Wiele instrukcji dotyczących usuwania Adware, Malware i innych niechcianych programów z komputera zawiera element dotyczący sprawdzania działających procesów systemu Windows pod kątem obecności podejrzanych programów po użyciu narzędzi do automatycznego usuwania złośliwego oprogramowania. Jednak nie jest tak proste, aby przejść do użytkownika bez poważnego doświadczenia z systemem operacyjnym - lista uruchomionych programów w menedżerze zadań może powiedzieć mu niewiele.
Bezpłatne narzędzie CrowdStrike CrowdInspect, zaprojektowane specjalnie do tego celu, które zostanie omówione w niniejszym przeglądzie, może pomóc w sprawdzeniu i analizie działających procesów (programów) Windows 10, 8 oraz Windows 7 i XP. Zobacz także: Jak pozbyć się reklam (AdWare) w przeglądarce.
Używanie CrowdInspect do analizy uruchomionych procesów Windows
CrowdInspect nie wymaga instalacji na komputerze i jest archiwum .zip z jednym plikiem wykonywalnym crowdinspect.exe, który przy starcie może utworzyć inny plik dla 64-bitowych systemów Windows. Program będzie wymagał połączenia z Internetem.
Przy pierwszym uruchomieniu konieczne będzie zaakceptowanie warunków umowy licencyjnej za pomocą przycisku Akceptuj, aw razie potrzeby w następnym oknie skonfiguruj integrację z usługą VirusShot Online Virus Scan (i jeśli to konieczne, wyłącz ładowanie nieznanych wcześniej plików do tej usługi,zaznacz "Prześlij nieznane pliki").
Po kliknięciu "Ok" przez krótki czas otworzy się okno CrowdStrike Falcon opłacone oprogramowanie reklamowe, a następnie główne okno programu CrowdInspect z listą procesów uruchomionych w systemie Windows i przydatnymi informacjami na ich temat.
Po pierwsze, informacje o ważnych kolumnach w CrowdInspect
- Proces Imię - nazwa procesu. Możesz również wyświetlić pełne ścieżki do plików wykonywalnych, klikając przycisk "Pełna ścieżka" w menu głównym programu.
- Wstrzyknij - sprawdzenie procesu wstrzyknięcia kodu (w niektórych przypadkach może być pozytywny wynik dla antywirusa). W przypadku podejrzenia zagrożenia wydany zostaje podwójny wykrzyknik i czerwona ikona.
- VT - wynik sprawdzenia pliku procesu w VirusTotal (procent odpowiada procentowi antywirusów, które uważają plik za niebezpieczny).
- Mhr - Wynik kontroli w repozytorium Team Cymru Malware Hash Repozytorium (baza danych sum kontrolnych znanego szkodliwego oprogramowania). Wyświetla czerwoną ikonę i podwójny wykrzyknik, jeśli w bazie danych znajduje się skrót procesu.
- WOT - kiedy proces tworzy połączenia z lokacjami i serwerami w Internecie, wynik sprawdzenia tych serwerów w usłudze reputacji Web Of Trust
Pozostałe kolumny zawierają informacje o połączeniach internetowych ustanowionych przez proces: typ połączenia, status, numery portów, lokalny adres IP, zdalny adres IP i reprezentacja DNS tego adresu.
Uwaga: możesz zauważyć, że jedna karta przeglądarki jest wyświetlana jako zestaw kilkunastu procesów w CrowdInspect. Powodem tego jest to, że dla każdego połączenia ustanowionego przez pojedynczy proces wyświetlana jest osobna linia (a zwykła strona internetowa otwierana w przeglądarce umożliwia jednoczesne łączenie się z wieloma serwerami w Internecie). Możesz wyłączyć ten typ wyświetlania, wyłączając przycisk TCP i UDP na górnym pasku menu.
Inne pozycje menu i elementy sterujące:
- Na żywo / Historia - przełącza tryb wyświetlania (w czasie rzeczywistym lub listę, na której wyświetlany jest czas rozpoczęcia każdego procesu).
- Wstrzymaj - umieścić zbieranie informacji na temat pauzy.
- Kill Proces - zakończyć wybrany proces.
- Zamknij Tcp - zakończyć połączenie TCP / IP dla procesu.
- Właściwości - otwórz standardowe okno systemu Windows z właściwościami pliku wykonywalnego procesu.
- VT Wyniki - otwórz okno ze skanowaniem wyników w VirusTotal i link do wyniku skanowania na stronie.
- Kopiuj Wszystko - skopiuj wszystkie przesłane informacje o aktywnych procesach do schowka.
- Również dla każdego procesu po kliknięciu prawym przyciskiem myszy dostępne jest menu kontekstowe z podstawowymi czynnościami.
Przyznaję, że bardziej doświadczeni użytkownicy do tej pory pomyśleli: "świetne narzędzie", a początkujący nie bardzo rozumieli, jaki był jego użytek i jak można go wykorzystać.Dlatego dla początkujących jest to krótkie i proste:
- Jeśli podejrzewasz, że na Twoim komputerze dzieje się coś złego, a program antywirusowy i narzędzia, takie jak AdwCleaner, sprawdziły już Twój komputer (zobacz Najlepsze narzędzia do usuwania złośliwego oprogramowania), możesz spojrzeć na Crowd Inspect i sprawdzić, czy działają jakieś podejrzane programy działające w tle w oknach.
- Podejrzane procesy należy rozpatrywać z czerwonym znaczkiem z wysokim procentem w kolumnie VT i (lub) czerwonym znakiem w kolumnie MHR. Czerwone ikony w iniekcji są mało prawdopodobne, ale jeśli widzisz - również zwracaj uwagę.
- Co zrobić, jeśli proces jest podejrzany: zobacz jego wyniki w VirusTotal, klikając przycisk VT Results, a następnie klikając łącze z wynikami antywirusowego skanowania pliku. Możesz spróbować wyszukać nazwę pliku w Internecie - typowe zagrożenia są zazwyczaj omawiane na forach i stronach pomocy technicznej.
- Jeśli wynik zakończy się, że plik jest złośliwy - spróbuj usunąć go z uruchamiania, usuń program, do którego ten proces się stosuje, i użyj innych metod, aby pozbyć się zagrożenia.
Uwaga: należy pamiętać, że z punktu widzenia wielu programów antywirusowych, różnych "programów do pobierania" i podobnych narzędzi, które są popularne w naszym kraju,może być potencjalnie niepożądanym oprogramowaniem, które pojawi się w kolumnach VT i (lub) narzędzia MHR Crowd Inspect. Nie oznacza to jednak, że są one niebezpieczne - każdy przypadek powinien być tutaj rozważony.
Pobierz Crowd Inspect za darmo z oficjalnej strony. https://www.crowdstrike.com/resources/community-tools/crowdinspect-tool/ (po kliknięciu przycisku pobierania, na następnej stronie musisz zaakceptować warunki licencji, klikając przycisk Akceptuj, aby rozpocząć pobieranie). Również przydatny: Najlepszy darmowy antywirus dla Windows 10, 8 i Windows 7.