Как посмотреть скрытые процессы в диспетчере задач
Перейти к содержимому

Как посмотреть скрытые процессы в диспетчере задач

  • автор:

Как найти вирус в списке процессов Windows

Когда в системе что-то не так или просто хочется проконтролировать эффективность установленного на компьютере антивируса, мы обычно нажимаем три заветные клавиши Ctrl, Alt, Del и запускаем Диспетчер задач, надеясь обнаружить вирус в списке процессов. Но в нем мы видим лишь большое количество работающих на компьютере программ, каждая из которых представлена своим процессом. И где же тут скрывается вирус? Ответить на этот вопрос вам поможет наша сегодняшняя статья

Для того чтобы определить, есть вирус в процессах или его там нет, нужно очень внимательно вглядеться в список процессов. В операционной системе Windows Vista в обязательном порядке нажмите кнопочку «Отображать процессы всех пользователей», иначе вы толком ничего и не увидите. Прежде всего, обратите внимание на описание процесса в столбике «Описание». Если описания нет или оно какое-то «корявенькое», это должно вас насторожить. Ведь разработчики программ имеют привычку подписывать свои творения на понятном русском или английском языках.
Отметив взглядом процессы с подозрительным описанием, обращаем взор на следующий столбик – «Пользователь». Вирусы обычно запускаются от имени пользователя, реже в виде служб и от имени системы — SYSTEM, LOCAL SERVICE или NETWORK SERVICE.

Как найти вирус в списке процессов Windows

Итак, найдя процесс с подозрительным описанием, запускаемый от имени пользователя или непонятно от чьего имени, щелкните нему правой кнопкой мышки и в появившемся контекстном меню выберите пункт «Свойства». Откроется окошко со свойствами программы, которая запустила данный процесс. Особое внимание обратите на вкладку «Подробно», где указана информация о разработчике, версии файла и его описание, а также на пункт «Размещение» вкладки «Общие» — здесь указан путь к запущенной программе.

Как найти вирус в списке процессов Windows

Как найти вирус в списке процессов Windows

Если путь «Размещение» ведет в каталог Temp, Temporary Internet Files или еще в какое-либо подозрительное место (например, в папку некой программы каталога Program Files, но вы уверены, что такую программу вы не устанавливали), то, ВОЗМОЖНО, данный процесс принадлежит вирусу. Но все это лишь наши догадки, за подробной информацией, конечно же, лучше обратиться к интернету. Неплохие списки процессов есть на сайтах what-process.com http://www.tasklist.org и http://www.processlist.com . Если после всех поисков ваши опасения на счет подозрительного процесса подтвердятся, можете радоваться – на вашем компьютере поселился вирус, троян или другой зловред, которого нужно срочно ликвидировать.

Но окошко со свойствами запустившего процесс файла из Диспетчера задач может и не открыться. Поэтому помимо стандартных средств Windows нужно пользоваться различными полезными утилитами, способными выдать максимум информации о подозрительном процессе. Одну из таких программ – Starter – мы уже рассматривали (http://www.yachaynik.ru/content/view/88/).

В Starter на вкладкее«Процессы» представлена исчерпывающая информация о выделенном процессе: описание программы и имя файла, который запустил процесс, информация о разработчике, список модулей (программных компонентов), задействованных процессом.

Как найти вирус в списке процессов Windows

Таким образом, нет нужды копаться в свойствах файла, запустившего процесс – всё и так, как на ладони. Тем не менее, это не мешает щелкнуть по подозрительному процессу правой кнопкой мышки и выбрать «Свойства», чтобы получить доскональные сведения о файле процесса в отдельном окошке.

Как найти вирус в списке процессов Windows

Чтобы попасть в папку программы, который принадлежит процесс, щелкните по названию процесса правой кнопкой мыши и выберите «Проводник в папку процесса».

Как найти вирус в списке процессов Windows

Но самая удобная опция в Starter – возможность начать поиск информации о процессе прямо из окна программы. Для этого щелкните правой кнопкой мышки по процессу и выберите «Искать в Интернет».

Как найти вирус в списке процессов Windows

После того, как вы получите полную информацию о файле, запустившем процесс, его разработчике, назначении и мнение о процессе в сети интернет, сможете достаточно точно определить – вирус перед вами или мирная программа-трудяга. Здесь действует тот же принцип, что и в Диспетчере задач. Подозрительны те процессы и модули процессов, для которых не указан разработчик, в описании которых ничего нет либо написано что-то невнятное, процесс или задействованные им модули запускаются из подозрительной папки. Например, Temp, Temporary Internet Files или из папки в Program Files, но вы точно помните, что указанную там программу вы не устанавливали. И, наконец, если в интернете четко сказано, что данный процесс принадлежит вирусу, радуйтесь – зловреду не удалось спрятаться от вас!

Одно из самых распространенных заблуждений начинающих чайников касается процесса svchost.exe. Пишется он именно так и никак иначе: svshost.exe, scvhost.exe, cvshost.exe и другие вариации на эту тему – вирусы, маскирующиеся под хороший процесс, который, кстати, принадлежит службам Windows. Точнее, один процесс svchost.exe может запускать сразу несколько системных служб. Поскольку служб у операционной системы много и все они нужны ей, процессов svchost.exe тоже много.

В Windows XP процессов svchost.exe должно быть не более шести. Пять процессов svchost.exe – нормально, а вот уже семь – стопроцентная гарантия, что на вашем компьютере поселился зловред. В Windows Vista процессов svchost.exe больше шести. У меня, к примеру, их четырнадцать. Но и системных служб в Windows Vista намного больше, чем в предыдущей версии этой ОС.

Узнать, какие именно службы запускаются процессом svchost.exe, вам поможет другая полезная утилита – Process Explorer. Скачать последнюю версию Process Explorer вы можете с официального сайта Microsoft: technet.microsoft.com

Process Explorer выдаст вам описание процесса, запустившую его программу, наименование разработчика и множество полезной технической информации, понятной разве что программистам.

Наведите мышку на имя интересующего вас процесса, и вы увидите путь к файлу, запустившему данный процесс.

Как найти вирус в списке процессов Windows

А для svchost.exe Process Explorer покажет полный перечень служб, относящихся к выделенному процессу. Один процесс svchost.exe может запускать несколько служб или всего одну.

Как найти вирус в списке процессов Windows

Как найти вирус в списке процессов Windows

Чтобы увидеть свойства файла, запустившего процесс, щелкните по интересующему вас процессу правой кнопкой мышки и выберите «Properties» («Свойства»).

Как найти вирус в списке процессов Windows

Для поиска информации о процессе в интернете при помощи поисковой системы Google, просто щелкните по названию процесса правой кнопкой мыши и выберите «Google».

Как найти вирус в списке процессов Windows

Как и ранее, подозрения должны вызвать процессы без описания, без наименования разработчика, запускающиеся из временных папок (Temp, Temporary Internet Files) или из папки программы, которую вы не устанавливали, а также идентифицируемые в интернете как вирусы.

И помните, для качественно работы программ Process Explorer и Starter в Windows Vista, их нужно запускать с административными правами: щелкните по исполняемому файлу программы правой кнопкой мышки и выберите «Запуск от имени администратора».

Однако хочется вас разочаровать, только очень глупые вирусы выдают себя в списке процессов. Современные вирусописатели уже давно научились прятать свои творения не только от глаз пользователей, но и от антивирусных программ. Поэтому спасти вас в случае заражения качественно написанной вредоносной программой может лишь хороший антивирус со свежими базами (да и то не факт!), наличие резервной копии со всей вашей информацией и диск с дистрибутивом Windows для переустановки системы. Тем не менее, периодически заглядывать в список процессов все же стоит – мало ли какой scvhost или mouse.exe там притаился.

Похожие публикации

  • Как повысить защищенность компьютера, отключив 10 служб Windows XP
  • Безопасность Windows XP SP3
  • Скрытые потайные двери, троянские кони и Rootkit инструменты в Windows окружении

Скрытые процессы в Windows

Большинство пользователей, заметив заторможенность в работе своего верного компьютера, открывают Диспетчер задач и пытаются выяснить, какой же процесс так нагрузил систему. Но видя следующую картину, недоумевают – что же не так?

Однако, при внимательном осмотре проблему обнаружить довольно легко.
Для этого достаточно просто взглянуть в строку состояния Диспетчера задач.

Число 77 как-то не сочетается с количеством в списке процессов, представленных выше. Оказывается, в операционной системе Windows имеется возможность скрывать процессы в списке и этим, конечно же, не могли не воспользоваться различные программы с не очень хорошим функционалом (троянцы, рекламные и прочие). Чтобы просмотреть полный список выполняемых процессов придётся воспользоваться сторонним программным обеспечением. В Сети его довольно много, я же воспользовался программой Spyware Process Detector. Она условно-бесплатна, но 14-дневного триального периода для наших целей вполне достаточно. После запуска этой программы картина вырисовывается уже не такая радужная.

Список запущенных процессов резко расширился и в нём появились весьма подозрительные записи (Zitenop, Mail.Ru, makecab и прочее). Особое внимание обращайте на якобы системные названия: тот же makecab или DCHP (правильное написание DHCP). Внимательно смотрите путь запускаемого файла – нетипичное его расположение тоже может выдать вредоносный процесс. Будем пытаться от всего этого избавиться.
Для начала я бы посоветовал проверить компьютер на вирусы с помощью антивирусной лечащей утилиты, например Dr.Web CureIt!. Утилита не требует установки и может запускаться независимо от того, есть у вас другой антивирус или нет. В случае обнаружения угроз обезвреживаем их.

Затем нужно попробовать удалить установленные «левые» приложения. В стандартном апплете Панели управления Установка и удаление программ или Программы и компоненты (в зависимости от версии системы) вредные программы тоже научились скрываться, поэтому мы снова воспользуемся сторонним ПО – CCleaner. Устанавливаем программу, заходим в раздел Сервис > Удаление программ. Здесь уже список установленного софта повнушительнее будет. Удаляем все подозрительные программы, выбрав её в списке и нажав кнопку Деинсталляция.

После этого переходим в раздел Автозагрузка и удаляем все подозрительные пункты в этом списке, выделив его и нажав кнопку Удалить. Но лучше, если вы сомневаетесь в каком-то пункте или боитесь удалить что-то нужное, вместо кнопки Удалить нажмите Выключить. В этом случае вы всегда сможете включить назад ошибочно отключённый пункт, а удалить можно будет и потом, когда убедитесь, что всё сделали правильно.

Половина дела сделана. Теперь мы должны проверить список запущенных служб. Службы – это приложения, автоматически запускаемые системой при старте и не зависящие от пользователя. Заходим Панель управления > Администрирование > Службы и в открывшемся окне видим список всех служб, установленных на компьютере.

Тут сразу бросаются в глаза пресловутый DCHP, Bamcof, Dripkix Service, System Tester Service, Zitenop. Как несложно заметить, у этих служб отсутствуют описания. На такие всегда в первую очередь следует обращать внимание. Но не стоит забывать, что и у вполне полезных служб могут отсутствовать описания, поэтому всё описанное дальше следует делать только в том случае, если вы уверены в своих действиях. Иначе лучше обратиться к специалисту.

Итак, подозрительные службы нужно попробовать отключить. Для этого делаем двойной щелчок на выбранной службе и в открывшемся окне в поле Тип запуска выбираем Отключена. Затем нажимаем ОК. И так для всех подозрительных служб.

После всех этих действий перезагружаем компьютер. Если всё сделали правильно и ничего лишнего не отключили/удалили, то сразу после перезагрузки можно будет ощутить результаты работы в виде более шустрой работы ПК, отсутствия запуска «лишних» приложений или открытия страниц. В Диспетчере задач картина тоже прояснится.

В следующей статье поговорим о том, как окончательно удалить отключённые вами раннее вредоносные или ненужные службы.

Ещё раз повторюсь: внимательно следите за тем, что делаете! Если сомневаетесь – лучше не трогайте и обратитесь к специалисту. По возможности вначале выбирайте вариант действий с отключением, а только потом, после проверки работоспособности системы, используйте удаление.

Как обнаружить скрытые вредоносные процессы в системе?

Некоторые вирусы скрывают свои процессы в диспетчере задач Windows. Таким образом человек даже не догадывается, что его компьютер заражен вирусом (по крайней мере до тех пор, пока вредоносное воздействие не перейдет в критическую стадию и станет очевидным. А бывает и так, что вирус никогда не обнаруживается).
Есть ли способы обнаружить эти скрытые процессы?

  • Вопрос задан более трёх лет назад
  • 46130 просмотров

1 комментарий

Средний 1 комментарий

1) Запомнишь со временем, если часто будешь с ними встречаться, они обычно занимают стандартное колво памяти и проца
2) есть прога PRIO она корректирует (win8 и win10 не поддерживает) диспетчер задач и подсвечивает честные файлы зелёным, как только честная прога обновляется, то подсвечивается красным

Решения вопроса 2

Jump

АртемЪ @Jump Куратор тега Windows
Системный администратор со стажем.

Простых способов нет.
Гарантированных способов не существует.
Только анализ поведения — что за программа, что делает, есть ли подпись, не совпадают ли сигнатуры.
Вирус обнаружить проще.
А вредоносная программа зачастую технически ничем не отличается от полезной, поэтому программно ее детектировать во многих случаях невозможно.

Ответ написан более трёх лет назад
Комментировать
Нравится 4 Комментировать
xmoonlight @xmoonlight
https://sitecoder.blogspot.com

Обнаруживать — без вариантов!
Вот пример.
Нужно поставить «чистую» систему и ЗАРАНЕЕ! настроить все права на запись и на запуск с помощью стороннего софта.
Например, Folder Guard.
Все новые — запускать в «песочнице» (или, что надёжнее, в виртуалке): SandBoxie

Ответ написан более трёх лет назад
Нравится 1 1 комментарий
не надо эти кричащие фразы!! ждостали уже
Ответы на вопрос 8
Saboteur @saboteur_kiev Куратор тега Windows
software engineer

Для начала нужно научиться обнаруживать стандартные процессы — знать что из них что делает, к чему относится, как себя ведет и как должен запускаться.

После этого уже можно искать нестандартные процессы.

Способы конечно есть, но объяснять их — значит научить человека администрированию windows на достаточно глубоком уровне. Это нельзя вместить в ответ на вопрос, а грубо говоря целый процесс обучения.

Ответ написан более трёх лет назад
Комментировать
Нравится 3 Комментировать

Plinio

Пользуйтесь Comodo
Cleaning Essentials и KillSwitch, они как раз предназначены для анализа и идентификации скрытых системных процессов. Первая специализируется на поиске вирусов и руткитов, очистке системы, вторая улучшенный аналог Диспечера задач, не только отображает сетевую активность и все процессы в виде древа, но и сверяет все активные по электронной подписи, подсвечивая подозрительные. Ещё там есть Autorun Analyzer, он покажет все процессы и службы в автозапуске. Плюс хорошая мысль добавить отдельно VirusTotal Uploader, чтобы проверять всё подозрительные файлы более чем 50 известными антивирусами, чтоб наверняка.

Ответ написан более трёх лет назад
Комментировать
Нравится 3 Комментировать

devspec

Помогло? Отметь решением

Как выше сказано — гарантированных способов нет.
Но можно проверить систему DrWeb CureIt, Malwarebytes AntiMalware, AVZ, Kaspersky Free.
У этих программ достаточно сильна эвристика — и они теоретически могут подсказать, если какой-то процесс ведет себя не так, как ожидается, даже если сигнатуры вируса нет в их базах.

Ответ написан более трёх лет назад
Комментировать
Нравится 1 Комментировать

morgane

analyse comportementale

Начать с простого и посмотреть сетевой трафик утилитой currports, при обнаружении подозрительной активности изучить процессы тем же process explorer.

Ответ написан более трёх лет назад
Комментировать
Нравится 1 Комментировать

Проверяйте каждый процесс
1) Подпись
Нет подписи у экзешника это уже не профессиональное ПО.
2) Место запуска
Если запущено не из програм файлс, то повод задуматься. Иногда ставится скайп или дропбокс в профиль пользователя. Но нормальное ПО. Стоит только в програм файлз, а не темповских папках с замудреными именами

Инструмент AVZ, AnvirrTaskManager
шерстите автозагрузку, плагины браузеров, планировщик задач.
Сначала надо прибить все не системные / неизвестные процессы.
У системных посмотреть используемые библиотеки (эти тулзы показывают)

Ответ написан более трёх лет назад
Комментировать
Нравится 1 Комментировать
кто знает, тот поймет

Есть простенькие программы типа Process Hacker, у него свой драйвер и он увидит скрытый процесс, но вы увидите ещё столько интересного, что без точного знания каждой строчки можете сделать ещё хуже.

Антивирусы тоже видят скрытые процессы и обычно реагируют на них негативно, так что сейчас чаще используют легальные проги нежели сокрытие процесса, либо внедрение в легальный процесс, что в разы безопасней.

Помню как три дня гонялся за полиморфным драйвером алкоголя. Когда поймал понял, для чего разрабы это сделали, много думал.

Решена Обнаружены подозрительные процессы и скрытые папки

Привет всем. Столкнулся с проблемой несколько дней назад.Обнаружил несколько подозрительных процессов,которые были в диспетчере задач,но не давали посмотреть расположение(т.е закрывался диспетчер и открывшаяся папка сразу).Проверил систему Dr.Web.Cureit-ом, удалил 17 файлов.(отчётливо помню названия audiodg,taskhost и winserv). После были проблемы с диспетчером задач(не запускался),а сегодня нашёл в скрытых папках пользователя John,которого тоже не было.Удалил через cmd.Ещё зашёл в редактор реестра и нашёл заблокированные процессы(в частности антивирусы). Помогите,пожалуйста.Думаю,что вирус ещё на компе.

Последнее редактирование: 20 Янв 2023

akok

Команда форума
Администратор
Ассоциация VN
Сообщения 24,521 Реакции 13,565

Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

Artem223
Новый пользователь

Сообщения 15 Реакции 0

Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

Не получается открыть от имени администратора.

akok

Команда форума
Администратор
Ассоциация VN
Сообщения 24,521 Реакции 13,565
В безопасном режиме?

Artem223
Новый пользователь

Сообщения 15 Реакции 0
В безопасном режиме?
Да,с поддержкой сети.

akok

Команда форума
Администратор
Ассоциация VN
Сообщения 24,521 Реакции 13,565
Посмотрите список пользователей через управлением компьютером

Artem223
Новый пользователь

Сообщения 15 Реакции 0
Посмотрите список пользователей через управлением компьютером
Как это сделать? В безопасном режиме или в обычном?
Последнее редактирование: 20 Янв 2023

Artem223
Новый пользователь

Сообщения 15 Реакции 0
Посмотрите список пользователей через управлением компьютером
Вроде зашёл в управление компьютером,но списка пользователей нет.

akok

Команда форума
Администратор
Ассоциация VN
Сообщения 24,521 Реакции 13,565
Какой то из вариантов должен сработать.

g-ek.com

Как получить Список всех учетных записей пользователей в Windows 10.

В Windows 10, вы можете быстро проверить полную информацию обо всех учетных записях пользователей, используя данное руководство.

Artem223
Новый пользователь

Сообщения 15 Реакции 0
Какой то из вариантов должен сработать.

g-ek.com

Как получить Список всех учетных записей пользователей в Windows 10.

В Windows 10, вы можете быстро проверить полную информацию обо всех учетных записях пользователей, используя данное руководство.

Вложения

Безымянный.png
83.1 KB · Просмотры: 28

Sandor

Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 15,179 Реакции 3,225
Да,с поддержкой сети.
А файл AVbr.exe переименовали?

Artem223
Новый пользователь

Сообщения 15 Реакции 0
А файл AVbr.exe переименовали?

Нет,он запускался без переименования,но сейчас переименовал и поставил в ‘Совместимость’ запуск от имени администратора.

Sandor

Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 15,179 Реакции 3,225
Продолжайте.

Artem223
Новый пользователь

Сообщения 15 Реакции 0
Продолжайте.

Вложения

изображение_2023-01-21_125339723.png
37.6 KB · Просмотры: 30

Sandor

Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 15,179 Реакции 3,225
Отвечайте «Да».

Artem223
Новый пользователь

Сообщения 15 Реакции 0
Отвечайте «Да».

Вложения

AV_block_remove_2023.01.21-12.50.log
13.4 KB · Просмотры: 2

Artem223
Новый пользователь

Сообщения 15 Реакции 0

Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

12.50.log-я не выбирал ничего в ‘Область поиска’
13.45.log-выбрал в ‘Область поиска’ диски C и D

Вложения

AV_block_remove_2023.01.21-12.50.log
13.4 KB · Просмотры: 0
AV_block_remove_2023.01.21-13.41.log
11.4 KB · Просмотры: 0

Sandor

Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 15,179 Реакции 3,225

Выбирать ничего и не нужно, если об этом не сказано в инструкции.

Соберите, пожалуйста, архив CollectionLog с помощью Автологера по правилам раздела — Правила оформления запроса о помощи

Artem223
Новый пользователь

Сообщения 15 Реакции 0

Выбирать ничего и не нужно, если об этом не сказано в инструкции.

Соберите, пожалуйста, архив CollectionLog с помощью Автологера по правилам раздела — Правила оформления запроса о помощи

Вложения

CollectionLog-2023.01.22-13.36.zip
50.4 KB · Просмотры: 2

Sandor

Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 15,179 Реакции 3,225

Тут в целом — порядок.
В современных операционных системах дефрагментация диска сторонними программами — лишнее (даже нежелательное).
Поэтому советую деинсталлировать:

Defraggler
MyDefrag v4.3.1
Driver Booster 10

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *