Os processos são uma parte inevitável do Windows e não é incomum ver dezenas ou centenas deles no Gerenciador de Tarefas. Cada processo é um programa ou parte de um programa em execução. Infelizmente, os criadores de malware sabem disso e são conhecidos por ocultar software malicioso por trás de nomes de processos legítimos.
Aqui estão alguns dos processos mais comumente sequestrados ou duplicados, junto com onde eles devem estar localizados e como identificar uma versão maliciosa.
1. svchost.exe
O Service Host, ou svchost.exe, é um processo de serviço compartilhado. Ele permite que vários outros serviços do Windows compartilhem processos. Isso ajuda a reduzir o uso de recursos, tornando o sistema mais eficiente. É quase certo que você verá mais de uma instância do Svchost.exe no Gerenciador de Tarefas, mas isso é normal. Se um ou mais desses arquivos estiverem comprometidos por malware, você poderá notar uma nítida redução no desempenho.
Os arquivos Svchost legítimos devem ser encontrados em C:\Windows\System32. Se você suspeitar que foi sequestrado, verifique C:\Windows\Temp. Se você vir svchost.exe aqui, pode ser um arquivo malicioso. Examine o arquivo com seu software antivírus e coloque-o em quarentena, se necessário.
2. Explorer.exe
Explorer.exe é responsável pelo shell gráfico. Sem ele, você não teria Barra de Tarefas, Menu Iniciar, Gerenciador de Arquivos ou até mesmo a Área de Trabalho. Portanto, é uma parte essencial do Windows e não pode ser desabilitada.
Vários vírus podem usar o nome de arquivo Explorer.exe para se esconder, incluindo trojan.w32.ZAPCHAST. O arquivo legítimo estará em C:\Windows. Se você encontrar em System32, você definitivamente deve verificar com seu software antivírus.
3. Winlogon.exe
O processo Winlogon.exe é uma parte essencial do sistema operacional Windows. Ele lida com coisas como carregar o perfil do usuário durante o login e bloquear o computador quando o protetor de tela é executado. Infelizmente, por lidar com elementos de segurança, o Windows Logon e o processo winlogon.exe são alvos comuns de ameaças.
Vários vírus Trojan, incluindo o Vundo, podem estar ocultos ou disfarçados como winlogon.exe. A localização usual do arquivo Winlogon.exe é C:\Windows\System32. Se você encontrar em C:\Windows\WinSecurity, pode ser malicioso. Uma boa indicação de que o processo foi sequestrado é o uso de memória excepcionalmente alto.
Vírus e malware não se escondem apenas atrás dos processos do Windows. Aqui estão alguns outras maneiras pelas quais o malware pode passar despercebido e se esconder em seu computador.
4. Csrss.exe
O Subsistema de Tempo de Execução Cliente/Servidor, ou Csrss.exe, é um processo essencial do Windows. Embora não seja tão amplamente utilizado nas versões modernas do Windows, ainda é exigido pelo sistema e não pode ser desativado.
O Nima. O vírus E é conhecido por imitar o processo Csrss.exe, embora essa não seja a única ameaça potencial. O arquivo legítimo deve estar localizado no System32 ou SysWOW64 pastas. Clique com o botão direito do mouse no processo Csrss.exe no Gerenciador de Tarefas e escolha Abrir local do Ficheiro. Se estiver localizado em qualquer outro lugar, é provável que seja um arquivo malicioso.
5. Lsass.exe
lsass.exe é um processo essencial responsável pela política de segurança no Windows. Ele verifica o nome de login e a senha, entre outros procedimentos de segurança. É improvável que o processo seja sequestrado. Se não estiver funcionando corretamente, você geralmente será desconectado automaticamente do seu computador. Mas os vírus são conhecidos por usar o nome do arquivo para se esconder.
Procure o arquivo Lsass.exe em C:\Windows\System32. Este é o único lugar onde você deve encontrá-lo. Se você o vir em outro local, como C:\Windows\sistema ou C:\Arquivos de programas, aja com desconfiança e verifique o arquivo com seu antivírus.
6. Services.exe
O processo Services.exe é responsável por iniciar e interromper vários serviços essenciais do Windows. Como os outros processos do Windows nesta lista, os vírus e malware o atacam porque permite que eles se escondam à vista de todos.
Se o arquivo for sequestrado, você poderá notar problemas durante a inicialização e desligamento do seu PC. Procure o arquivo Services.exe real no System32 pasta. Se estiver localizado em qualquer outro lugar, como em C:\Windows\ConnectionStatus, o arquivo pode ser um vírus.
Os processos mencionados aqui são essenciais para o bom funcionamento do Windows. Mas nem todos são, e muitos não essenciais os processos podem até ser fechados para ajudar no desempenho.
7. Spoolsv.exe
O Serviço de Spooler de Impressão do Windows, ou Spoolsv.exe, é uma parte importante da interface de impressão. Ele é executado em segundo plano, esperando para gerenciar coisas como a fila de impressão quando necessário. O processo não depende de ter uma impressora conectada, então você não deve se surpreender ao vê-lo no Gerenciador de Tarefas.
Talvez porque o Spoolsv.exe seja facilmente ignorado, um vírus pode usar o nome para parecer legítimo. O verdadeiro arquivo de spools pode ser encontrado em C:\Windows\System32. O arquivo falso geralmente aparece em C:\Windows, ou em uma pasta de perfil de usuário.
Como você verifica se um processo é legítimo?
O Gerenciador de Tarefas é seu amigo ao procurar atividades suspeitas. Os processos infectados geralmente se comportam de maneira irregular, consumindo mais energia da CPU e memória do que o normal. Mas nem sempre é esse o caso, então aqui estão algumas outras maneiras de verificar se um processo é legítimo.
A maioria dos processos essenciais listados aqui devem aparecer apenas na pasta System32. Você pode verificar facilmente a localização de um arquivo suspeito no Gerenciador de Tarefas. Clique com o botão direito do mouse no processo e selecione Abrir local do Ficheiro. Verifique o caminho da pasta que se abre para garantir que o arquivo esteja no lugar correto.
Outra maneira de saber se um arquivo é legítimo é verificar o tamanho. A maioria dos arquivos .exe desses processos essenciais terá menos de 200 kb. Clique com o botão direito do mouse no nome do processo no Gerenciador de Tarefas, selecione Propriedades e veja o tamanho. Se parecer extraordinariamente grande, observe mais de perto para determinar se é seguro.
Você também pode verifique o certificado do arquivo EXE. Um arquivo autêntico terá um certificado de segurança emitido pela Microsoft. Se você vir qualquer outra coisa, é provável que seja malicioso.
A última coisa a fazer é verificar os arquivos suspeitos com um antivírus atualizado. Coloque em quarentena e remova todos os arquivos sinalizados como infectados. Felizmente, as versões modernas do Windows vêm com o Microsoft Defender integrado, então aprenda como verificar um único arquivo ou pasta com o Microsoft Defender para verificar quaisquer arquivos suspeitos que você encontrar.
Os processos do Windows que podem estar escondendo um vírus
Parte de manter seu PC com Windows protegido contra malware e vírus é saber onde eles se escondem. Às vezes, um arquivo malicioso se comportará de maneira estranha, usando muita CPU e memória. Mas não sempre. Portanto, detectar um arquivo suspeito de outras maneiras é uma habilidade útil.
