Windows procesi igraju značajnu ulogu u pravilnom radu vašeg računala ili prijenosnog računala. Neki, poput csrss.exe i winlogon.exe, toliko su ključni da ako ih greškom odlučite prekinuti, možete završiti s rušenjem uređaja. Autori zlonamjernog softvera iskorištavaju takvu kritičnost da zaraze zdrave Windows sustave. Pretpostavka je da se virusi, adware, špijunski softver i trojanci mogu označiti bilo čim – čak i nazvani prema standardnim procesima sustava Windows.
U nastavku je nekoliko vodećih procesa u sustavima Windows 11 i 10 koje korisnici mogu zamijeniti za zlonamjerne procese istog ili sličnog imena.
Kako saznati je li Windows proces legitiman?
Postoje dva načina za provjeru je li Windows proces legitiman ili izvor zlonamjernog softvera: putem njegovih svojstava aplikacije i korištenjem vanjskih alata kao što je CrowdInspect od CrowdStrike.
Provjera legitimnosti Windows procesa kroz njegova svojstva
Sve ovlaštene datoteke procesa Windows povezane su s Microsoft Corporation, službenim programerom/programerom aplikacije ili ugrađenim Microsoftovim računom kao što je TrustedInstaller.exe, koji upravlja datotekama, poput WindowsApps.
Da biste utvrdili je li proces u sustavu Windows 11 ili 10 legitiman, a ne izvor zlonamjernog softvera, morate pogledati ispod haube u njegovim svojstvima aplikacije. Idite na karticu “Detalji” i pronađite službenog vlasnika autorskih prava za proces. Ako je u pitanju Microsoft, programer aplikacije ili TrustedInstaller, spremni ste za početak. Također u sustavu Windows 11/10 možete provjeriti karticu “Digitalni potpisi” u svojstvima procesa. Ovdje ćete pronaći službene digitalne potpise s najnovijim vremenskim oznakama koji vam daju dodatni nivo sigurnosti.
Budući da potpisivanje upravljačkog programa za ove procese zahtijeva standardna Microsoftova dopuštenja (štoviše, svaki neovlašteni pristup korijenskom korijenu uređaja spriječen je UEFI sigurnim pokretanjem), sada je nemoguće da autori zlonamjernog softvera lažiraju digitalne potpise u sustavu Windows 11.
Od svakodnevnih do kritično važnih, kao što su “services.exe” ili “svchost.exe”, svi procesi sustava Windows 11 digitalno su potpisani vremenskim oznakama. Sa svakim uspješnim ažuriranjem sustava Windows, ova se provjera autentičnosti ponovno potvrđuje.
S druge strane, u svojstvima procesa Windows 10 mogla bi u potpunosti nedostajati kartica Digitalni potpisi. Također, neki od procesa možda neće ispravno prikazati informacije o autorskim pravima.
Međutim, čak i u sustavu Windows 10, kritični unutarnji procesi sustava poput Winlogon.exe uvijek prikazuju ove informacije. Autentičnost softvera možete provjeriti na druge načine. Osim toga, ako instalirate nepotpisane upravljačke programe u Windows 10 ili 11, oni neće prikazati nikakve digitalne potpise nakon naknadnog ponovnog pokretanja.
Provjera legitimnosti Windows procesa pomoću CrowdInspecta
U sustavima Windows 10 i Windows 11 možete provjeriti autentičnost procesne datoteke putem vanjske softverske aplikacije: CrowdInspect by CrowdStrike. CrowdInspect je besplatni alat za provjeru procesa u stvarnom vremenu koji se temelji na hostu i koji skenira pozadinski zlonamjerni softver pomoću mehanizama za otkrivanje kao što je VirusTotal.
- Preuzmite CrowdInspect ZIP datoteku sa službene veze i kliknite na raspakirani program da biste je pokrenuli. Ne morate ništa instalirati.
- Prihvatite licencni ugovor i prijeđite na zaslon na kojem možete napraviti hibridnu analizu svih pozadinskih procesa na svom Windows uređaju. Upotrijebite ugrađeni API ključ i kliknite “U redu”.
- Pričekajte dok CrowdInspect ne ispuni vaš zaslon cijelim skupom pozadinskih programa i procesa na vašem Windows uređaju.
Status programa možete provjeriti pomoću simbola u boji. Svaka stavka koja je čista označena je zelenom ikonom. Ako postoje sumnje, vidjet ćete upitnike pored ikone. Za one stavke s prijetnjom niske ozbiljnosti postoji žuta ikona. Stavke s prijetnjom visoke ozbiljnosti označene su crvenom ikonom. Nećete vidjeti nikakve žute ili crvene ikone ako je vaš uređaj zdrav.
- Da biste dodatno provjerili da nema problema sa zlonamjernim softverom, desnom tipkom miša kliknite proces i kliknite “Prikaži rezultate HA testa”. Ne biste trebali primijetiti nikakve pogreške, što je siguran pokazatelj da nemate posla s zlonamjernim softverom.
Popis Windows procesa koji podsjećaju na štetne programe, ali to nisu
Explorer.exe
Univerzalni program Windows File Explorer, explorer.exe, lako je dostupan s programske trake i radne površine. Njegova primarna svrha je da služi kao upravitelj datoteka za sve datoteke i mape vašeg Windows 11/10 uređaja. Zbog svoje vitalne važnosti, program explorer.exe omiljena je meta napadača.
Explorer.exe zlonamjerni softver obično se pojavljuje kao trojanci, ransomware (osobito e-mail) i Adobe Flash datoteke. Pravi program se uvijek nalazi u “C:\Windows”, a duplikati se mogu pojaviti na D pogonu, programskim datotekama, skrivenim datotekama ili bilo kojem drugom mjestu na računalu. Ako na vašem uređaju postoje dvije do tri instance explorer.exe, nema razloga za brigu ako svi imaju valjane digitalne potpise i lokacije. Kada postoji više procesa koji troše CPU, identificirajte lažne u CrowdInspectu, a zatim kliknite desnom tipkom kako biste “ubili proces”.
lsass.exe
lsass.exe je skraćenica od ”Local Security Authority Subsystem Service”, koja se odvija iza vaše provjere autentičnosti Windows korisnika. Osim zlonamjernog softvera, ne biste trebali prekidati izvorne procese, jer će to rezultirati gubitkom pristupa administratorskim i lokalnim računima, što će potaknuti ponovno pokretanje uređaja.
Uobičajeni način na koji autori zlonamjernog softvera prikrivaju lsass je zamjenom malog slova “l” velikim “i” ili velikim “L”. Pazite na bilo kakve namjerne pravopisne pogreške. Također, svi nevažeći digitalni potpisi i datoteke koje se nalaze izvan datoteke “C:\Windows\System32” očito su darivanje. Zaustavite lažne lsass procese iz upravitelja zadataka. Ako niste sigurni je li to “l” ili “i”, učinite isto iz CrowdInspecta. Više valjanih lsass instanci je u redu i ne treba ih mijenjati.
RuntimeBroker.exe
RuntimeBroker.exe siguran je Microsoftov proces čiji je posao upravljanje dopuštenjima za sve aplikacije preuzete iz Microsoft Storea. Provjerava autentičnost programa kao što je aplikacija Fotografije. Ako bilo koja aplikacija ne pripada vašem Windows uređaju, Runtime Broker vas upozorava tako što troši puno dodatne memorije.
Ako je vaš Windows uređaj zaražen virusom RuntimeBroker.exe, vidjet ćete njegovu prisutnost na drugim mjestima računala osim na “C:\Windows\System32”. Kako program nije legitiman, curenje memorije će naglo narasti, opterećujući vaš CPU. Također ćete primijetiti nevažeći digitalni potpis za lažne instance. Otvorite upravitelja zadataka. Kliknite više važećih instanci Runtime Brokera i kliknite “Završi zadatak”. Ovo će okončati sve probleme s određenom aplikacijom. Za lažne unose RuntimeBroker.exe, ukinite ih iz CrowdInspecta.
Winlogon.exe
Kada je riječ o pozadinskim procesima u sustavu Windows, u shemi stvari nema ništa važnije od winlogon.exe. Ne samo da upravlja procesom prijave, već i učitava korisničke profile, kontrolira čuvar zaslona i povezuje se s više mreža. Nalazi se na “C:\Windows\System32.”
Obično špijunski softver ili alat za keylogger, winlogon.exe je vrlo opasan zlonamjerni softver koji može uzrokovati rušenje sustava, što je lako prepoznati. Ako imate uključen Windows Defender, upozorit će vas da odmah izbrišete datoteku i prekinete sve korištene vektore (e-pošta, web-preglednik). Sigurna izvršna datoteka winlogon.exe neće imati više od jedne instance u CrowdInspectu. Ostale lažne instance treba izbrisati po dolasku pomoću prijedloga Windows Defendera.
Svchost.exe
Svchost.exe se odnosi na Windows “domaćina usluga” ili ”Service Host”, zajednički servisni proces koji služi kao ljuska za učitavanje raznih Windows usluga. Ovisno o broju otvorenih aplikacija, obično postoji mnogo instanci svchost.exe koje se pokreću kao pojedinačni procesi.
Naići ćete na epizodu zlonamjernog softvera svchost.exe kada pronađete zaštićenu datoteku ili program blokiran dupliciranim procesom ili s varijantama pravopisa kao što je “svhosts.exe”. Uglavnom su to ransomware ili alati za bankovne prijevare. Njihovi izvorni vektori uključuju PDF datoteke, ZIP datoteke i JavaScript. Ovi trojanci su obično prijetnja niske razine, ali ih trebate ukloniti što je prije moguće. Standardni antivirusni alati i Windows Defender opremljeni su za brisanje svih instanci hosta usluge koje se ne nalaze u “C:\Windows\System32”.
OfficeClickToRun.exe
Ako ste koristili alate sustava Office, kao što su Word, Excel ili PowerPoint, naišli ste na izvršnu datoteku pod nazivom OfficeClickToRun.exe. Njegov je posao pokrenuti najnovije verzije Microsoft Officea na vašem uređaju i upravljati ažuriranjima. Čak i kada nije zlonamjerni softver, OfficeClickToRun.exe može zahtijevati veliku količinu memorije na vašem procesoru. Međutim, ako povremeno brišete privremene datoteke, to je mnogo manje opterećenje.
Je li izvršna datoteka prisutna na bilo kojem drugom mjestu osim programskih datoteka u Microsoft Shared mapi? Dodatna datoteka je nezdrava za vaš sustav. Također, vaš Windows uređaj trebao bi imati pokrenutu samo jednu instancu OfficeClickToRun.exe. Provjerite ima li drugih digitalnih potpisa. iako nisu štetne same po sebi, lažne instance OfficeClickToRun.exe mogu začepiti memoriju vašeg sustava. Obično dolaze putem zaraženih datoteka i dokumenata, koje treba odmah izbrisati.
igfxem.exe
igfxEM.exe je malo poznati pozadinski proces koji je ključan za upravljanje Intel grafičkom karticom i stoga je vrlo važan za prikaz video kartice. Dolazi unaprijed instaliran na vašem uređaju i treba ga ostaviti na miru jer uopće ne opterećuje sustav. Ako imate više od jedne instance igfxEM-a (i njegove pogrešno napisane kao što je prikazano), provjerite njegove digitalne potpise.
Ako prikazuje Intel i Microsoft, nema zlonamjernog softvera. Inače, nemate originalnu igfxEM datoteku i taj proces morate ukloniti. Ne treba poduzimati nikakve radnje ako imate valjane digitalne potpise, čak i s više Intelovih instanci. Ako se čini da je vaša izvorna Intel grafička kartica oštećena, pokušajte ponovno instalirati upravljački program iz “devmgmt.msc”, Upravljanje uređajima, u izborniku Start.
GoogleCrashHandler.exe
Ako imate bilo koji Google program na svom Windows uređaju, uključujući Google Chrome, pronaći ćete izvršnu datoteku pod nazivom GoogleCrashHandler.exe, dio paketa Google Updater. Ovo nije kritična komponenta sustava Windows i može se sigurno i lako ukloniti, ali nije uvijek ni zlonamjerni softver.
Ako je digitalni potpis Google CrashHandler.exe nevažeći, odnosno nije ga potpisao Google, onda gledamo na mogući znak zaraze špijunskim softverom ili rootkitom, jer je normalan proces siguran. Uklonite bilo koju ili sve instance GoogleCrashHandler.exe iz upravitelja zadataka vašeg sustava iako nije uvijek zlonamjerni softver. Ne želite nepotrebno opterećivati CPU osim ako Googleu ne želite slati izvješća o rušenju.
Evo kratkog sažetka kako se nositi sa svim sumnjivim procesima koji nalikuju standardnim procesima sustava Windows. Možda imate ili ne morate imati posla s bilo kojim zlonamjernim softverom, ali važno je pratiti ove znakove upozorenja:
- Provjerite pojedinosti o svojstvu aplikacije za ispravna autorska prava: svaki program u sustavu Windows 11 i Windows 10 ima lokaciju datoteke. Odatle možete pristupiti “Detalji” na kartici Svojstva. Provjerite pripada li autorska prava Windowsu, TrustedInstalleru ili legitimnim vlasnicima procesa, kao što su Google, Intel, NVIDIA itd. Ako ne, tražimo potencijalni izvor zlonamjernog softvera koji bi trebao biti uklonjen iz sustava.
- Provjerite korištenje resursa procesora Windows procesima: normalno je da se korištenje resursa procesora u sustavu Windows povećava kada nekoliko sustava radi zajedno. Međutim, mnogi slučajevi istog programa koji usporavaju sustav uzrok su zabrinutosti. Nepotrebne programe treba odmah identificirati i zatvoriti.
- Provjerite digitalne potpise sumnjivih Windows procesa: ovo je najvažniji i najlakši način za provjeru autentičnosti procesa. Ako je digitalni potpis procesa nevažeći i ne dolazi iz pouzdanih izvora, postoji velika vjerojatnost da je riječ o zlonamjernom softveru.
- Provjerite lokaciju datoteke sumnjivih procesa: većina Windows datotečnih procesa ima dobro definiranu lokaciju na vašem računalu. To može biti “C:\Windows\System32”, programske datoteke ili neko drugo dobro definirano mjesto. Ne biste trebali pronaći primjere ovog procesa u drugim područjima, kao što je D disk, jer ukazuje na mogućnost zlonamjernog softvera.
Piše: Ivan Hečimović