Processen zijn een onvermijdelijk onderdeel van Windows en het is niet ongebruikelijk om er tientallen of honderden in Taakbeheer te zien. Elk proces is een programma of onderdeel van een programma dat wordt uitgevoerd. Helaas weten makers van malware dit en staan ze erom bekend kwaadaardige software te verbergen achter de namen van legitieme processen.
Hier zijn enkele van de meest gekaapte of gedupliceerde processen, samen met waar ze zich zouden moeten bevinden en hoe je een kwaadaardige versie kunt herkennen.
1. Svchost.exe
De servicehost, of svchost.exe, is een shared-serviceproces. Hiermee kunnen verschillende andere Windows-services processen delen. Dit helpt het gebruik van hulpbronnen te verminderen, waardoor het systeem efficiënter wordt. U zult vrijwel zeker meer dan één exemplaar van Svchost.exe zien in Taakbeheer, maar dit is normaal. Als een of meer van deze bestanden zijn aangetast door malware, merkt u mogelijk een duidelijke vermindering van de prestaties.
De legitieme Svchost-bestanden moeten worden gevonden in C:\Windows\System32. Als u vermoedt dat het is gekaapt, controleer dan C:\Windows\Temp. Als u hier svchost.exe ziet, kan dit een kwaadaardig bestand zijn. Scan het bestand met uw antivirussoftware en plaats het indien nodig in quarantaine.
2. Explorer.exe
Explorer.exe is verantwoordelijk voor de grafische shell. Zonder dit zou u geen taakbalk, startmenu, bestandsbeheer of zelfs het bureaublad hebben. Daarom is het een essentieel onderdeel van Windows en kan het niet worden uitgeschakeld.
Verschillende virussen kunnen de bestandsnaam Explorer.exe gebruiken om zich achter te verschuilen, waaronder trojan.w32.ZAPCHAST. Het legitieme bestand zal binnen zijn C:\Windows. Als je het erin vindt Systeem32, moet u dit zeker controleren met uw antivirussoftware.
3. Winlogon.exe
Het Winlogon.exe-proces is een essentieel onderdeel van het Windows-besturingssysteem. Het behandelt zaken als het laden van het gebruikersprofiel tijdens het inloggen en het vergrendelen van de computer wanneer de screensaver wordt uitgevoerd. Helaas, omdat het beveiligingselementen verwerkt, zijn Windows Logon en het winlogon.exe-proces veelvoorkomende doelen voor bedreigingen.
Verschillende Trojaanse virussen, waaronder Vundo, kunnen worden verborgen in of vermomd als winlogon.exe. De gebruikelijke locatie van het bestand Winlogon.exe is C:\Windows\System32. Als je het erin vindt C:\Windows\WinSecurity, kan het kwaadaardig zijn. Een goede indicatie dat het proces is gekaapt, is een ongewoon hoog geheugengebruik.
Virussen en malware verschuilen zich niet alleen achter Windows-processen. Hier zijn een paar andere manieren waarop malware onopgemerkt kan blijven en zich op uw computer kan verbergen.
4. Csrss.exe
Het Client/Server Run-Time Subsystem, of Csrss.exe, is een essentieel Windows-proces. Hoewel het niet zo veel wordt gebruikt in moderne Windows-versies, is het nog steeds vereist door het systeem en kan het niet worden uitgeschakeld.
De Nimda. Het is bekend dat het E-virus het Csrss.exe-proces nabootst, hoewel dat niet de enige potentiële bedreiging is. Het legitieme bestand moet zich in de Systeem32 of SysWOW64 mappen. Klik met de rechtermuisknop op het proces Csrss.exe in Taakbeheer en kies Open Bestandslocatie. Als het zich ergens anders bevindt, is het waarschijnlijk een kwaadaardig bestand.
5. Lsass.exe
lsass.exe is een essentieel proces dat verantwoordelijk is voor het beveiligingsbeleid op Windows. Het verifieert onder meer de inlognaam en het wachtwoord. Het is onwaarschijnlijk dat het proces zal worden gekaapt. Als het niet correct werkt, wordt u meestal automatisch uitgelogd van uw computer. Maar het is bekend dat virussen de bestandsnaam gebruiken om zich te verbergen.
Zoek naar het bestand Lsass.exe in C:\Windows\System32. Dit is de enige plek waar je het zou moeten vinden. Als je het op een andere locatie ziet, zoals C:\Windows\systeem of C:\Program Files, handel met argwaan en scan het bestand met uw antivirusprogramma.
6. Services.exe
Het Services.exe-proces is verantwoordelijk voor het starten en stoppen van verschillende essentiële Windows-services. Net als de andere Windows-processen in deze lijst, richten virussen en malware zich erop omdat ze zich hierdoor in het volle zicht kunnen verbergen.
Als het bestand wordt gekaapt, kunt u problemen ondervinden tijdens het opstarten en afsluiten van uw pc. Zoek naar het echte Services.exe-bestand in het Systeem32 map. Als het zich ergens anders bevindt, zoals in C:\Windows\Verbindingsstatus, kan het bestand een virus zijn.
De hier genoemde processen zijn essentieel voor de goede werking van Windows. Maar niet allemaal, en veel niet-essentieel processen kunnen zelfs worden gesloten om de prestaties te verbeteren.
7. Spoolsv.exe
De Windows Print Spooler Service, of Spoolsv.exe, is een belangrijk onderdeel van de afdrukinterface. Het draait op de achtergrond en wacht om zaken als de afdrukwachtrij te beheren wanneer dat nodig is. Het proces is niet afhankelijk van het feit dat er een printer is aangesloten, dus het zou u niet verbazen als u het in Taakbeheer ziet.
Misschien omdat Spoolsv.exe gemakkelijk over het hoofd wordt gezien, kan een virus de naam aannemen om zichzelf legitiem te laten lijken. Het echte spools-bestand is te vinden in C:\Windows\System32. Het nep-bestand zal vaak verschijnen in C:\Windows, of in een gebruikersprofielmap.
Hoe controleert u of een proces legitiem is?
Taakbeheer is je vriend bij het zoeken naar verdachte activiteiten. Geïnfecteerde processen gedragen zich vaak grillig en verbruiken meer CPU-kracht en geheugen dan normaal. Maar dat is niet altijd het geval, dus hier zijn enkele andere manieren om te controleren of een proces legitiem is.
De meeste van de hier vermelde essentiële processen zouden alleen in de map System32 moeten verschijnen. U kunt eenvoudig de locatie van een verdacht bestand controleren in Taakbeheer. Klik met de rechtermuisknop op het proces en selecteer Open Bestandslocatie. Controleer het pad van de map die wordt geopend om er zeker van te zijn dat het bestand op de juiste plaats staat.
Een andere manier om te bepalen of een bestand legitiem is, is door de grootte te controleren. De meeste .exe-bestanden van deze essentiële processen zullen kleiner zijn dan 200 kb. Klik met de rechtermuisknop op de procesnaam in Taakbeheer, selecteer Eigenschappen en kijk naar de maat. Als het ongewoon groot lijkt, kijk dan beter om te bepalen of het veilig is.
Je kan ook controleer het certificaat van het EXE-bestand. Een authentiek bestand heeft een beveiligingscertificaat dat is uitgegeven door Microsoft. Als je iets anders ziet, is het waarschijnlijk kwaadaardig.
Het laatste wat u moet doen, is verdachte bestanden scannen met een up-to-date antivirusscanner. Plaats alle bestanden die als geïnfecteerd zijn gemarkeerd in quarantaine en verwijder ze. Gelukkig worden moderne versies van Windows geleverd met ingebouwde Microsoft Defender, dus leer hoe u een enkel bestand of een enkele map scant met Microsoft Defender om alle verdachte bestanden die u vindt te controleren.
De Windows-processen die mogelijk een virus verbergen
Een deel van het beschermen van uw Windows-pc tegen malware en virussen is weten waar ze zich verbergen. Soms gedraagt een kwaadaardig bestand zich vreemd en gebruikt het te veel CPU en geheugen. Maar niet altijd. Het is dus een nuttige vaardigheid om een verdacht bestand op andere manieren te spotten.