Диспетчер задач: подозрительные процессы. Как найти и удалить вирус?
Добрый день.
Большинство вирусов в ОС Windows стараются скрыть свое присутствие от глаз пользователя. Причем, что интересно, иногда вирусы очень хорошо маскируются под системные процессы Windows да так, что даже опытному пользователю с первого взгляда не найти подозрительный процесс.
Кстати, большинство вирусов можно найти в диспетчере задач Windows (во вкладке процессы), а затем посмотреть их месторасположение на жестком диске и удалить. Только вот какие из всего многообразия процессов (а их там иногда несколько десятков) — нормальные, а какие считать подозрительными?
В этой статье расскажу, как я нахожу подозрительные процессы в диспетчере задач, а так же, как потом удаляю вирусную программу с ПК.
1. Как войти в диспетчер задач
Нужно нажать сочетание кнопок CTRL + ALT + DEL или CTRL + SHIFT + ESC (работает в Windows XP, 7, 8, 10).
В диспетчере задач можно просмотреть все программы, которые в данный момент запущены компьютером (вкладки приложения и процессы). Во вкладке процессы можно увидеть все программы и системные процессы, которые работают в данный момент на компьютере. Если какой-то процесс сильно грузит центральный процессор (далее ЦП) — то его можно завершить.
Диспетчер задач Windows 7.
2. AVZ — поиск подозрительных процессов
В большей кучи запущенных процессов в диспетчере задач не всегда просто разобраться и определить где нужные системные процессы, а где «работает» вирус, маскирующийся под один из системных процессов (например, очень много вирусов маскируется, называя себя svhost.exe (а ведь это системный процесс, необходимый для работы Windows)).
На мой взгляд, очень удобно искать подозрительные процессы с помощью одной антивирусной программы — AVZ (вообще, это целый комплекс утилит и настроек для обеспечения безопасности ПК).
Сайт программы (там же и ссылки на скачивание): https://z-oleg.com/secur/avz/download.php
Для начала работ, просто извлеките содержимое архива (который скачаете по ссылке выше) и запустите программу.
В меню сервис есть две важных ссылки: диспетчер процессов и менеджер автозапуска.
AVZ — меню сервис.
Рекомендую сначала зайти в менеджер автозапуска и посмотреть, какие же программы и процессы грузятся при старте Windows. Кстати, на скриншоте ниже вы можете заметить, что некоторые программы помечены зеленым цветом (это проверенные и безопасные процессы, внимание уделите тем процессам, которые черного цвета: нет ли среди них чего-нибудь, что вы не устанавливали?).
AVZ — менеджер автозапуска.
В диспетчере процессов картина будет похожей: тут отображаются процессы, которые работают в данный момент на вашем ПК. Особое внимание уделите процессам черного цвета (это те процессы, за которые поручиться AVZ не может).
AVZ — Диспетчер процессов.
Например, на скриншоте ниже показан один подозрительный процесс — он вроде системный, только о нем AVZ ничего не знает… Наверняка, если не вирус — то какая-нибудь рекламная программа, открывающая какие-нибудь вкладки в браузере или показывая баннеры.
Вообще, лучше всего при нахождении подобного процесса: открыть его место хранения (щелкнуть правой кнопкой мышки по нему и выбрать в меню «Открыть место хранение файла»), а затем завершить этот процесс. После завершения — удалить все подозрительное из места хранения файла.
После подобной процедуры проверить компьютер на вирусы и adware (об этом ниже).
Диспетчер задач Windows — открыть место расположение файла.
3. Сканирование компьютера на вирусы, Adware, трояны и пр.
Чтобы просканировать компьютер на вирусы в программе AVZ (а сканирует она достаточно хорошо и рекомендуется в качестве дополнения к вашему основному антивирусу) — можно не задавать никаких особенных настроек…
Достаточно будет отметить диски, которые будут подвергнуты сканированию и нажать кнопку «Пуск».
Антивирусная утилита AVZ — санирование ПК на вирусы.
Сканирование достаточно быстрое: на проверку диска в 50 ГБ — на моем ноутбуке потребовалось минут 10 (не более).
После полной проверки компьютера на вирусы, я рекомендую проверить компьютер еще такими утилитами, как: Чистилка, ADW Cleaner или Mailwarebytes.
Чистилка — ссылка на оф. сайт: https://chistilka.com/
ADW Cleaner — ссылка на оф. сайт: https://toolslib.net/downloads/viewdownload/1-adwcleaner/
Mailwarebytes — ссылка на оф. сайт: https://www.malwarebytes.org/
AdwCleaner — сканирование ПК.
4. Исправление критических уязвимостей
Оказывается, не все настройки Windows по умолчанию безопасны. Например, если у вас разрешен автозапуск с сетевых дисков или сменных носителей — при подключении оных к вашему компьютеру — они могут его заразить вирусами! Чтобы этого не было — нужно отключить автозапуск. Да, конечно, с одной стороны неудобно: диск теперь не будет авто-проигрываться, после его вставки в CD-ROM, зато ваши файлы будут в безопасности!
Для изменения таких настроек, в AVZ нужно перейти в раздел файл, а затем запустить мастер поиска и устранения проблем. Далее просто выбираете категорию проблем (например, системные), степень опасности и затем сканируете ПК. Кстати, здесь же можно и очистить систему от мусорных файлов и подчистить историю посещения различных сайтов.
AVZ — поиск и устранение уязвимостей.
Причины появления большого числа процессов
Если количество процессов выросло в несколько раз за небольшое количество времени и при этом вы ничего не устанавливали нового, то желательно проверить собственную систему на наличие различного рода вредоносного программного обеспечения. Очень часто в связи с отсутствием программ для защиты вирусы и трояны без лишних проблем проникают в систему и, естественно, попадают в процессы.
Избавиться от этой напасти можно будет только после установки антивируса и завершения сканирования. Антивирус поможет вам избавиться не только от тех вредоносных программ, которые попали на ваш компьютер, но и предотвратит появление новых.
Кроме того, проблема может быть не столько в проникновении вредоносных программ на ваш компьютер, сколько в «загрязнении» системы. К сожалению, иногда количество процессов может возрасти до такой степени, что компьютер начнет загружаться в течение нескольких минут, а программы и игры будут работать в разы медленнее. Естественно, подобная работоспособность персонального компьютера никого не может порадовать и с этим придется что-то делать. Например, если на вашем компьютере установлено много различного программного обеспечения, работающего сразу после запуска операционной системы, то, естественно, они будут находиться в процессах и занимать определенное количество системных ресурсов.
Если это действительно так, то лучше всего полностью отформатировать жесткий диск либо вручную удалить все ненужные программы, тем самым освободив определенное пространство на персональном компьютере. После этого он будет работать гораздо быстрее, а вы будете чувствовать себя комфортно при работе с устройством.
Process Explorer от компании Sysinternals
Компания Microsoft уже давно сотрудничает с Sysinternals и даже перекупила себе некоторых программистов. Утилиты этой компании Microsoft часто приводит на своём официальном сайте как вспомогательные для решения проблем с Windows. И именно Process Explorer рекомендуется в Microsoft как альтернатива диспетчеру задач.
Это бесплатная, лёгкая и не требующая установки программа. Достаточно загрузить утилиту по прямой ссылке, распаковать и запустить исполняемый файл «procexp.exe». Для 64-х битных систем запускаем «procexp64.exe»
Process Explorer умеет делать всё:
- показывает всю необходимую информацию о ВСЕХ запущенных процессах и используемых ресурсах по каждому из них
- показывает подробную информацию по использованию ресурсов системы в целом (оперативная память, процессор, диски, а также по GPU (видеокарта))
- располагает информацией о том, какие DLL используются каждым процессом и с какими ключами они запускались
- имеет хорошую систему поиска по всей доступной информации
- есть поиск в интернете по выбранным подозрительным процессам на предмет вирусности
- и конечно же, умеет закрывать непослушные процессы
Посмотрите видео по Process Explorer
Монитор ресурсов компьютера можно вызвать кликнув два раза по графикам в шапке программы или с помощью комбинации клавиш «Ctrl + I».
Чтобы полностью заменить диспетчер задач на Process Explorer (т. е. чтобы он вызывался по «Ctrl + Shift + Esc» и «Ctrl + Alt + Del») нужно кликнуть в меню «Options -> Replace Task Manager». Для того чтобы это сработало, Process Explorer должен быть запущен не из архива, а уже из папки распакованной из архива.
В свойствах каждого процесса есть информация и графики как он использует процессор, жёсткий диск, сеть, а также видеокарту. Показывается сколько использовано ресурсов видеопроцессора (GPU) и видеопамяти. Хорошо так отлавливать скрытые майнеры. Это такие программы, которые нагружают видеокарту своими задачами, из-за чего компьютер греется, но вы не понимаете почему.
Как узнать название процесса любого окна
Предположим, у нас есть программа антивирус NOD32, и мы хотим найти её в Process Explorer. Для этого есть функция «Find Window’s Process». Нажимаем на кнопку, удерживаем и переносим на окно программы:
Мы будем спозиционированы на дерево процессов указанной программы. Хорошо видно в видео.
Как узнать какой программе принадлежит процесс
Обратная ситуация, нажимаем правой кнопкой, «Window -> Bring to Front»
Эта команда восстановит окно приложения, если оно есть в принципе. Т.е, если у процесса вообще есть окно, то оно покажется на экране, а если нет, то и меню «Window» не будет активно. Тогда нужно изучать подробную информацию.
System Explorer – неплохая альтернатива
Программа справляется со всеми функциями встроенного диспетчера, плюс имеет ряд преимуществ. На сайте можно скачать обычную версию для установки и портативную, есть версии для Windows XP/Vista/7/8/10. После установки System Explorer сразу предложит проверить все запущенные процессы по своей базе данных
Это напоминает сканирование вирусов в памяти. В самой программе всегда можно проверить отдельный процесс на принадлежность к вирусам, и вообще разработчики уделили особое внимание безопасности. System Explorer отображает информативное дерево, не перегруженное лишней информацией. Рядом с каждым процессом есть кнопка «Подробности».
Помимо стандартных функций, таких как контролирование запущенных процессов и ресурсов компьютера, System Explorer умеет:
- управлять автозагрузкой
- удалять программы
- отслеживать процессы с ключами запуска
- обнаруживать драйвера, системные службы и модули программ
- можно просмотреть информацию о запускаемом файле ещё до его запуска, просто перетянув файл в специальное окно программы
- встраивается в систему и заменяет стандартный диспетчер задач
- интегрирован с социальными сетями
- имеет встроенный фильтр для более наглядного отображения информации
- возможность перейти к файлу процесса прямо из программы
Очень интересная возможность System Explorer делать снимки системы (файлы, реестр и файлы+реестр) и потом их сравнивать. Это очень удобно для отслеживания изменений в системе после действий какой-нибудь программы.
Как снять задачу на компьютерe с «Виндовс 10», eсли это систeмная служба?
Систeмныe службы, как считаeтся, отключать нe стоит. Но! В Windows 10 фоновых процeссов столько, что прeдставить сeбe нeвозможно.
Иными словами, для завeршeния такого типа процeссов придeтся использовать нe вкладку задач, в которой отображаются активныe в данный момeнт программы (можeт быть, дажe и зависшиe), а вкладку процeссов или служб. Как снять задачу на компьютерe? Да просто завeршить нeнужноe приложeниe стандартным дeйствиeм при нажатии кнопки внизу. Правда, тут придeтся чeтко опрeдeлиться в смыслe того, какой имeнно процeсс нужно дeактивировать. Если это систeмная служба вродe поддeржки хоста (svhost.exe), данный процeсс завeршать нужно только в том случаe, eсли вы точно увeрeны, что это вирус, маскирующийся под систeмноe приложeниe. Таких процeссов в том жe «Диспeтчeрe задач» можeт быть дажe нeсколько дeсятков. Пугаться нe стоит. Дeло в том, что сама служба запускаeтся для каждого отдeльно взятого приложeния, использующeго сeтeвоe или интeрнeт-подключeниe.
Эпилог
Как правило, вопрос того, как снять задачу на компьютерe с использованиeм «Диспeтчeра задач», рeшаeтся достаточно просто. Другоe дeло – стартующиe вмeстe с систeмой фоновыe службы. Они «поeдают» достаточно много опeративной памяти, хотитe вы этого или нeт. Нeжeлатeльныe службы нужно просто отключить в раздeлe программ и компонeнтов (напримeр, пeчать, eсли в систeмe нeт установлeнного принтeра), или воспользоваться автоматизированными утилитами вродe Windows Manager, которыe способны самостоятeльно опрeдeлять стeпeнь загружeнности систeмы и отключать нeнужныe инструмeнты. При этом сам пользоватeль особого участия в процeссe снятия задач нe принимаeт (ну развe что только подтвeрждeниe каких-то дeйствий по очисткe).
Остаeтся сказать, что принудитeльноe завeршeниe задач и работы программ на компьютерe – дeло нeблагодарноe. Цeна вопроса – работоспособность всeй систeмы. При снятии нeкоторых задач ОС можeт просто «вылeтeть», послe чeго послeдуeт принудитeльная пeрeзагрузка и восстановлeниe с использованиeм контрольной точки. А что, eсли таковой нeт? Вот тут дажe нe пытайтeсь удалять рeзeрвныe копии.