/ / 7 quy trình thiết yếu của Windows có thể đang che giấu vi-rút

7 quy trình thiết yếu của Windows có thể đang che giấu vi-rút

Các quy trình là một phần không thể tránh khỏi của Windows và không có gì lạ khi thấy hàng chục hoặc hàng trăm quy trình trong Trình quản lý tác vụ. Mỗi quy trình là một chương trình hoặc một phần của chương trình đang chạy. Thật không may, những người tạo phần mềm độc hại biết điều này và được biết là che giấu phần mềm độc hại đằng sau tên của các quy trình hợp pháp.


Dưới đây là một số quy trình bị tấn công hoặc sao chép phổ biến nhất, cùng với vị trí của chúng và cách phát hiện phiên bản độc hại.


1. Svchost.exe

Máy chủ Dịch vụ, hoặc svchost.exe, là một quy trình dịch vụ được chia sẻ. Nó cho phép nhiều dịch vụ Windows khác chia sẻ các quy trình. Điều này giúp giảm sử dụng tài nguyên, làm cho hệ thống hoạt động hiệu quả hơn. Bạn gần như chắc chắn sẽ thấy nhiều hơn một phiên bản của Svchost.exe trong Trình quản lý Tác vụ, nhưng điều này là bình thường. Nếu một hoặc nhiều tệp trong số này bị phần mềm độc hại xâm phạm, bạn có thể nhận thấy hiệu suất giảm rõ rệt.

quá trình svchost trong trình quản lý tác vụ

Các tệp Svchost hợp pháp nên được tìm thấy trong C:WindowsSystem32. Nếu bạn nghi ngờ nó đã bị tấn công, hãy kiểm tra C:WindowsTemp. Nếu bạn thấy svchost.exe ở đây, đó có thể là một tệp độc hại. Quét tệp bằng phần mềm chống vi-rút của bạn và cách ly tệp nếu cần.

2. Explorer.exe

Explorer.exe chịu trách nhiệm về vỏ đồ họa. Không có nó, bạn sẽ không có Thanh tác vụ, Menu Bắt đầu, Trình quản lý tệp hoặc thậm chí là Màn hình nền. Do đó, nó là một phần thiết yếu của Windows và không thể bị vô hiệu hóa.

Một số vi-rút có thể sử dụng tên tệp Explorer.exe để ẩn đằng sau, bao gồm cả trojan.w32.ZAPCHAST. Tệp hợp pháp sẽ ở trong C:Windows. Nếu bạn tìm thấy nó trong Hệ thống32bạn chắc chắn nên kiểm tra nó bằng phần mềm chống vi-rút của mình.

3.Winlogon.exe

Quá trình Winlogon.exe là một phần thiết yếu của HĐH Windows. Nó xử lý những việc như tải hồ sơ người dùng trong khi đăng nhập và khóa máy tính khi trình bảo vệ màn hình chạy. Thật không may, vì nó xử lý các yếu tố bảo mật, quá trình Đăng nhập Windows và winlogon.exe là mục tiêu phổ biến của các mối đe dọa.

Một số vi-rút Trojan, bao gồm cả Vundo, có thể ẩn bên trong hoặc ngụy trang dưới dạng winlogon.exe. Vị trí thông thường của tệp Winlogon.exe là C:WindowsSystem32. Nếu bạn tìm thấy nó trong C:WindowsWinSecurity, nó có thể độc hại. Một dấu hiệu tốt cho thấy quá trình đã bị tấn công là mức sử dụng bộ nhớ cao bất thường.

Vi-rút và phần mềm độc hại không chỉ ẩn đằng sau các quy trình của Windows. Dưới đây là một số cách khác để phần mềm độc hại có thể không bị phát hiện và ẩn trên máy tính của bạn.

Hệ thống con Thời gian chạy Máy khách/Máy chủ, hay Csrss.exe, là một quy trình thiết yếu của Windows. Mặc dù nó không được sử dụng rộng rãi trong các phiên bản Windows hiện đại, nhưng nó vẫn được hệ thống yêu cầu và không thể bị vô hiệu hóa.

Tệp quy trình csrss ở vị trí thư mục

Virus Nimda.E đã được biết là bắt chước quá trình Csrss.exe, mặc dù đó không phải là mối đe dọa tiềm ẩn duy nhất. Các tập tin hợp pháp nên được đặt trong Hệ thống32 hoặc SysWOW64 thư mục. Nhấp chuột phải vào quy trình Csrss.exe trong Trình quản lý tác vụ và chọn Mở vị trí file. Nếu nó nằm ở bất kỳ nơi nào khác, nó có khả năng là một tệp độc hại.

5. Lsass.exe

lsass.exe là một quy trình thiết yếu chịu trách nhiệm về chính sách bảo mật trên Windows. Nó xác minh tên đăng nhập và mật khẩu, trong số các thủ tục bảo mật khác. Không chắc rằng quá trình sẽ bị tấn công. Nếu nó không chạy đúng, bạn thường sẽ tự động đăng xuất khỏi máy tính của mình. Nhưng virus được biết là sử dụng tên tệp để ẩn.

Tìm tệp Lsass.exe trong C:WindowsSystem32. Đây là nơi duy nhất bạn nên tìm thấy nó. Nếu bạn nhìn thấy nó ở một vị trí khác, chẳng hạn như C:Windowssystem hoặc C:Tệp chương trìnhhành động với sự nghi ngờ và quét tệp bằng phần mềm chống vi-rút của bạn.

6. Dịch vụ.exe

Quá trình Services.exe chịu trách nhiệm khởi động và dừng các dịch vụ Windows thiết yếu khác nhau. Giống như các quy trình Windows khác trong danh sách này, vi-rút và phần mềm độc hại nhắm mục tiêu vào nó vì nó cho phép chúng ẩn trong tầm nhìn rõ ràng.

Nếu tệp bị chiếm quyền điều khiển, bạn có thể nhận thấy sự cố trong quá trình khởi động và tắt PC của mình. Tìm tệp Services.exe thực trong Hệ thống32 thư mục. Nếu nó nằm ở bất cứ nơi nào khác, chẳng hạn như trong C:WindowsConnectionStatustệp có thể là vi-rút.

Các quy trình được đề cập ở đây rất cần thiết để Windows hoạt động trơn tru. Nhưng không phải tất cả đều như vậy và nhiều quy trình không cần thiết thậm chí có thể được đóng lại để hỗ trợ hiệu suất.

7. Spoolsv.exe

Dịch vụ bộ đệm máy in của Windows, hoặc Spoolsv.exe, là một phần quan trọng của giao diện in. Nó chạy ở chế độ nền, chờ để quản lý những thứ như hàng đợi in khi được yêu cầu. Quá trình này không phụ thuộc vào việc kết nối máy in, vì vậy bạn không nên ngạc nhiên khi thấy nó trong Trình quản lý tác vụ.

Quá trình bộ đệm trong trình quản lý tác vụ

Có lẽ vì Spoolsv.exe dễ bị bỏ qua nên một loại vi-rút có thể lấy tên này để làm cho chính nó có vẻ hợp pháp. Tệp cuộn thực sự có thể được tìm thấy trong C:WindowsSystem32. Tệp giả mạo sẽ thường xuất hiện trong C:Windowshoặc trong thư mục hồ sơ người dùng.

Làm thế nào để bạn kiểm tra xem một quy trình có hợp pháp không?

Trình quản lý tác vụ là bạn của bạn khi tìm kiếm hoạt động đáng ngờ. Các quy trình bị nhiễm thường sẽ hoạt động thất thường, tiêu tốn nhiều năng lượng CPU và bộ nhớ hơn bình thường. Nhưng không phải lúc nào cũng như vậy, vì vậy đây là một số cách khác để kiểm tra xem một quy trình có hợp pháp hay không.

Hầu hết các quy trình thiết yếu được liệt kê ở đây sẽ chỉ xuất hiện trong thư mục System32. Bạn có thể dễ dàng kiểm tra vị trí của tệp đáng ngờ trong Trình quản lý tác vụ. Nhấp chuột phải vào quy trình và chọn Mở vị trí file. Kiểm tra đường dẫn của thư mục mở ra để đảm bảo tệp ở đúng vị trí.

Một cách khác để biết một tệp có hợp pháp hay không là kiểm tra kích thước. Hầu hết các tệp .exe của các quy trình thiết yếu này sẽ dưới 200kb. Nhấp chuột phải vào tên quy trình trong Trình quản lý tác vụ, chọn Của cải và nhìn vào kích thước. Nếu nó có vẻ lớn bất thường, hãy xem xét kỹ hơn để xác định xem nó có an toàn không.

Bạn cũng có thể kiểm tra chứng chỉ của tệp EXE. Một tệp xác thực sẽ có chứng chỉ bảo mật do Microsoft cấp. Nếu bạn thấy bất cứ điều gì khác, nó có khả năng độc hại.

Điều cuối cùng cần làm là quét các tệp nghi ngờ bằng trình quét chống vi-rút cập nhật. Kiểm dịch và xóa mọi tệp được gắn cờ là bị nhiễm. May mắn thay, các phiên bản Windows hiện đại được tích hợp sẵn Bộ bảo vệ Microsoft, vì vậy hãy tìm hiểu cách quét một tệp hoặc thư mục bằng Bộ bảo vệ Microsoft để kiểm tra mọi tệp đáng ngờ mà bạn tìm thấy.

Các quy trình Windows có thể đang che giấu vi-rút

Một phần của việc giữ cho PC Windows của bạn an toàn khỏi phần mềm độc hại và vi rút là biết chúng ẩn náu ở đâu. Đôi khi một tệp độc hại sẽ hoạt động kỳ lạ, sử dụng quá nhiều CPU và bộ nhớ. Nhưng không phải lúc nào cũng vậy. Vì vậy, phát hiện một tệp đáng ngờ theo những cách khác là một kỹ năng hữu ích.

Bài viết liên quan:

  1. Máy quét cho văn phòng gia đình và doanh nghiệp nhỏ
  2. Vệt Wordle của bạn có biến mất trên iPhone hoặc Android không? Đây là cách khắc phục
  3. 5 Cách Dùng Thì Hiện Tại Tiếp Diễn | Present Continuous Tense
  4. 7 thẻ Capture tốt nhất cho Mac

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *