Skani Vindozon-procesojn por virusoj kaj minacoj en CrowdInspect

Multaj instrukcioj pri la forigo de Adware, Malware kaj aliaj nedezirataj programoj el komputilo enhavas klaŭnon pri la neceso kontroli funkciajn Vindozajn procezojn por suspektindaj post uzado de aŭtomataj programoj pri forigo de malware. Tamen la uzanto ne estas tiel simpla sen serioza sperto kun la operaciumo - la listo de plenumeblaj programoj en la tasko-administranto malmulte povas diri al li.

Helpe en kontrolado kaj analizado de funkciaj procezoj (programoj) de Windows 10, 8 kaj Windows 7 kaj XP povas la senpaga utileco CrowdStrike CrowdInspect, desegnita specife por ĉi tiu celo, kiu estos diskutita en ĉi tiu revizio. Vidu ankaŭ: Kiel forigi reklamojn (AdWare) en retumilo.

Uzante CrowdInspect por Analizi Kuras Windows-Procezojn

CrowdInspect ne bezonas instaladon en komputilo kaj estas .zip-ar archiveivo kun sola plenumebla dosiero crowdinspect.exe, kiu ĉe ekkuro povas krei alian dosieron por Vindozaj sistemoj de 64 bitoj. Por ke la programo funkciu, vi bezonas konektitan interreton.

En la unua komenco, vi devos akcepti la kondiĉojn de la licenca interkonsento kun la butono Akcepti, kaj en la sekva fenestro, se necese, agordi la integriĝon kun la interreta servo de VirusTotal-skana viruso (kaj se necese, malebligi la elŝutadon de antaŭe nekonataj dosieroj al ĉi tiu servo, marki "Alŝuti nekonatajn dosierojn").

Post klakado de "Bone" por mallonga periodo, la reklama fenestro de la pagita sekureca ilo CrowdStrike Falcon malfermiĝos, kaj la ĉefa fenestro de la programo CrowdInspect kun listo de funkciaj procezoj en Vindozo kaj utilaj informoj pri ili.

Por komenco, informoj pri gravaj kolumnoj en CrowdInspect

• Procezo Nomo estas la nomo de la procezo. Vi ankaŭ povas montri la plenajn vojojn al plenumeblaj dosieroj alklakante la butonon "Plena Pado" en la ĉefa menuo de la programo.
• Injekti - kontrolado de koda injekto laŭ la procezo (en iuj kazoj, ĝi povas montri pozitivan rezulton por antivirusoj). Se oni minacas suspekton, oni montras duoblan signon kaj ruĝan ikonon.
• VT aŭ HA - la rezulto de kontrolado de la proceza dosiero en VirusTotal (la procento respondas al la procento de antivirusoj, kiuj konsideras la dosieron danĝera). La plej nova versio montras la kolumnon HA, kaj la analizo estas farata per la interreta servo de Hibrida Analizo (eble pli efika ol VirusTotal).
• Mhr - skanila rezulto en Hash-Reposerio de Team Cymru Malware (ĉesuma datumbazo de konataj malicaj programoj). Vidigas ruĝan ikonon kaj duoblan eksklampunkton se ekzistas proceso hash en la datumbazo.
• Wot - kiam la procezo plenumas ligojn kun retejoj kaj serviloj en la interreto, la rezulto de kontrolado de ĉi tiuj serviloj en la reputacio de servo Web Of Trust

La ceteraj kolumnoj enhavas informojn pri la interretaj rilatoj establitaj de la procezo: rilata tipo, stato, numeroj de haveno, loka IP-adreso, izolita IP-adreso kaj DNS-reprezentado de ĉi tiu adreso.

Noto: vi eble rimarkas, ke unu retumilo estas montrita kiel aro de dek aŭ pli da procezoj en CrowdInspect. La kialo por tio estas, ke aperos aparta linio por ĉiu rilato establita de unu sola procezo (kaj kutima retejo malfermita en retumilo devigas vin konekti al multaj serviloj en la interreto samtempe). Vi povas malebligi ĉi tiun specon de ekrano per malŝalti la butonon TCP kaj UDP en la supra menuo-stango.

Aliaj menuoj kaj kontrolo:

• Viva / Historio - ŝanĝas la montradan reĝimon (en reala tempo aŭ listo, en kiu aperas la komenca tempo de ĉiu procezo).
• Paŭzo - paŭzi la kolekton de informoj.
• Mortigu Procezo - kompletigu la elektitan procezon.
• Proksime TCP - fini la konekton TCP / IP por la procezo.
• Nemoveblaĵoj - malfermu norman Vindozan fenestron kun la ecoj de la plenumebla dosiero de la procezo.
• VT Rezultoj - malfermu fenestron kun la skanaj rezultoj en VirusTotal kaj ligilo al la skana rezulto en la retejo.
• Kopii Ĉiuj - kopiu ĉiujn ĵetitajn informojn pri aktivaj procezoj al la tondujo.
• Ankaŭ, por ĉiu procezo, dekstra-klaka menuo provizas kuntekstan menuon kun bazaj agoj.

Mi agnoskas, ke nun pli spertaj uzantoj pensis: "bonega ilo", kaj komencantoj ne tute komprenis, kiel utilas ĝi kaj kiel ĝi povas esti uzata. Kaj tial mallonge kaj simple kiel eble plej por komencantoj:

1. Se vi suspektas, ke io malbona okazas ĉe la komputilo, sed kun antivirus kaj utilecoj, kiel AdwCleaner, la komputilo jam estis kontrolita (vidu Plej bonaj iloj por forigo de malware), vi povas rigardi Crowd Inspect kaj vidi, ĉu ekzistas iuj suspektindaj fonaj programoj. en Vindozo.
2. Procezoj kun ruĝa marko kun alta procento en la VT-kolumno kaj / aŭ ruĝa marko en la MHR-kolumno devus esti konsiderataj suspektindaj. Vi verŝajne ne vidas ruĝajn ikonojn en Injekto, sed se vi vidas ĝin, atentu ankaŭ.
3. Kion fari se la procezo estas suspekta: rigardu ĝiajn rezultojn en VirusTotal alklakante la Rezultojn de VT-butono, kaj tiam alklakante la ligon kun la rezultoj de antivirus-skanado. Vi povas provi serĉi la dosiernomon en interreto - oftaj minacoj kutime diskutas sur forumoj kaj sur subtenaj retejoj.
4. Se rezulte oni konkludas, ke la dosiero estas malica, provu forigi ĝin de la ekfunkciigo, malinstali la programon, al kiu apartenas ĉi tiu procezo, kaj uzi aliajn metodojn por forigi la minacon.

Noto: Memoru, ke el la vidpunkto de multaj antivirusoj, diversaj "elŝutaj programoj" kaj similaj iloj popularaj en nia lando eble estas nedezirataj programoj, kiuj estos montritaj en la kolumnoj VT kaj / aŭ MHR de la utileco Crowd Inspect. Tamen tio ne nepre signifas, ke ili estas danĝeraj - indas pripensi ĉiun individuan kazon.

Vi povas elŝuti Crowd Inspect senpage el la oficiala retejo //www.crowdstrike.com/resources/community-tools/crowdinspect-tool/ (post alklaki la elŝuta butono, sur la sekva paĝo vi devos akcepti la licencajn terminojn per klako Akcepti por komenci elŝutadon). Ĝi ankaŭ povas esti oportuna: La plej bona senpaga antivirus por Vindozo 10, 8 kaj Windows 7.