Когато нещо не е наред в системата или просто искаме да проверим ефективността на инсталираната на компютъра антивирусна програма, обикновено натискаме трите заветни клавиша Ctrl, Alt, Del и стартираме диспечера на задачите, надявайки се да открием вирус в списъка с процеси. Но в него виждаме само голям брой програми, работещи на компютър, всяка от които е представена от собствен процес. И къде се крие вирусът тук? Днешната ни статия ще ви помогне да отговорите на този въпрос.

За да определите дали има вирус в даден процес или не, трябва много внимателно да разгледате списъка с процеси. В операционната Windows система Vista, не забравяйте да щракнете върху бутона „Показване на процесите на всички потребители“, в противен случай наистина няма да видите нищо. Първо, обърнете внимание на описанието на процеса в колоната „Описание“. Ако няма описание или е някак „тромаво“, това трябва да ви предупреди. В крайна сметка разработчиците на програми имат навика да подписват своите творения на разбираем руски или английски език.
След като отбелязахме процесите с подозрително описание, насочваме вниманието си към следващата колона - „Потребител“. Вирусите обикновено се стартират от името на потребителя, по-рядко под формата на услуги и от името на системата - SYSTEM, LOCAL SERVICE или NETWORK SERVICE.

Така че, след като откриете процес с подозрително описание, стартиран от името на потребител или от чието име не е ясно, щракнете с десния бутон върху него и в появилия се контекстно менюизберете "Свойства". Ще се отвори прозорец със свойствата на стартираната програма този процес. Обърнете специално внимание на раздела „Подробности“, където е посочена информация за разработчика, версията на файла и неговото описание, както и на елемента „Местоположение“ в раздела „Общи“ - тук е посочен пътят до работещата програма.

Ако пътят „Destination“ води до директорията Temp, Temporary Internet Files или друго подозрително място (например към папката на определена програма в директорията Program Files, но вие сте сигурни, че не сте инсталирали такава програма ), тогава ВЪЗМОЖНО този процес принадлежи на вируса. Но всичко това са само наши предположения, подробна информацияРазбира се, по-добре е да се обърнете към интернет. Има добри списъци с процеси на сайтовете what-process.com http://www.tasklist.org и http://www.processlist.com. Ако след всички търсения опасенията ви за подозрителния процес се потвърдят, можете да се радвате - вирус, троян или друг зловреден софтуер се е заселил на вашия компютър, който трябва спешно да бъде премахнат.

Но прозорецът със свойствата на файла, който стартира процеса от диспечера на задачите, може да не се отвори. Следователно, в допълнение към стандартни средства Windows трябва да използва различни полезни помощни програми, които могат да предоставят възможно най-много информация за подозрителния процес. Вече прегледахме една от тези програми - Starter (http://www.yachaynik.ru/content/view/88/).

В Starter разделът „Процеси“ предоставя изчерпателна информация за избрания процес: описание на програмата и името на файла, който стартира процеса, информация за разработчика, списък на модулите (софтуерни компоненти), участващи в процеса.

По този начин няма нужда да се задълбочавате в свойствата на файла, който стартира процеса - всичко е в пълен изглед. Това обаче не ви пречи да щракнете с десния бутон върху подозрителния процес и да изберете „Properties“, за да получите подробна информация за файла на процеса в отделен прозорец.

За да стигнете до програмната папка, която принадлежи на процеса, щракнете с десния бутон върху името на процеса и изберете „Explorer to process folder“.

Но най-удобната опция в Starter е възможността да започнете да търсите информация за процеса директно от прозореца на програмата. За да направите това, щракнете с десния бутон върху процеса и изберете „Търсене в интернет“.

След като получите пълна информация за файла, стартирал процеса, неговия разработчик, предназначение и мнение за процеса в Интернет, ще можете точно да определите дали това е вирус или мирна програма-работник. Тук важи същият принцип като в диспечера на задачите. Подозрителни са тези процеси и процесни модули, за които не е посочен разработчик, в чието описание няма нищо или пише нещо неясно, процесът или участващите от него модули се стартират от подозрителна папка. Например Temp, Temporary Internet Files или от папка в Program Files, но определено помните, че не сте инсталирали програмата, посочена там. И накрая, ако в Интернет ясно се казва, че този процес принадлежи на вирус, радвайте се - зловредният софтуер не успя да се скрие от вас!

Едно от най-често срещаните погрешни схващания сред начинаещите манекени се отнася до процеса svchost.exe. Написано е точно така и по никакъв друг начин: svshost.exe, scvhost.exe, cvshost.exe и други вариации на тази тема са вируси, маскирани като добър процес, който между другото принадлежи на Windows услуги. По-точно, един процес svchost.exe може да изпълнява няколко системни услуги наведнъж. Тъй като услугите операционна системаима много и тя се нуждае от всички, има и много процеси svchost.exe.

В Windows XP не трябва да има повече от шест процеса svchost.exe. Пет процеса svchost.exe са нормални, но седем са 100% гаранция, че зловреден софтуер се е настанил на вашия компютър. В Windows Vista има повече от шест процеса svchost.exe. Аз например имам четиринадесет от тях. Но в Windows Vista има много повече системни услуги, отколкото в предишна версиятази ОС.

Друга полезна помощна програма, Process Explorer, ще ви помогне да разберете кои услуги се стартират от процеса svchost.exe. Изтегляне най-новата версия Process Explorer можете от официалния уебсайт на Microsoft: technet.microsoft.com

Process Explorer ще ви даде описание на процеса, програмата, която го е стартирала, името на разработчика и много полезна техническа информация, която е разбираема само за програмисти.

Задръжте курсора на мишката върху името на процеса, който ви интересува, и ще видите пътя до файла, който стартира този процес.

А за svchost.exe Process Explorer ще покаже пълен списък с услуги, свързани с избрания процес. Един процес svchost.exe може да изпълнява няколко услуги или само една.

За да видите свойствата на файла, който стартира процеса, щракнете с десния бутон върху процеса, който ви интересува, и изберете „Свойства“.

Да търсите информация за процес в Интернет с помощта на търсачка Google системи, просто щракнете с десния бутон върху името на процеса и изберете Google.

Както и преди, подозрение трябва да бъде повдигнато от процеси без описание, без името на разработчика, стартирани от временни папки (Temp, Temporary Internet Files) или от папката на програма, която не сте инсталирали, а също така идентифицирани в Интернет като вируси.

И не забравяйте, че за да работят правилно програмите Process Explorer и Starter в Windows Vista, те трябва да се стартират с администраторски права: щракнете с десния бутон върху изпълнимия файл на програмата и изберете „Изпълни като администратор“.

Бих искал обаче да ви разочаровам, само много глупави вируси се разкриват в списъка с процеси. Съвременните автори на вируси отдавна са се научили да крият своите творения не само от очите на потребителите, но и от антивирусни програми. Следователно, в случай на инфекция, само добре написан зловреден софтуер може да ви спаси добра антивируснасъс свежи бази данни (и дори това не е факт!), наличност резервно копиес цялата ви информация и диск с Разпределение на Windowsза преинсталиране на системата. Независимо от това, все още си струва периодично да разглеждате списъка с процеси - никога не знаете какво scvhost или mouse.exe се крие там.

Докладвайте грешка

• 
  Неработеща връзка за изтегляне Файлът не отговаря на описанието Друго

е мощна безплатна помощна програма, предназначена да контролира в реално време всички различни процеси, заредени в операционната система. Първоначално е създаден от Sysinternals, но по-късно е придобит от Microsoft Corporation. Програмата показва най-подробно техническа информацияза всички работещи процеси, включително използването на цялата системна памет, заредени библиотеки и много друга техническа информация.

Активната област на програмата се състои от два отделни прозореца. Първият от тях показва списък на всички процеси, заредени в момента в системата, включително имената на потребителите и акаунтите, от които се изпълняват тези процеси. В зависимост от конкретния избран режим, долният прозорец може да показва различна допълнителна информация. Така че в първия случай (в режим на обработка) можете да видите всички отворени манипулатори, които се отнасят до избрания процес в най-горния прозорец. В DLL режим този прозорец показва всички динамични библиотеки, заети от процеса, както и картографираните в паметта файлове.

В допълнение, Process Explorer има мощни възможности за интелигентно търсене, които улесняват надеждното откриване на кой процес кой манипулатор е отворен или коя DLL е заредена.

Приложението е много полезно за решаване на различни проблеми, свързани с версията DLL библиотеки, както и откриване на изтичане на памет.

Трябва да се отбележи, че информацията, показвана от приложението, е много по-подробна от тази, предоставена от стандартния Windows Task Manager. Сред най-забележителните свойства на тази помощна програма е способността да се изясни кой процес принадлежи към определен прозорец на работния плот.

Process Explorer— работи на Microsoft Windows XP и по-високи операционни системи, включително 64-битови версии. Последното издание на програмата поддържа 64-битовия режим на системите Vista, Windows 7 - Windows 10. За тези версии на операционните системи се пуска саморазархивиращ се архив на програмата, след което се стартира процесът procexp64.exe.

Функции на програмата:

• Дървовидно показване на процесите.
• Възможността за разпознаване на системни процеси (независимо дали конкретен процес е система или трета страна).
• Показва икона, както и името на производителя за всеки процес.
• Графични визуални индикатори, както и променлив диапазон на натоварване на процесора.
• Функция за замразяване на всеки процес.
• Удобна възможност за управление (пауза, стартиране и спиране) на отделни нишки (нишки) на процеса.
• Функцията за показване на прозорец, който принадлежи на един или друг процес върху всички останали.
• Възможност за затваряне на цялото дърво на процеса наведнъж.
• Функцията в реално стандартно време променя приоритета, а също и ядрото, което ще изпълни този или онзи процес.
• Възможност за анализ на сертификата на файл на определена система. процес.
• Функция за заместване на стандартния диспечер на задачите, използвайки същите клавишни комбинации.
• За всички обекти, които имат ACL, има раздел „Сигурност“ (започвайки от версия 12-04).

Ето един мощен инструмент, който ви позволява да наблюдавате състоянието и всички процеси, които се изпълняват на вашата операционна система. Малък размер, ясен интерфейс, голяма функционалност - всички тези аспекти правят приложението Process Explorer да се откроява от другите аналози на стандартния диспечер на задачите.

Можете да видите списък с всички програми, работещи на вашия компютър, като използвате Диспечер Windows задачи . За да направите това, натиснете клавишната комбинация на клавиатурата. Ще видите списък с процеси и веднага ще възникне въпросът: защо е необходим всеки конкретен процес в този списък? Нека да разберем какво е то процесии как могат да бъдат управлявани.

процеси- това е всичко, което се случва в в моментавреме в системата. IN Диспечер на задачитеРазделът „Процеси“ показва всички работещи в момента програми. Процесите могат да бъдат „заредени“ или от потребителя, или от системата. Системните процеси започват, когато зареждане на Windows; потребителските процеси са програми, стартирани от самия компютърен потребител или стартирани от негово име. Всички системни процеси се изпълняват като МЕСТЕН ​​СЕРВИЗ, МРЕЖОВА УСЛУГАили СИСТЕМА (тази информацияналични в диспечера на задачите в колоната „Потребителско име“).

Диспечерът на задачите ви позволява само да видите списъка с процеси и да прекратите тяхната работа. За да направите това, изберете името на процеса в списъка и щракнете върху бутона „Край на процеса“. Това означава, че програмата, която притежава процеса, е прекратена. Не е възможно обаче да видите информация за определен процес в диспечера на задачите.

За управление на процесите на Windows бих препоръчал използването на по-мощна помощна програма, наречена . това е страхотно безплатна програма, което също не изисква инсталация. Изтеглете го, след това стартирайте файла от папката и изберете раздела „Процеси“ в горната част.
показва всички процеси в реално време, предоставяйки изчерпателна информация за всеки един от тях. Щраквайки с десния бутон върху интересуващия ни процес и избирайки „Свойства на файла“, можем да разберем производителя на софтуерния модул, версията, атрибутите и друга информация. Контекстното меню на процеса също ви позволява да отидете в папката на програмата, да прекратите процеса или да намерите информация за него в Интернет.

Как да се отървете от вируси на вашия компютър с помощта на Starter?

Много често вируси и други злонамерени програми се маскират като различни процеси. Ето защо, ако забележите, че нещо не е наред с компютъра ви, стартирайте антивирусно сканиране. Ако това не помогне или вашата антивирусна програма изобщо откаже да стартира, отворете диспечера на задачите и вижте всички работещи процеси.

Обърнете специално внимание на процеса, ако той се изпълнява като потребител и консумира твърде много ресурси (колоните „CPU“ и „Memory“). Ако намерите очевидно подозрителен процес в списъка, прекратете го и вижте как работи системата ви след това. Ако се съмнявате или не знаете към коя програма принадлежи изпълняваният процес, по-добре е да отидете в Google или Yandex, да въведете името на процеса в лентата за търсене и да намерите информация за него.

Вграденият диспечер на задачите в Windows, разбира се, ви позволява да деактивирате процесите, но, за съжаление, той предоставя много малко информация за тях и затова е доста трудно да се разбере дали процесът е вирусен. Програмата Starter е много по-полезна в това отношение.

И така, за да намерите и премахнете вирусен процес от вашия компютър, направете следното::

1. Стартирайте програмата и отидете на раздела „Процеси“.
2. Откриваме процес, който ни прави подозрителни. Щракнете с десния бутон върху него и изберете „Свойства на файла“. Например, аз избрах файла svchost.exe. В прозореца, който се отваря погледнете фирмата производителна това приложение:
Факт е, че практически всеки процес се подписва от неговия разработчик. Но вирусните приложения обикновено не са подписани.
В моя случай файлът svchost.exeподписан от фирмата Microsoft Corporationи затова можем да му се доверим.
3. Ако избраният процес се окаже, че не е подписан от никого или е подписан от някаква странна компания, тогава отново щракнете с десния бутон върху името на този процес и изберете „Търсене в Интернет“ - „Google“ (Интернет на компютъра трябва да бъде свързан).
4. Ако сайтовете, предложени от Google, потвърдят, че този процес е вирус, тогава трябва да отидете в папката на този процес (за да направите това, в Starter, в контекстното меню изберете елемента „Explorer to process folder“) . След това, след завършване на процеса, изтрийте файла туктози процес.
Ако все още се съмнявате дали е вирус или не (може би не сте успели да потърсите информация за него в Google поради липса на интернет), тогава можете просто да промените разширението от този файл(например от .exe в .txt) и го преместете в друга папка.

това е всичко Днес научихме какво представляват процесите на Windows и какви помощни програми могат да се използват за тяхното управление. Освен това вече знаем как да се отървем от вируси, маскирани като различни процеси.

Процесите се делят на:

система(програми и помощни програми, които са компоненти на операционната система и всяко аварийно прекъсване на една от тях може да доведе до срив в Windows).

Анонимен(те са изключително редки, те са програмни файлове, които се стартират като спомагателни поради потребителска манипулация, без да се иска разрешение за стартиране).

Мрежа/локално(процесите в диспечера на задачите, свързани с локалната мрежа, интернет и регистъра, са важни програми и компоненти на Windows).

По поръчка(програми, които се стартират от потребителя).

Възможно ли е да се определи "ляв" процес?

Не винаги е възможно да се определи „левият“ процес. Ако човекът, който го е създал и старателно го е прикрил, е малко вероятно дори опитен компютърен инженер да може да го изчисли, без да получи намек за този факт и подробно проучване на поведението на всеки процес.

Но човек, който е сигурен, че на компютъра виси допълнителна програма и дори лошо прикрита, ще може да я разбере за няколко минути.

Как да скрия процес в диспечера на задачите?

Най-лесният вариант за скриване на процес е да преименувате основния изпълним файл. Но си струва да помислите как работи програмата и дали създава допълнителни процеси, които я издават.

Научете как да скриете процеса на Windows Task Manager

Разбира се, анонимността на изпълнението на някои програми ще направи възможно проследяването на онези, които претрупват прекомерно персоналния компютър. Такова наблюдение е особено важно, когато няколко потребители имат достъп до компютъра.

Също така, желанието да се скрие процесът възниква сред тези, които инсталират своя собствена програма и се стремят да попречат на напредналите потребители да могат да открият присъствието му по прости начини.

Всяко изпълнение на програма е процес, който се нуждае от определена част RAM. Процесите се разделят на:

• системен;
• анонимен;
• обичай;
• свързани с интернет.

Не се препоръчва на тези, които нямат практически опит и необходимите технически познания, да се намесват в системните процеси, тъй като подобно неразумно прилагане може да предизвика крайно нежелани последствия. Една от тези последици може да бъде неуспехът на последващото стартиране на операционната система.

Можете да се научите да скривате всякакви потребителски програми и не е нужно да полагате огромни усилия, просто внимателно прочетете нашите препоръки. Обръщаме внимание на факта, че дори напреднал инженер, който не е наясно с вашите „творчески дела“, няма просто да забележи „левия“ процес.

Алгоритъм на действията

Ако трябва да скриете софтуерно приложение, първо трябва да разберете дали е просто, дали стартира допълнителни процеси, които могат просто да го издадат, без значение как се опитвате да скриете програмата.

Ако наистина вашата програма е проста, ако се показва в диспечера на задачите като един ред, предлагаме най-лесния начин да скриете процеса. За да направите това, просто трябва да го преименувате.

Така че ще ви помогнем да разберете как да преименувате процеса в диспечера на задачите, така че програмата да продължи да функционира перфектно в анонимен режим.

Стъпка 1

Първоначално трябва да отидете в папката, където се намира файлът за изпълнение на конкретна програма. Ако знаете къде се намира, използвайте обичайния си „маршрут“, като отворите прозореца „Компютър“, отидете до системното устройство C и след това отидете до основната му папка.

Ако не знаете къде е скрит файлът за изпълнение, няма значение, просто трябва да намерите този процес в списъка, показан в диспечера на задачите, щракнете с десния бутон върху него и след това изберете реда „Отворете файловото хранилище местоположение” в прозореца, който се отваря.

Стъпка 2

След тези действия папката, която търсите, ще се отвори и всичко, което трябва да направите, е да намерите файла за изпълнение в нея. Няма да е трудно да търсите, тъй като този файл има точно същото име като в списъка с процеси в диспечера на задачите. Освен това този файл има разширение „exe“.

Стъпка 3

За да преименувате файл, щракнете отново с десния бутон върху него и след това изберете реда „Преименуване“. Сега, след като сте успели да зададете ново име на вашето софтуерно приложение, отворете „Диспечер на задачите“, Вижте, че това преименуване се показва и там.

Разбира се, името, което измислите, ще определи колко „завоалирана“ ще стане вашата програма за другите потребители на компютри. Непознат процес с ново име ще събуди подозрение още по-бързо и ще принуди техническия инженер да разбере каква програма работи на компютъра.

Поради тази причина много опитни потребители препоръчват да се измислят имена, които на пръв поглед не предизвикват подозрение.

По-специално, отворен Браузър ChromeСъздава множество процеси едновременно, точно като Windows. Препоръчително е да вземете едно и също име на процес, но тъй като системата няма да позволи два процеса с едно и също име да функционират едновременно, се препоръчва да използвате малък трик при преименуване. Вместо някои английски букви в името, сякаш случайно са написани руски букви. Външно е невъзможно да се разграничат руските букви от английските, но системата ще ги различи и следователно ще позволи на програми с условно идентични имена да работят.

Резултати

Така че, както забелязахте, можете да направите някое софтуерно приложение анонимно без много затруднения. Разбира се, все още има доста напреднали методи, които ви позволяват по-надеждно да скриете всеки процес, но те се основават на писане на сложни кодове и умения за програмиране. Ако нямате предвид толкова сложни цели, тогава скриването на работещи софтуерни приложения чрез преименуването им е напълно приемлива опция.