Podejrzany proces w Menedżerze zadań. Jak ocenić, czy jest groźny?

Menedżer zadań w Windows potrafi pokazać dziesiątki procesów o mało zrozumiałych nazwach. Dla początkującego użytkownika svchost.exe, Runtime Broker, conhost.exe, wsappx czy różne usługi producenta laptopa mogą wyglądać podejrzanie, choć często są całkowicie normalne. Sama dziwna nazwa nie oznacza jeszcze wirusa. Problem zaczyna się wtedy, gdy proces działa z nietypowej lokalizacji, mocno obciąża komputer, nie ma znanego producenta albo udaje składnik systemu.

Pierwsza zasada jest prosta: nie kończ i nie usuwaj procesu tylko dlatego, że go nie znasz. Windows uruchamia wiele usług w tle, a część z nich występuje w kilku kopiach jednocześnie. Dobrym przykładem jest svchost.exe, czyli proces hostujący usługi systemowe. Jego obecność w Menedżerze zadań jest normalna, o ile plik znajduje się we właściwej lokalizacji.

Podejrzane są natomiast nazwy, które próbują podszyć się pod znane elementy systemu, ale zawierają literówki, np. svhost.exe zamiast svchost.exe, expl0rer.exe zamiast explorer.exe albo winlogon32.exe zamiast winlogon.exe. Takie nazwy mają wyglądać znajomo, ale mogą wskazywać na próbę ukrycia złośliwego programu.

Najważniejszy krok to sprawdzenie, skąd proces został uruchomiony. W Menedżerze zadań kliknij podejrzany proces prawym przyciskiem myszy i wybierz Otwórz lokalizację pliku. Jeśli proces jest legalny, jego folder często od razu podpowie, do jakiego programu należy.

Procesy systemowe Windows zwykle znajdują się w lokalizacjach takich jak C:\Windows\System32, C:\Windows\SysWOW64 albo C:\Windows\WinSxS. Programy użytkownika najczęściej działają z folderów C:\Program Files lub C:\Program Files (x86).

Większą ostrożność zachowaj, jeśli plik znajduje się w folderach typu AppData, Temp, Pobrane albo w katalogu o losowej nazwie. Przykładowo svchost.exe w C:\Windows\System32 może być poprawnym procesem systemowym, ale svchost.exe uruchomiony z C:\Users\Nazwa\AppData\Roaming powinien wzbudzić czujność.

Po otwarciu lokalizacji kliknij plik prawym przyciskiem myszy, wybierz Właściwości i sprawdź informacje o pliku. Zwróć uwagę na pola Opis, Produkt, Firma oraz kartę Podpisy cyfrowe.

Pliki Microsoftu powinny być podpisane przez Microsoft Corporation lub podobną nazwę związaną z Microsoftem. Programy znanych producentów, np. NVIDIA, AMD, Intel, Adobe czy Google, również zwykle mają podpis cyfrowy. Brak podpisu nie zawsze oznacza zagrożenie, ale w połączeniu z dziwną lokalizacją i nietypowym zachowaniem procesu jest ważnym sygnałem ostrzegawczym.

Jeśli plik wygląda jak składnik systemowy, ale nie ma podpisu Microsoftu i działa z folderu użytkownika, warto go potraktować jako potencjalnie podejrzany.

W Menedżerze zadań sprawdź użycie procesora, pamięci RAM, dysku, sieci i GPU. Samo wysokie użycie zasobów nie musi oznaczać infekcji. Komputer może właśnie instalować aktualizację, synchronizować pliki, indeksować dysk albo wykonywać skanowanie antywirusowe.

Podejrzane jest jednak długotrwałe, wysokie obciążenie bez wyraźnego powodu. Przykładowo nieznany proces, który przez cały czas używa dużej części procesora, intensywnie korzysta z sieci i nie należy do żadnego znanego programu, wymaga sprawdzenia. Podobnie wygląda sytuacja, gdy proces natychmiast uruchamia się ponownie po zakończeniu albo pojawia się przy każdym starcie systemu.

Jeśli proces wraca po restarcie komputera, może być dodany do autostartu. W Menedżerze zadań przejdź do sekcji Aplikacje uruchamiane podczas startu i zobacz, czy nie ma tam wpisów o dziwnej nazwie, bez wydawcy lub z nieznaną lokalizacją.

Warto też sprawdzić Harmonogram zadań, ponieważ część programów uruchamia się właśnie przez zaplanowane zadania. Złośliwe oprogramowanie również może korzystać z tej metody, aby startować po zalogowaniu użytkownika, co kilka minut albo po połączeniu z internetem.

Jeśli chcesz sprawdzić autostart dokładniej, możesz użyć narzędzia Autoruns z pakietu Microsoft Sysinternals. Pokazuje ono znacznie więcej miejsc startowych niż standardowy Menedżer zadań, ale wymaga ostrożności. Nie należy wyłączać wszystkiego na ślepo.

Opcja Wyszukaj online w Menedżerze zadań może pomóc, ale trzeba korzystać z niej rozsądnie. W internecie jest wiele stron, które opisują każdy proces jako potencjalne zagrożenie i zachęcają do pobrania podejrzanych "naprawiaczy systemu". Lepiej opierać się na stronach producenta programu, dokumentacji Microsoftu albo zaufanych serwisach bezpieczeństwa.

Dobrym sposobem jest wyszukanie nie tylko nazwy procesu, ale także jego lokalizacji, nazwy producenta i nazwy folderu. Przykładowo samo update.exe niewiele mówi, ale update.exe w folderze Google może być normalnym aktualizatorem, a update.exe w losowym katalogu AppData wymaga większej uwagi.

Jeśli proces nadal wygląda podejrzanie, nie usuwaj go od razu ręcznie. Najpierw przeskanuj plik. Kliknij go prawym przyciskiem myszy i wybierz opcję skanowania za pomocą Microsoft Defendera lub innego zaufanego antywirusa.

Warto wykonać także pełne skanowanie systemu. Przy poważniejszych podejrzeniach można użyć skanowania offline, które uruchamia się przed pełnym startem Windowsa i lepiej radzi sobie z niektórymi zagrożeniami. Jeśli antywirus coś wykryje, postępuj zgodnie z jego zaleceniami: kwarantanna, usunięcie lub ponowne uruchomienie komputera.

Największe ryzyko pojawia się wtedy, gdy występuje kilka objawów naraz. Przykładowo proces ma nazwę podobną do systemowej, działa z folderu AppData lub Temp, nie ma podpisu cyfrowego, zużywa dużo procesora, korzysta z sieci i wraca po restarcie. Taki zestaw sygnałów powinien skłonić do dokładnego sprawdzenia komputera.

Z kolei proces o dziwnej nazwie, ale znajdujący się w folderze znanego programu, podpisany przez producenta i niepowodujący problemów, często jest po prostu normalnym składnikiem aplikacji.