プロセスは Windows の定番であり、タスク マネージャーに数十、数百ものプロセスが表示されることも珍しくありません。
各プロセスは、現在実行中のプログラムまたはプログラムの一部です。残念ながら、マルウェア作成者はこのことを知っており、正規のプロセス名の背後にウイルスを隠すことが知られています。
ここでは、最も一般的にハイジャックまたは複製されるプロセスの一部と、そのプロセスの配置場所および悪意のあるバージョンを特定する方法を示します。
Svchost.exe
サービス ホスト (svchost.exe) は、共有サービス プロセスです。これにより、他のさまざまな Windows サービスがプロセスを共有できるようになります。これにより、リソースの使用量が削減され、システムの効率が向上します。タスク マネージャーには svchost.exe のインスタンスが複数表示されますが、これは正常な現象です。これらのファイルの 1 つ以上がマルウェアによって侵害されると、コンピューターのパフォーマンスが大幅に低下する可能性があります。
正規の svchost ファイルは次の場所にあります。C:\Windows\システム32。ハイジャックされたと思われる場合は、C:\Windows\Temp を確認してください。そこに svchost.exe が表示される場合、それは悪意のあるファイルである可能性があります。ウイルス対策ソフトウェアでファイルをスキャンし、必要に応じて隔離します。
エクスプローラー.exe
Explorer.exe は Windows のグラフィカル インターフェイスを担当します。これがなければ、タスクバー、スタート メニュー、ファイル マネージャー、さらにはデスクトップさえも存在しません。したがって、これは Windows の重要な部分であり、無効にすることはできません。
trojan.w32.ZAPCHAST など、いくつかのウイルスは、explorer.exe ファイル名を使用して非表示にすることができます。正規のファイルは次の場所にあります。C:\Windows。 System32 でそれを見つけた場合は、必ずウイルス対策ソフトウェアでチェックしてください。
Winlogon.exe
winlogon.exe プロセスは、Windows オペレーティング システムの重要な部分です。ログイン時にユーザーのプロファイルをロードしたり、スクリーンセーバーの実行時にコンピューターをロックしたりする処理が行われます。残念ながら、Windows ログオンと winlogon.exe プロセスはセキュリティ要素を処理するため、脅威の一般的な標的となります。
Vundo を含むいくつかのトロイの木馬は、winlogon.exe として隠蔽または偽装される可能性があります。 winlogon.exe ファイルの通常の場所は次のとおりです。C:\Windows\システム32。 C:\Windows\WinSecurity で見つかった場合は、悪意のあるファイルである可能性があります。メモリ使用量が異常に高い場合は、winlogon.exe プロセスがハイジャックされたことを示しています。
Csrss.exe
クライアント/サーバー ランタイム サブシステム (csrss.exe) は、Windows に不可欠なプロセスです。最新バージョンの Windows ではそれほど広く使用されていませんが、システムでは依然として必要とされており、無効にすることはできません。
Nimda.E ウイルスは csrss.exe プロセスを模倣することが知られていますが、潜在的な脅威はそれだけではありません。正規のファイルは System32 フォルダーまたは SysWOW64 フォルダーにある必要があります。プロセスを右クリックしますcsrss.exeでタスクマネージャーそして選択してくださいファイルの場所を開く。他の場所にある場合は、悪意のあるファイルである可能性があります。
Lsass.exe
Lsass.exe は、Windows セキュリティ ポリシーを担当する重要なプロセスです。他のセキュリティ手順の中でも特に、ログイン名とパスワードがチェックされます。このプロセスがハイジャックされる可能性はほとんどありません。正常に動作しない場合、通常はコンピュータから自動的にログアウトされます。しかし、ウイルスはファイル名を使用して隠すことが知られています。
ファイルを見つけるlsass.exeでC:\Windows\システム32。ここが唯一の場所です。 C:\Windows\System や C:\Program Files などの別の場所でこのファイルが見つかった場合は、疑いを持ち、ウイルス対策ツールを使用してファイルをスキャンしてください。
Services.exe
services.exe プロセスは、さまざまな重要な Windows サービスの開始と停止を担当します。このリストにある他の Windows プロセスと同様に、ウイルスやマルウェアを隠すことができるため、ウイルスやマルウェアの標的となります。
ファイルがハイジャックされると、PC の起動とシャットダウンに問題が発生する可能性があります。実際のファイルを見つけるサービス.exeファイルの中にシステム32。 C:\Windows\ConnectionStatus など、他の場所にある場合は、ウイルスである可能性があります。
スプールv.exe
Windows 印刷スプーラー サービス (spoolsv.exe) は、印刷インターフェイスの重要な部分です。バックグラウンドで実行され、必要に応じて印刷キューなどの処理を待機します。このプロセスはプリンターの接続に依存しないため、タスク マネージャーに表示されても驚かないでしょう。
おそらく、spoolsv.exe は見落とされやすいため、ウイルスがこの名前を使用して自身を正当であるかのように見せかけることができます。実際の spoolsv.exe ファイルは C:\Windows\System32 にあります。偽のファイルは、多くの場合、C:\Windows またはユーザーのプロファイル内のフォルダーに表示されます。
ここで説明するプロセスは、Windows が適切に機能するために不可欠です。しかし、すべてがそうなるわけではなく、パフォーマンスを向上させるために、多くの重要でないプロセスを閉じることもできます。
プロセスが正当であるかどうかを確認するにはどうすればよいですか?
タスク マネージャーは、不審なアクティビティを探すときの味方です。感染したプロセスは不安定な動作をすることが多く、通常よりも多くの CPU パワーとメモリを消費します。しかし、常にそうとは限りません。プロセスの正当性を確認する他の方法は次のとおりです。
ここにリストされている重要なプロセスのほとんどは、System32 フォルダーにのみ存在します。タスクマネージャーで不審なファイルの場所を簡単に確認できます。プロセスを右クリックして選択しますファイルの場所を開く。開いたフォルダーのパスを調べて、ファイルが正しい場所にあることを確認します。
ファイルが正当かどうかを知るもう 1 つの方法は、ファイルのサイズを確認することです。これらの重要なプロセスの .exe ファイルのほとんどは 200 KB 未満です。内のプロセス名を右クリックします。タスクマネージャー、選択しますプロパティそしてそのサイズを確認してください。プロセスのサイズが異常に大きいと思われる場合は、プロセスを詳しく調べて安全かどうかを判断してください。
EXE ファイルの証明書も確認できます。正規のファイルには Microsoft が発行したセキュリティ証明書が付いています。他に何か表示される場合は、悪意のあるファイルである可能性があります。
最後に行うことは、最新のウイルス対策ソフトウェアを使用して疑わしいファイルをスキャンすることです。感染していると報告されたすべてのファイルを隔離して削除します。幸いなことに、Windows の最新バージョンには Microsoft Defender が含まれています。
結論
Windows PC をマルウェアやウイルスから保護するには、それらがどこに隠れているかを知る必要があります。悪意のあるファイルが異常な動作をし、CPU とメモリを過剰に使用することがあります。しかし、常にそうとは限りません。したがって、他の手段で疑わしいファイルを特定する方法を知っておくと役立ちます。
