Во многих инструкциях по удалению Adware, Malware и других нежелательных программ с компьютера есть пункт о необходимости проверки запущенных процессов Windows на наличие подозрительных процессов после использования средств автоматического удаления вредоносного ПО. Однако это не так просто для пользователя без серьезного опыта работы с операционной системой — список запущенных программ в диспетчере задач ему мало поможет.
Для проверки и анализа запущенных процессов (программ) в Windows 10, 8, Windows 7 и XP можно использовать бесплатную утилиту CrowdStrike CrowdInspect, о которой мы расскажем в этом обзоре. См. Также: Как избавиться от AdWare в браузере.
Использование CrowdInspect для анализа запущенных процессов Windows
CrowdInspect не требует установки на ваш компьютер и представляет собой архив .zip с одним исполняемым файлом crowdinspect.exe, который может создать другой файл при запуске для 64-битных систем Windows. Для работы программы потребуется подключенное интернет-соединение.
При первом запуске необходимо принять условия лицензионного соглашения с помощью кнопки "Принять", а в следующем окне, при необходимости, настроить интеграцию с сервисом онлайн-проверки вирусов VirusTotal (и, при необходимости, отключить загрузку неизвестных файлов в этот сервис, установите флажок "Загружать неизвестные файлы").
После нажатия кнопки OK на короткое время откроется рекламное окно платной защиты CrowdStrike Falcon, а затем главное окно CrowdInspect со списком запущенных в Windows процессов и полезной информацией о них.
Сначала информация о важных колонках в CrowdInspect
- Процесс Имя — название процесса. Вы также можете отобразить полные пути к исполняемым файлам, нажав кнопку "Полный путь" в главном меню программы.
- Вставить — Проверка на внедрение кода процессом (в некоторых случаях это может дать положительные результаты для антивирусов). При подозрении на угрозу отображается двойной восклицательный знак и красный значок.
- VT или HA — Результат проверки файла процесса в VirusTotal (процент соответствует проценту антивирусов, считающих файл опасным). В последней версии отображается колонка HA, а анализ проводится с помощью онлайн-сервиса Hybrid Analysis (возможно, более эффективного, чем VirusTotal).
- MHR — Проверить результат в Team Cymru Malware Hash Repository (база данных контрольных сумм известных вредоносных программ). Отображает красный значок и двойной восклицательный знак при наличии хэша процесса в базе данных.
- WOT — Когда процесс осуществляет соединения с сайтами и серверами в Интернете, результат проверки этих серверов в службе репутации Web Of Trust
Остальные столбцы содержат информацию об интернет-соединениях, установленных процессом: тип соединения, состояние, номера портов, локальный IP-адрес, удаленный IP-адрес и представление этого адреса в DNS.
Примечание: вы можете заметить, что одна вкладка браузера отображается как набор из десятка или более процессов в CrowdInspect. Причина этого заключается в том, что для каждого соединения, осуществляемого одним процессом, отображается отдельная строка (в то время как обычный веб-сайт, открытый в браузере, заставляет вас подключаться сразу ко многим серверам в Интернете). Вы можете отключить этот тип сопоставления, выключив кнопку TCP и UDP в верхней строке меню.
Другие пункты меню и управления:
- Live / История — Переключает режим отображения (режим реального времени или режим списка, который показывает время запуска каждого процесса).
- Пауза — Приостановить сбор информации.
- Kill Процесс — завершить выбранный процесс.
- Закрыть TCP — Завершить TCP/IP соединение для процесса.
- Свойства — откройте стандартное окно Windows со свойствами исполняемого файла процесса.
- VT Результаты — Открыть окно с результатами проверки VirusTotal и ссылкой на результат проверки на сайте.
- Скопируйте Все — копирование всей представленной информации об активных процессах в буфер обмена.
- Для каждого процесса при щелчке правой кнопкой мыши также доступно контекстное меню с основными операциями.
Я полагаю, что к этому времени более опытные пользователи подумали: "это отличный инструмент", но новички не совсем понимали, для чего он нужен и как его можно использовать. Поэтому для новичков это максимально просто:
- Если у вас есть подозрения, что на вашем компьютере происходит что-то плохое, и вы уже проверили его антивирусом или утилитой типа AdwCleaner. Best Tools to Remove Malware), вы можете взглянуть на Crowd Inspect, чтобы узнать, нет ли подозрительных фоновых программ, запущенных в Windows.
- Процессы с высоким процентом в столбце VT, отмеченном красным цветом, и/или в столбце MHR, отмеченном красным цветом, следует считать подозрительными. Вы не увидите красных иконок в Inject, но если увидите, обратите внимание, что.
- Что делать, если процесс подозрительный: Просмотреть его результаты в VirusTotal, нажав VT Results и перейдя по ссылке с результатами антивирусного сканирования файлов. Вы можете попробовать поискать имя файла в интернете — распространенные угрозы обычно обсуждаются на форумах и сайтах поддержки.
- Если сделан вывод, что файл вредоносный — попробуйте убрать его из автозапуска, удалить программу, к которой принадлежит процесс, и использовать другие методы избавления от угрозы.
Примечание: следует помнить, что с точки зрения многих антивирусов различные виды "загрузчиков" и подобных инструментов, популярных в нашей стране, могут быть потенциально нежелательным ПО, которое будет отображаться в колонках VT и/или MHR Crowd Inspect. Но это не обязательно означает, что они опасны — каждый случай следует рассматривать индивидуально.
Скачать Crowd Inspect бесплатно с официального сайта https://www.crowdstrike.com/resources/community-tools/crowdinspect-tool/ (после нажатия кнопки загрузки, следующая страница попросит вас принять условия лицензии, нажав Accept для начала загрузки). Также может быть полезно: Лучшие бесплатные антивирусы для Windows 10, 8 и Windows 7.
