прежде чем отключить службу, обратите внимание на описание в окне «Службы», в котором приведены дополнительные сведения о ней. Затем выключите его, если он вам действительно не нужен.
- Утилита настройки системы позволяет быстро отключить в Windows все службы сторонних разработчиков, что, безусловно, уменьшит количество фоновых процессов, перечисленных в диспетчере задач.
- Чтобы открыть конфигурацию системы, нажмите сочетание клавиш Windows + R.
- Выберите вкладку Services, показанную ниже.
- Установите флажок Скрыть все службы Microsoft .
- Нажмите кнопку Отключитьвсе .
- Нажмите кнопку Применить .
- Нажмите кнопку ОК , чтобы закрыть окно.
- Затем нажмите кнопку « Перезагрузить» в открывшемся диалоговом окне.
Также обратите внимание, что на вкладке «Общие» есть параметр « Загрузить элементы автозагрузки» , который позволяет быстро удалить все сторонние программы из автозагрузки. Выберите параметр « Выборочный запуск» и снимите флажок « Загружать элементы запуска» .
Не удается запустить утилиту настройки системы? Ознакомьтесь с этим руководством, чтобы оно снова заработало.
Функция обновления файлов
Завершив отключение ненужных служб, следует приступить к отключению функций. Такой комплексный подход позволит повысить общее быстродействие и разгрузить процессор.
Разработчиками Windows 10 была внедрена функция быстрого обновления файлов ОС, которая работают по принципу, схожему с работой торрентов.
Это означает, что загрузка обновлений Windows может загружаться не только с официального сайта Майкрософт, но и со сторонних ПК, которые уже были обновлены. Данная функция полезна для быстрого обновления системы, но в то же время после обновления компьютер пользователя становится раздающим, то есть с него начинается загрузка потока файлов для других пользователей. Также стоит понимать, что любая возможность скачивать что-либо с компьютера, является слабым местом в безопасности системы, чем могут воспользоваться третьи лица.
Для отключения функции обновления файлов, необходимо выполнить следующие шаги:
Шаг 1. Нажимаем ПКМ по кнопке «Пуск» и выбираем пункт «Параметры».
Шаг 2. Внизу списка открываем пункт «Обновления и безопасность».
Шаг 3. Прокручиваем бегунок до середины пункта «Центр обновления Windows» и выбираем «Дополнительные параметры».
Шаг 4. Прокручиваем окно вниз и выбираем пункт «Оптимизация доставки».
Шаг 5. Отключаем загрузку с других компьютеров в соответствующем пункте.
Диспетчер задач Windows XP – стандартные процессы
witalii_admin
Один из способов обнаружения вирусов на ПК – просмотр запущенных процессов в Диспетчере задач. Не всегда антивирусные программы справляются на 100% с возложенными на них задачами. Иногда приходится отлавливать вирусы вручную.
Многие вирусы скрывают своё присутствие в Диспетчере задач – они невидимы. В этом случае на помощь приходят, альтернативные диспетчера задач. Любой из них можно скачать в сети и пользоваться. Встроенный в Windows, собственный Диспетчер задач малоинформативен и скрытых процессов не показывает. Сторонние же, подобные утилиты, лишены этого недостатка и показывают скрытые процессы.
Если в стандартном диспетчере нет процессов, которые отобразились в окне анализа альтернативной утилиты, то нужно уделить тщательное внимание этим процессам, возможно, это и есть вредоносные приложения. Нужно посмотреть изготовителя процесса, обычно он всегда указывается чётко и ясно, а также, сколько ресурсов потребляет этот процесс.
Если много, по сравнению с другими, то это уже крайне подозрительно.
Подобный осмотр нужно делать при выключенных приложениях, что бы оставались стандартные процессы и вирусы, само собой. Лучше всего это сделать в Безопасном режиме.
Очень хорошо, когда вы только установили Виндовс, сделать снимок страницы Диспетчера задач со стандартными процессами, что бы иметь возможность сравнить отличия.
Снимок — имеется ввиду сохранённый файл со скрином, а не снимок фотокамерой ( производится посредством нажатия кнопочки Print Screen на клавиатуре, кто не знает, как это делается, спрашивайте в х).
Итак, рассмотрим стандартные процессы:
- Sistem – системные процессы без расширения ехе .Если такой процесс у вас с расширением – это вирус замаскировался под системный процесс.
- Smss.exe – процесс управляющий запуском учётных записей пользователей. Если у вас включен, в данный момент один сеанс учётной записи, а процессов Smss.exe больше — делайте соответствующие выводы.
- Csrss.exe. – процесс руководящий созданием окон, он должен быть, всегда один.
- Winlogon.exe. – отвечает за авторитарный вход пользователя в систему. Только один.
- Services.exe. – обеспечивает работу служб операционной системы, запускается от имени System, также один.
- Lsass.exe. — обеспечивает безопасность ОС, всегда один.
- Svchost.exe. – запуск Dll-файлов (динамически подключаемая библиотека, сюда относятся драйвера, элементы управления ActiveX) имя пользователя: LOCAL SERVICE, NETWORK SERVICE и SYSTEM, должно быть максимум шесть.
- SYSTEM – отвечает за раскладку клавиатуры и языковую панель на панели задач. Должен быть один.
- Explorer.exe. – управляет рабочим столом ( ярлыками, иконами и т.д), его интерфейсом. Запускается один раз.
- Spoolsv.exe. – ставит объекты в очередь на печать. Один. Нет принтера – можно и отключить, процесс не критический.
- Wdfmgr.exe. – отвечает за корректную работу драйвера медиа плейера, тоже не критичный процесс.
- Taskmgr.exe. – сам Диспетчер задач
- Ну и самый последний — Бездействие системы. Показывает свободные ресурсы.
В обычном режиме у вас кроме этих процессов, будут процессы запущенных приложений, драйверов. Чтобы отключить подозрительный процесс , выделяем его и нажимаем Остановить процесс.
Это дин из способов, более безопасный, чем скажем, экспериментировать с системным реестром.
Откуда на компьютере ненужные программы
Лишние программы попадают на компьютер несколькими путями:
- Подарок производителя. Как правило, это либо собственные разработки производителя, либо программные продукты, распространяемые по соглашению с ним.
- Попутный товар. Одним из любимых способов назойливых программ проникнуть на компьютер является «совместная инсталляция» с нужным продуктом. Например, незаметная «галочка» в одном из окон во время установки купленного пакета, разрешающая также инсталлировать дополнительный браузер, сделать его основным, повесить ярлык и так далее.
- Дополнения к пакету. Дополнительные драйверы, опции, службы, которые, по мнению производителя, могут понадобиться пользователю, а потому устанавливаются «на всякий случай». Сюда же можно отнести лишние службы Windows 7.
- Нерабочие версии. Демоверсии или программы с истекшим сроком лицензии, версии с обрезанным функционалом, устаревшие или повреждённые программные продукты. Часто эти приложения лишь занимают постоянную и оперативную память, а также регулярно отвлекают предложением купить, обновить или зарегистрироваться.
- Паразиты. Вредоносное программное обеспечение, шпионские программы, рекламные приложения. Обычно проникают на компьютер без «приглашения» и стараются не показывать себя слишком явно.
Даже если места на жёстком диске и запаса оперативной памяти достаточно, лишние приложения стоит удалить из соображений безопасности. Многие из них, стремясь настроить свою работу на интересы и предпочтения пользователя, собирают персональную информацию и передают её на свои серверы. Иногда этот канал становится прозрачным также и для вредоносного программного обеспечения, способного нарушить работу компьютера.
Командная строка & PowerShell
В поиске введите Командная строка и выберите Запуск от имени администратора. Выполните команду tasklist, чтобы посмотреть все процессы. И найдите Имя образа ненужного процесса.
Давайте завершим работу ненужного приложения и его процессов. Например, выполните команду: taskkill /IM Skype.exe /f. Мгновенно все процессы приложения Skype были завершены.
Возможно, Вам нужно экспортировать процессы в текстовый файл. Воспользуйтесь командой: tasklist > %userprofile%DesktopПроцессы_Дата.txt. Файл будет сохранён на рабочем столе.
Или в CSV-таблицу следующей командой: tasklist /v /fi «sessionname eq console» /fo csv > %userprofile%DesktopПроцессы.csv. Открывается с помощью текстового процессора Excel.
В оболочке Windows PowerShell выполните команду: Get-Process. Найдите ProcessName и вставьте его в команду: Stop-Process -processname Skype. И приложение Skype будет закрыто.
Некоторые параметры таблицы требуют расшифровки. Эти данные в диспетчере задач не отображаются. Особенно время, которое затраченное процессором на его обработку.
Handles Количество дескрипторов, открытых процессом. NPM(K) Объём не выгружаемой памяти, используемой процессом, в килобайтах. PM(K) Объём выгружаемой памяти, используемой процессом, в килобайтах. WS(K) Размер рабочего набора процесса в килобайтах. Состоит из страниц памяти, на которые ссылался процесс. VM(M) Объём виртуальной памяти, используемой процессом, в мегабайтах. Включает хранение файлов подкачки на диске. CPU(s) Время, которое процесс использовался всеми процессорами, в секундах. ID Просто ID процесса (PID). Для управления процессом в Windows PowerShell. Отключать ненужные процессы — это категорически неправильно. Они будут повторно запущены, в крайнем случае после перезагрузки ПК. Надёжней предотвратить автозагрузку неиспользуемых приложений. Старайтесь отключить или удалить все ненужные программы.
Не составляет труда посмотреть процессы, и отключить ненужные, средствами ОС Windows 10. Как в удобном интерфейсе, так и консольном режиме. К сожалению, это только кратковременно сможет Вам помочь. Обязательно нужно обладать правами администратора устройства.