أكثر 7 عمليات ويندوز والتي قد يتم إخفاء فيروسات بها وبدون معرفتك!
تعد العمليات جزءًا لا يتجزأ من ويندوز ولا يمكن تجنبه، وليس من غير المألوف رؤية العشرات أو حتى المئات من العمليات في إدارة المهام. كل عملية عبارة عن تطبيق قيد التشغيل أو جزء منه.
لسوء الحظ، يعرف مؤلفو البرامج الضارة ذلك وقد عُرف عنهم إخفاء التعليمات البرمجية السيئة خلف أسماء العمليات المشروعة.
فيما يلي بعض العمليات الأكثر شيوعًا التي يتم اختراقها أو استنساخها وأين يجب أن تكون وطريقة التعرف على الإصدار الضار. اكتشف كيف تدخل البرامج الضارة إلى متجر التطبيقات.
أكثر 7 عمليات ويندوز والتي قد يتم إخفاء فيروسات بها وبدون معرفتك!
1- عملية Spoolsv.exe
تعد خدمة ويندوز Print Spooler Service أو Spoolsv.exe جزءًا لا يتجزأ من واجهة الطباعة. يعمل في الخلفية وينتظر إدارة قوائم انتظار الطباعة وما إلى ذلك حسب الحاجة. لا تعتمد هذه العملية على اتصال الطابعة، لذلك لا تتفاجأ إذا رأيتها في إدارة المهام.
ربما يتم التغاضي عن Spoolsv.exe لدرجة أن الفيروس قد يستخدم اسمه ليجعل نفسه يبدو شرعيًا. يوجد ملف Spools الفعلي في المسار التالي:
C:\Windows\System32
غالبًا ما تظهر الملفات المزيفة في C:\Windows أو مجلد ملف تعريف المستخدم الخاص بك.
2- عملية svchost.exe
مضيف الخدمة (svchost.exe) هو عملية خدمة مشتركة. يسمح للعديد من خدمات ويندوز الأخرى بمشاركة العملية. هذا يقلل من استخدام الموارد ويجعل النظام أكثر كفاءة. في معظم الحالات، سترى مثيلات متعددة من ملف Svchost.exe في إدارة المهام، وهو أمر طبيعي.
إذا تم اختراق ملف أو أكثر من هذه الملفات بواسطة البرامج الضارة، فقد يتدهور الأداء بشدة.
يمكن العثور على ملف svchost شرعي في المسار التالي:
C:\Windows\System32
إذا كنت تشك في تعرض عمليتك للخطر، فتحقق من المسارات التالية:
C:\Windows\Temp
إذا رأيت ملف Svchost.exe هنا، فقد يكون ملفًا ضارًا. امسح الملف باستخدام أحد تطبيقات مكافحة الفيروسات وقم بعزله إذا لزم الأمر.
إليك أفضل برامج مكافحة الفيروسات لعام 2023
3- عملية Explorer.exe
Explorer.exe مسؤول عن الغلاف الرسومي الذي تشاهده. بدونها، لن يكون لديك شريط مهام أو قائمة ابدأ أو مدير ملفات أو حتى سطح مكتب. لذلك، فهي جزء مهم من ويندوز ولا يمكن تعطيلها.
يمكن للعديد من الفيروسات، بما في ذلك trojan.w32.ZAPCHAST، الاختباء خلفها باستخدام اسم الملف Explorer.exe.
الملف الشرعي موجود في المسار التالي:
C:\Windows
إذا وجدته في System32، فيجب عليك التحقق منه باستخدام تطبيق مكافحة الفيروسات المفضل لديك.
طريقة إصلاح مشاكل الملفات المضغوطة في نظام ويندوز (شرح بالصور)
4- عملية winlogon.exe
تعد عملية Winlogon.exe جزءًا مهمًا من ويندوز. إنه يتعامل مع أشياء مثل تحميل ملف تعريف المستخدم عند تسجيل الدخول وقفل الكمبيوتر عند تشغيل شاشة التوقف.
لسوء الحظ، يعد تسجيل الدخول إلى ويندوز وعملية winlogon.exe هدفين شائعين للتهديدات أثناء تعاملهما مع عناصر الأمان.
يمكن إخفاء العديد من أحصنة طروادة، بما في ذلك Vundo، داخل الملفات أو التنكر باسم winlogon.exe. الموقع المعتاد لـ Winlogon.exe هو المسار التالي:
C:\Windows\System32
إذا تم العثور عليه في مسار آخر، فقد يكون ضارًا، مثل:
C:\Windows\WinSecurity
أحد المؤشرات الواضحة على اختراق عملية ما هو استخدام ذاكرة مرتفع بشكل غير طبيعي.
5- عملية Csrss.exe
يعد النظام الفرعي لوقت تشغيل الخادم / العميل (Csrss.exe) أحد عمليات ويندوز الأساسية. على الرغم من عدم استخدامه كثيرًا في الإصدارات الحديثة من ويندوز، إلا أنه لا يزال مطلوبًا من قبل النظام ولا يمكن تعطيله.
من المعروف أن فيروس Nimda.E يحاكي عملية Csrss.exe، لكنه ليس التهديد الوحيد المحتمل.
كما توجد الملفات الشرعية في مجلد System32 أو SysWOW64. انقر بزر الماوس الأيمن فوق عملية Csrss.exe في إدارة المهام وحدد فتح موقع الملف. إذا كان في أي مكان آخر، فقد يكون ملفًا ضارًا.
حول مظهر ويندوز إلى مظهر ماك أو إس مع هذا البرنامج (شرح بالصور)
6- عملية Lsass.exe
lsass.exe هي العملية الأساسية المسؤولة عن سياسة أمان ويندوز. أين تتحقق من اسم تسجيل الدخول وكلمة المرور، من بين إجراءات أمنية أخرى. من غير المحتمل أن يتم اختطاف العملية.
إذا لم يكن يعمل بشكل صحيح، فعادةً ما يقوم بتسجيل خروجك من جهاز الكمبيوتر الخاص بك تلقائيًا. ومع ذلك، من المعروف أن الفيروسات تستخدم أسماء الملفات للاختباء.
حدد موقع ملف Lsass.exe في المسار التالي:
C:\Windows\System32
هذا هو المكان الوحيد الذي يجب أن تجده فيه.
إذا كان موجودًا في مكان آخر، مثل C:\Windows\system أو C: \ Program Files، فاعتبره مريبًا وافحص الملف باستخدام تطبيق مكافحة فيروسات.
ارتفاع استخدام وحدة معالجة الرسومات إلى 100% في ويندوز .. طريقة الإصلاح!
7- عملية Service.exe
تعتبر عملية Services.exe مسؤولة عن بدء وإيقاف العديد من خدمات ويندوز المهمة. مثل عمليات ويندوز الأخرى في هذه القائمة، تستهدفها الفيروسات والبرامج الضارة.
إذا تم اختراق الملفات، فقد تحدث مشكلات عند بدء تشغيل الكمبيوتر وإيقاف تشغيله. حدد موقع ملف Services.exe الفعلي في المجلد System32.
إذا كان في مكان آخر، مثل هذا المسار:
C:\Windows\ConnectionStatus
قد يكون الملف فيروس.
العملية الموضحة هنا ضرورية للحفاظ على تشغيل ويندوز بسلاسة. ومع ذلك، قد ترغب في إغلاق العديد من العمليات غير الأساسية، ولكن ليس كلها، لتحسين الأداء.
كيف تعرف ما إذا كانت عمليات ويندوز مشروعة؟
مدير المهام هو صديقك عند البحث عن نشاط مشبوه. تستهلك العمليات المصابة قدرًا أكبر من الطاقة والذاكرة ووحدة المعالجة المركزية أكثر من المعتاد وغالبًا ما تتصرف بطريقة متقطعة. ومع ذلك، ليس هذا هو الحال دائمًا، لذلك إليك بعض الطرق الأخرى للتحقق من صحة العملية.
تظهر معظم العمليات الأساسية المدرجة هنا فقط في مجلد System32. يمكنك بسهولة التحقق من موقع الملفات المشبوهة في إدارة المهام. انقر بزر الماوس الأيمن فوق العملية وحدد فتح موقع الملف. تحقق من مسار المجلد المفتوح للتأكد من أن الملف في المكان الصحيح.
هناك طريقة أخرى للتحقق مما إذا كان الملف شرعيًا وهي التحقق من حجمه. سيكون هذا هو حجم معظم ملفات exe. أقل من 200 كيلوبايت لهذه العمليات الأساسية. انقر بزر الماوس الأيمن على اسم العملية في مدير المهام وحدد الخصائص لمعرفة الحجم. إذا بدت كبيرة بشكل غير عادي، فقم بإلقاء نظرة فاحصة لتحديد ما إذا كانت آمنة.
يمكنك أيضًا التحقق من شهادة ملف EXE. يحتوي الملف الأصلي على شهادة أمان صادرة عن مايكروسوفت. إذا رأيت أي شيء آخر، فمن المحتمل أنه ضار.
آخر شيء تفعله هو فحص الملفات المشبوهة باستخدام برنامج مكافحة فيروسات محدث. عزل وحذف جميع الملفات التي تم وضع علامة عليها على أنها مصابة. لحسن الحظ، تأتي الإصدارات الحديثة من ويندوز مرفقة مع مايكروسوفت Defender،
عمليات ويندوز التي قد تخفي الفيروسات
للحفاظ على جهاز الكمبيوتر الذي يعمل بنظام ويندوز في مأمن من البرامج الضارة والفيروسات، من المهم معرفة مكان اختبائها. يمكن أن تستخدم الملفات الضارة قدرًا كبيرًا من وحدة المعالجة المركزية والذاكرة وتتصرف بشكل غريب. لكن ليس دائما. لذا فإن العثور على الملفات المشبوهة بوسائل أخرى يعد مهارة مفيدة.
