Как посмотреть скрытые процессы в диспетчере задач
Перейти к содержимому

Как посмотреть скрытые процессы в диспетчере задач

  • автор:

Как обнаружить скрытые вредоносные процессы в системе?

Некоторые вирусы скрывают свои процессы в диспетчере задач Windows. Таким образом человек даже не догадывается, что его компьютер заражен вирусом (по крайней мере до тех пор, пока вредоносное воздействие не перейдет в критическую стадию и станет очевидным. А бывает и так, что вирус никогда не обнаруживается).
Есть ли способы обнаружить эти скрытые процессы?

  • Вопрос задан более трёх лет назад
  • 47547 просмотров

1 комментарий

Средний 1 комментарий

1) Запомнишь со временем, если часто будешь с ними встречаться, они обычно занимают стандартное колво памяти и проца
2) есть прога PRIO она корректирует (win8 и win10 не поддерживает) диспетчер задач и подсвечивает честные файлы зелёным, как только честная прога обновляется, то подсвечивается красным

Решения вопроса 2

Jump

АртемЪ @Jump Куратор тега Windows
Системный администратор со стажем.

Простых способов нет.
Гарантированных способов не существует.
Только анализ поведения — что за программа, что делает, есть ли подпись, не совпадают ли сигнатуры.
Вирус обнаружить проще.
А вредоносная программа зачастую технически ничем не отличается от полезной, поэтому программно ее детектировать во многих случаях невозможно.

Ответ написан более трёх лет назад
Комментировать
Нравится 4 Комментировать
xmoonlight @xmoonlight
https://sitecoder.blogspot.com

Обнаруживать — без вариантов!
Вот пример.
Нужно поставить «чистую» систему и ЗАРАНЕЕ! настроить все права на запись и на запуск с помощью стороннего софта.
Например, Folder Guard.
Все новые — запускать в «песочнице» (или, что надёжнее, в виртуалке): SandBoxie

Ответ написан более трёх лет назад
Нравится 1 1 комментарий
не надо эти кричащие фразы!! ждостали уже
Ответы на вопрос 8
Saboteur @saboteur_kiev Куратор тега Windows
software engineer

Для начала нужно научиться обнаруживать стандартные процессы — знать что из них что делает, к чему относится, как себя ведет и как должен запускаться.

После этого уже можно искать нестандартные процессы.

Способы конечно есть, но объяснять их — значит научить человека администрированию windows на достаточно глубоком уровне. Это нельзя вместить в ответ на вопрос, а грубо говоря целый процесс обучения.

Ответ написан более трёх лет назад
Комментировать
Нравится 3 Комментировать

Plinio

Пользуйтесь Comodo
Cleaning Essentials и KillSwitch, они как раз предназначены для анализа и идентификации скрытых системных процессов. Первая специализируется на поиске вирусов и руткитов, очистке системы, вторая улучшенный аналог Диспечера задач, не только отображает сетевую активность и все процессы в виде древа, но и сверяет все активные по электронной подписи, подсвечивая подозрительные. Ещё там есть Autorun Analyzer, он покажет все процессы и службы в автозапуске. Плюс хорошая мысль добавить отдельно VirusTotal Uploader, чтобы проверять всё подозрительные файлы более чем 50 известными антивирусами, чтоб наверняка.

Ответ написан более трёх лет назад
Комментировать
Нравится 3 Комментировать

devspec

Помогло? Отметь решением

Как выше сказано — гарантированных способов нет.
Но можно проверить систему DrWeb CureIt, Malwarebytes AntiMalware, AVZ, Kaspersky Free.
У этих программ достаточно сильна эвристика — и они теоретически могут подсказать, если какой-то процесс ведет себя не так, как ожидается, даже если сигнатуры вируса нет в их базах.

Ответ написан более трёх лет назад
Комментировать
Нравится 1 Комментировать

morgane

analyse comportementale

Начать с простого и посмотреть сетевой трафик утилитой currports, при обнаружении подозрительной активности изучить процессы тем же process explorer.

Ответ написан более трёх лет назад
Комментировать
Нравится 1 Комментировать

Проверяйте каждый процесс
1) Подпись
Нет подписи у экзешника это уже не профессиональное ПО.
2) Место запуска
Если запущено не из програм файлс, то повод задуматься. Иногда ставится скайп или дропбокс в профиль пользователя. Но нормальное ПО. Стоит только в програм файлз, а не темповских папках с замудреными именами

Инструмент AVZ, AnvirrTaskManager
шерстите автозагрузку, плагины браузеров, планировщик задач.
Сначала надо прибить все не системные / неизвестные процессы.
У системных посмотреть используемые библиотеки (эти тулзы показывают)

Ответ написан более трёх лет назад
Комментировать
Нравится 1 Комментировать
кто знает, тот поймет

Есть простенькие программы типа Process Hacker, у него свой драйвер и он увидит скрытый процесс, но вы увидите ещё столько интересного, что без точного знания каждой строчки можете сделать ещё хуже.

Антивирусы тоже видят скрытые процессы и обычно реагируют на них негативно, так что сейчас чаще используют легальные проги нежели сокрытие процесса, либо внедрение в легальный процесс, что в разы безопасней.

Помню как три дня гонялся за полиморфным драйвером алкоголя. Когда поймал понял, для чего разрабы это сделали, много думал.

Решена Обнаружены подозрительные процессы и скрытые папки

Привет всем. Столкнулся с проблемой несколько дней назад.Обнаружил несколько подозрительных процессов,которые были в диспетчере задач,но не давали посмотреть расположение(т.е закрывался диспетчер и открывшаяся папка сразу).Проверил систему Dr.Web.Cureit-ом, удалил 17 файлов.(отчётливо помню названия audiodg,taskhost и winserv). После были проблемы с диспетчером задач(не запускался),а сегодня нашёл в скрытых папках пользователя John,которого тоже не было.Удалил через cmd.Ещё зашёл в редактор реестра и нашёл заблокированные процессы(в частности антивирусы). Помогите,пожалуйста.Думаю,что вирус ещё на компе.

Последнее редактирование: 20 Янв 2023

akok

Команда форума
Администратор
Ассоциация VN
Сообщения 24,736 Реакции 13,566

Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

Artem223
Новый пользователь

Сообщения 15 Реакции 0

Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

Не получается открыть от имени администратора.

akok

Команда форума
Администратор
Ассоциация VN
Сообщения 24,736 Реакции 13,566
В безопасном режиме?

Artem223
Новый пользователь

Сообщения 15 Реакции 0
В безопасном режиме?
Да,с поддержкой сети.

akok

Команда форума
Администратор
Ассоциация VN
Сообщения 24,736 Реакции 13,566
Посмотрите список пользователей через управлением компьютером

Artem223
Новый пользователь

Сообщения 15 Реакции 0
Посмотрите список пользователей через управлением компьютером
Как это сделать? В безопасном режиме или в обычном?
Последнее редактирование: 20 Янв 2023

Artem223
Новый пользователь

Сообщения 15 Реакции 0
Посмотрите список пользователей через управлением компьютером
Вроде зашёл в управление компьютером,но списка пользователей нет.

akok

Команда форума
Администратор
Ассоциация VN
Сообщения 24,736 Реакции 13,566
Какой то из вариантов должен сработать.

g-ek.com

Как получить Список всех учетных записей пользователей в Windows 10.

В Windows 10, вы можете быстро проверить полную информацию обо всех учетных записях пользователей, используя данное руководство.

Artem223
Новый пользователь

Сообщения 15 Реакции 0
Какой то из вариантов должен сработать.

g-ek.com

Как получить Список всех учетных записей пользователей в Windows 10.

В Windows 10, вы можете быстро проверить полную информацию обо всех учетных записях пользователей, используя данное руководство.

Вложения

Безымянный.png
83.1 KB · Просмотры: 34

Sandor

Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 15,512 Реакции 3,291
Да,с поддержкой сети.
А файл AVbr.exe переименовали?

Artem223
Новый пользователь

Сообщения 15 Реакции 0
А файл AVbr.exe переименовали?

Нет,он запускался без переименования,но сейчас переименовал и поставил в ‘Совместимость’ запуск от имени администратора.

Sandor

Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 15,512 Реакции 3,291
Продолжайте.

Artem223
Новый пользователь

Сообщения 15 Реакции 0
Продолжайте.

Вложения

изображение_2023-01-21_125339723.png
37.6 KB · Просмотры: 35

Sandor

Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 15,512 Реакции 3,291
Отвечайте «Да».

Artem223
Новый пользователь

Сообщения 15 Реакции 0
Отвечайте «Да».

Вложения

AV_block_remove_2023.01.21-12.50.log
13.4 KB · Просмотры: 2

Artem223
Новый пользователь

Сообщения 15 Реакции 0

Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

12.50.log-я не выбирал ничего в ‘Область поиска’
13.45.log-выбрал в ‘Область поиска’ диски C и D

Вложения

AV_block_remove_2023.01.21-12.50.log
13.4 KB · Просмотры: 0
AV_block_remove_2023.01.21-13.41.log
11.4 KB · Просмотры: 0

Sandor

Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 15,512 Реакции 3,291

Выбирать ничего и не нужно, если об этом не сказано в инструкции.

Соберите, пожалуйста, архив CollectionLog с помощью Автологера по правилам раздела — Правила оформления запроса о помощи

Artem223
Новый пользователь

Сообщения 15 Реакции 0

Выбирать ничего и не нужно, если об этом не сказано в инструкции.

Соберите, пожалуйста, архив CollectionLog с помощью Автологера по правилам раздела — Правила оформления запроса о помощи

Вложения

CollectionLog-2023.01.22-13.36.zip
50.4 KB · Просмотры: 2

Sandor

Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 15,512 Реакции 3,291

Тут в целом — порядок.
В современных операционных системах дефрагментация диска сторонними программами — лишнее (даже нежелательное).
Поэтому советую деинсталлировать:

Defraggler
MyDefrag v4.3.1
Driver Booster 10

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Скрытые процессы в Windows

Большинство пользователей, заметив заторможенность в работе своего верного компьютера, открывают Диспетчер задач и пытаются выяснить, какой же процесс так нагрузил систему. Но видя следующую картину, недоумевают – что же не так?

Однако, при внимательном осмотре проблему обнаружить довольно легко.
Для этого достаточно просто взглянуть в строку состояния Диспетчера задач.

Число 77 как-то не сочетается с количеством в списке процессов, представленных выше. Оказывается, в операционной системе Windows имеется возможность скрывать процессы в списке и этим, конечно же, не могли не воспользоваться различные программы с не очень хорошим функционалом (троянцы, рекламные и прочие). Чтобы просмотреть полный список выполняемых процессов придётся воспользоваться сторонним программным обеспечением. В Сети его довольно много, я же воспользовался программой Spyware Process Detector. Она условно-бесплатна, но 14-дневного триального периода для наших целей вполне достаточно. После запуска этой программы картина вырисовывается уже не такая радужная.

Список запущенных процессов резко расширился и в нём появились весьма подозрительные записи (Zitenop, Mail.Ru, makecab и прочее). Особое внимание обращайте на якобы системные названия: тот же makecab или DCHP (правильное написание DHCP). Внимательно смотрите путь запускаемого файла – нетипичное его расположение тоже может выдать вредоносный процесс. Будем пытаться от всего этого избавиться.
Для начала я бы посоветовал проверить компьютер на вирусы с помощью антивирусной лечащей утилиты, например Dr.Web CureIt!. Утилита не требует установки и может запускаться независимо от того, есть у вас другой антивирус или нет. В случае обнаружения угроз обезвреживаем их.

Затем нужно попробовать удалить установленные «левые» приложения. В стандартном апплете Панели управления Установка и удаление программ или Программы и компоненты (в зависимости от версии системы) вредные программы тоже научились скрываться, поэтому мы снова воспользуемся сторонним ПО – CCleaner. Устанавливаем программу, заходим в раздел Сервис > Удаление программ. Здесь уже список установленного софта повнушительнее будет. Удаляем все подозрительные программы, выбрав её в списке и нажав кнопку Деинсталляция.

После этого переходим в раздел Автозагрузка и удаляем все подозрительные пункты в этом списке, выделив его и нажав кнопку Удалить. Но лучше, если вы сомневаетесь в каком-то пункте или боитесь удалить что-то нужное, вместо кнопки Удалить нажмите Выключить. В этом случае вы всегда сможете включить назад ошибочно отключённый пункт, а удалить можно будет и потом, когда убедитесь, что всё сделали правильно.

Половина дела сделана. Теперь мы должны проверить список запущенных служб. Службы – это приложения, автоматически запускаемые системой при старте и не зависящие от пользователя. Заходим Панель управления > Администрирование > Службы и в открывшемся окне видим список всех служб, установленных на компьютере.

Тут сразу бросаются в глаза пресловутый DCHP, Bamcof, Dripkix Service, System Tester Service, Zitenop. Как несложно заметить, у этих служб отсутствуют описания. На такие всегда в первую очередь следует обращать внимание. Но не стоит забывать, что и у вполне полезных служб могут отсутствовать описания, поэтому всё описанное дальше следует делать только в том случае, если вы уверены в своих действиях. Иначе лучше обратиться к специалисту.

Итак, подозрительные службы нужно попробовать отключить. Для этого делаем двойной щелчок на выбранной службе и в открывшемся окне в поле Тип запуска выбираем Отключена. Затем нажимаем ОК. И так для всех подозрительных служб.

После всех этих действий перезагружаем компьютер. Если всё сделали правильно и ничего лишнего не отключили/удалили, то сразу после перезагрузки можно будет ощутить результаты работы в виде более шустрой работы ПК, отсутствия запуска «лишних» приложений или открытия страниц. В Диспетчере задач картина тоже прояснится.

В следующей статье поговорим о том, как окончательно удалить отключённые вами раннее вредоносные или ненужные службы.

Ещё раз повторюсь: внимательно следите за тем, что делаете! Если сомневаетесь – лучше не трогайте и обратитесь к специалисту. По возможности вначале выбирайте вариант действий с отключением, а только потом, после проверки работоспособности системы, используйте удаление.

Как найти скрытые процессы, поедающие ресурсы процессора (Windows Server (RDP))?

Картинка снята в диспетчере задач запущенного от имени SYSTEM:

Коллеги!
Мучаюсь, просто до не могу.
Сервер терминалов (Windows Server 2008r2), иногда процессор в потолок 100%, отрываю процессы и не вижу ни одного процесса который жрет ресурсы и гнобит процессор.

Тоже самое касается фактически любого сервера до Windows Server 2019, всегда суть одна — бывают процессы жрущие ресурсы , но нигде в диспетчере задач или мониторе ресурсов — не видимые. Как найти виновные процессы и придушить их в таком случае? Чем можно увидеть такие процессы и исследовать?

Утилиты типа ProcessHacker / ProcessExplorer и прочие, так же ничего не показывают. Или я не нашёл где надо искать.

PS: Замечено давно, что если по кругу срубать появившиеся процесс rundll.exe — то нагрузка падает до нормы.

@echo off @:loop @taskkill /f /im rundll* @ping 127.0.0.1 -n 15 2>nul>nul @goto loop
  • Вопрос задан более трёх лет назад
  • 1307 просмотров

21 комментарий

Сложный 21 комментарий

vesper-bot

А вы это всё запускаете с повышенными привилегиями или нет? На интерес покопайте psexec и от системы запустите, возможно у вас APT засел, сумевший закрыться ACL’ем от таскменеджера.

Iwamoto @Iwamoto Автор вопроса

Максим Гришин, Спасибо, попробую диспетчер задач запустить от имени системы. Я хорошо знаком с этой фишкой.

еще есть вопрос, что за железо? у тебя точно 1 ядро процессорное или в системе нет драйверов для многоядерных процессоров

Iwamoto @Iwamoto Автор вопроса
rPman, Это машина внутри Hyper-V. Это я вывел для удобства график в 1 цп.
Iwamoto @Iwamoto Автор вопроса

604a050f2e018992078910.png

В предыдущих гостевых операционных системах будут отсутствовать все доступные службы. Например, гости Windows Server 2008 R2 не могут иметь «интерфейс гостевой службы Hyper-V».

боюсь драйверов для 2008 не будет, можно попробовать вручную поставить

или пользоваться другой виртуалкой, например virtualbox, она заметно удобнее и функциональнее майкрософтовской

Iwamoto @Iwamoto Автор вопроса

в энтерпрайзе юзать виртуалбокс?) Очень хорошая идея!
А ради чего?

Интерфейс он не нужен. Службы там и так есть , они интегрированы.

Iwamoto @Iwamoto Автор вопроса

rPman,
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\1> REG QUERY «HKLM\Software\Microsoft\Virtual Machine\Auto» /v IntegrationServicesVersion

HKEY_LOCAL_MACHINE\Software\Microsoft\Virtual Machine\Auto
IntegrationServicesVersion REG_SZ 6.3.9600.18907

Странно а доки говорят что на 2008 их не будет, ок отлично, рад за тебя.

Теперь я не и сам не понимаю что происходит (ниже я писал про вариант проглючивший сервис обновлений но там обычно верная нагрузка показывается — проверь это остановив службу для теста)

Чем еще нагружен хост? может там параллельно 100500 машин крутятся?

p.s. чем virtualbox не устраивает не знаю, он однозначно выше по уровню чем ущербный майкрософтовский (кстати hyper-v виртуализация есть в virtualbox как опция), ок с оговорками

если совсем серьезно, для продакшна я бы вообще выбирал что то типа xen (можно даже бесплатный) а из платных тот же vmware esi

Iwamoto @Iwamoto Автор вопроса

rPman, я по практике на виртуализации давно сижу. Много чего перепробовал и видел. Конечно, лучше если бы был vmware enterprise, а коли его нет, то лучше чем Hyper-V нет. Никакой ущербности там нет, работаю много лет с ним уже. тут не про него вопросы то. а про процессы внутри винды. Проблемы с виндой такие у меня были и до виртуализации давно уж. Просто обычно шаманством спасали, то По меняли , то еще чего. А тут я упёрся в трабл и никак не могу найти концы глядя в процессы и диспетчеры задач. потому обратился за помощью.
Конечно же, все простые и средние варианты — давно проедены и проверены. Это не вирусы, не виртуализация. Скорее всего какие то дрова (скорее печати), и специфическое ПО на сервере с БД pervasive SQL. Оно очень обособленное и довольное большое, потому там могут быть какие угодно траблы.
Но как их выцепить, если диспетчер задач предательски молчит.

покажи диспетчер устройств — конкретно что там под Компьютер и Контроллеры ide/ata

просто проверь, что будет если скопировать в nul большой файлик (один чтобы не было фргментации) какая будет нагрузка в таскменеджере?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *