Проверка процессов Windows на наличие вирусов и угроз в CrowdInspect

Во многих инструкциях по удалению Adware, Malware и других нежелательных программ с компьютера есть пункт о необходимости проверки запущенных процессов Windows на наличие подозрительных процессов после использования средств автоматического удаления вредоносного ПО. Однако это не так просто для пользователя без серьезного опыта работы с операционной системой — список запущенных программ в диспетчере задач ему мало поможет.

Для проверки и анализа запущенных процессов (программ) в Windows 10, 8, Windows 7 и XP можно использовать бесплатную утилиту CrowdStrike CrowdInspect, о которой мы расскажем в этом обзоре. См. Также: Как избавиться от AdWare в браузере.

Использование CrowdInspect для анализа запущенных процессов Windows

CrowdInspect не требует установки на ваш компьютер и представляет собой архив .zip с одним исполняемым файлом crowdinspect.exe, который может создать другой файл при запуске для 64-битных систем Windows. Для работы программы потребуется подключенное интернет-соединение.

При первом запуске необходимо принять условия лицензионного соглашения с помощью кнопки "Принять", а в следующем окне, при необходимости, настроить интеграцию с сервисом онлайн-проверки вирусов VirusTotal (и, при необходимости, отключить загрузку неизвестных файлов в этот сервис, установите флажок "Загружать неизвестные файлы").

После нажатия кнопки OK на короткое время откроется рекламное окно платной защиты CrowdStrike Falcon, а затем главное окно CrowdInspect со списком запущенных в Windows процессов и полезной информацией о них.

Сначала информация о важных колонках в CrowdInspect

  • Процесс Имя — название процесса. Вы также можете отобразить полные пути к исполняемым файлам, нажав кнопку "Полный путь" в главном меню программы.
  • Вставить — Проверка на внедрение кода процессом (в некоторых случаях это может дать положительные результаты для антивирусов). При подозрении на угрозу отображается двойной восклицательный знак и красный значок.
  • VT или HA — Результат проверки файла процесса в VirusTotal (процент соответствует проценту антивирусов, считающих файл опасным). В последней версии отображается колонка HA, а анализ проводится с помощью онлайн-сервиса Hybrid Analysis (возможно, более эффективного, чем VirusTotal).
  • MHR — Проверить результат в Team Cymru Malware Hash Repository (база данных контрольных сумм известных вредоносных программ). Отображает красный значок и двойной восклицательный знак при наличии хэша процесса в базе данных.
  • WOT — Когда процесс осуществляет соединения с сайтами и серверами в Интернете, результат проверки этих серверов в службе репутации Web Of Trust

Остальные столбцы содержат информацию об интернет-соединениях, установленных процессом: тип соединения, состояние, номера портов, локальный IP-адрес, удаленный IP-адрес и представление этого адреса в DNS.

Примечание: вы можете заметить, что одна вкладка браузера отображается как набор из десятка или более процессов в CrowdInspect. Причина этого заключается в том, что для каждого соединения, осуществляемого одним процессом, отображается отдельная строка (в то время как обычный веб-сайт, открытый в браузере, заставляет вас подключаться сразу ко многим серверам в Интернете). Вы можете отключить этот тип сопоставления, выключив кнопку TCP и UDP в верхней строке меню.

Другие пункты меню и управления:

  • Live / История — Переключает режим отображения (режим реального времени или режим списка, который показывает время запуска каждого процесса).
  • Пауза — Приостановить сбор информации.
  • Kill Процесс — завершить выбранный процесс.
  • Закрыть TCP — Завершить TCP/IP соединение для процесса.
  • Свойства — откройте стандартное окно Windows со свойствами исполняемого файла процесса.
  • VT Результаты — Открыть окно с результатами проверки VirusTotal и ссылкой на результат проверки на сайте.
  • Скопируйте Все — копирование всей представленной информации об активных процессах в буфер обмена.
  • Для каждого процесса при щелчке правой кнопкой мыши также доступно контекстное меню с основными операциями.

Я полагаю, что к этому времени более опытные пользователи подумали: "это отличный инструмент", но новички не совсем понимали, для чего он нужен и как его можно использовать. Поэтому для новичков это максимально просто:

  1. Если у вас есть подозрения, что на вашем компьютере происходит что-то плохое, и вы уже проверили его антивирусом или утилитой типа AdwCleaner. Best Tools to Remove Malware), вы можете взглянуть на Crowd Inspect, чтобы узнать, нет ли подозрительных фоновых программ, запущенных в Windows.
  2. Процессы с высоким процентом в столбце VT, отмеченном красным цветом, и/или в столбце MHR, отмеченном красным цветом, следует считать подозрительными. Вы не увидите красных иконок в Inject, но если увидите, обратите внимание, что. Угрозы в процессах CrowdInspect
  3. Что делать, если процесс подозрительный: Просмотреть его результаты в VirusTotal, нажав VT Results и перейдя по ссылке с результатами антивирусного сканирования файлов. Вы можете попробовать поискать имя файла в интернете — распространенные угрозы обычно обсуждаются на форумах и сайтах поддержки. Результаты процесса CrowdInspect в VirusTotal
  4. Если сделан вывод, что файл вредоносный — попробуйте убрать его из автозапуска, удалить программу, к которой принадлежит процесс, и использовать другие методы избавления от угрозы.

Примечание: следует помнить, что с точки зрения многих антивирусов различные виды "загрузчиков" и подобных инструментов, популярных в нашей стране, могут быть потенциально нежелательным ПО, которое будет отображаться в колонках VT и/или MHR Crowd Inspect. Но это не обязательно означает, что они опасны — каждый случай следует рассматривать индивидуально.

Скачать Crowd Inspect бесплатно с официального сайта https://www.crowdstrike.com/resources/community-tools/crowdinspect-tool/ (после нажатия кнопки загрузки, следующая страница попросит вас принять условия лицензии, нажав Accept для начала загрузки). Также может быть полезно: Лучшие бесплатные антивирусы для Windows 10, 8 и Windows 7.

Оцените статью
Добавить комментарий

  • Использование CrowdInspect для анализа запущенных процессов Windows
  • Использование CrowdInspect для анализа запущенных процессов Windows
  • Использование CrowdInspect для анализа запущенных процессов Windows
  • Различия между быстрым и полным форматированием диска
  • Быстрое или полное форматирование — какое и когда использовать
  • Форматирование SSD-накопителя
  • 8 способов запустить диспетчер задач Windows 10
  • Как открыть диспетчер задач — видеоинструкция
  • Настройка сетевых профилей в брандмауэре
  • Создание правил для входящих и исходящих соединений