У багатьох інструкціях, що стосуються видалення Adware, Malware і іншого небажаного ПЗ з комп'ютера присутній пункт про необхідність перевірити запущені процеси Windows на наявність серед них підозрілих вже після використання автоматичних засобів видалення шкідливих програм. Однак, зробити це користувачеві без серйозного досвіду роботи з операційною системою не так вже й просто - список виконуваних програм в диспетчері завдань мало про що може розповісти йому.
Допомогти у перевірці та аналізі запущених процесів (програм) Windows 10, 8 і Windows 7 і XP може безкоштовна утиліта CrowdStrike CrowdInspect, призначена саме для цієї мети, про яку й піде мова в даному огляді. Див. Також: Як позбутися від реклами (AdWare) в браузері.
Використання CrowdInspect для аналізу запущених процесів Windows
CrowdInspect не вимагає установки на комп'ютер і являє собою архів .zip з єдиним виконуваним файлом crowdinspect.exe, який при запуску може створити ще один файл для 64-розрядних систем Windows. Для роботи програми потрібно підключений Інтернет.
При першому запуску вам буде потрібно прийняти умови ліцензійної угоди кнопкою Accept, а в наступному вікні при необхідності виконати налаштування інтеграції з онлайн-сервісом перевірки на віруси VirusTotal (і при необхідності відключити завантаження заздалегідь невідомих файлів на цей сервіс,відмітка "Upload unknown files").
Після натискання "Ок" на короткий проміжок часу відкриється рекламне вікно платного засоби захисту CrowdStrike Falcon, а потім - головне вікно програми CrowdInspect зі списком запущених в Windows процесах і корисною інформацією про них.
Для початку інформація щодо важливих стовпцями в CrowdInspect
- Process Name - ім'я процесу. Також можна відобразити повні шляхи до виконуваних файлів, натиснувши кнопку "Full Path" в головному меню програми.
- Inject - перевірка на ін'єкції коду процесом (в деяких випадках може показати позитивний результат для антивірусів). При підозрі на наявність загрози видається подвійний знак оклику і червоний значок.
- VT - результат перевірки файлу процесу в VirusTotal (відсоток відповідає відсотку антивірусів, які вважають файл небезпечним).
- MHR - результат перевірки в Team Cymru Malware Hash Repository (база контрольних сум відомих шкідливих програм). Відображає червону іконку і подвійний знак оклику при наявності хеша процесу в базі.
- WOT - при виконанні процесом з'єднань з сайтами і серверами в Інтернеті, результат перевірки цих серверів в репутаційному сервісі Web Of Trust
Решта стовпчики містять інформацію про встановлені процесом Інтернет-судинних: тип з'єднання, стан, номери портів, локальний IP-адресу, віддалений IP-адреса і уявлення цієї адреси в DNS.
Примітка: ви можете помітити, що одна вкладка браузера відображається як набір з десятка і більш процесів в CrowdInspect. Причина цього в тому, що відображається окремий рядок для кожного встановленого єдиним процесом з'єднання (а звичайний сайт, відкритий в браузері, змушує підключатися відразу до багатьох серверів в Інтернеті). Ви можете відключити такий тип відображення, відключивши кнопку TCP і UDP у верхній панелі меню.
Інші елементи меню і управління:
- Live / History - перемикає режим відображення (в реальному часі або список, в якому відображається час запуску кожного процесу).
- Pause - поставити збір інформації на паузу.
- Kill Process - завершити обраний процес.
- Close TCP - завершити підключення по TCP / IP для процесу.
- Properties - відкрити стандартне вікно Windows з властивостями файлу процесу.
- VT Results - відкрити вікно з результатами сканування в VirusTotal і посиланням на результат сканування на сайті.
- Copy All - скопіювати всю представлену інформацію про активні процеси в буфер обміну.
- Також для кожного процесу по правому кліку мишею доступно контекстне меню з основними діями.
Допускаю, що більш досвідчені користувачі до справжнього моменту подумали: "відмінний інструмент", а початківці не зовсім зрозуміли, який толк від нього і як його можна використовувати.А тому коротко і максимально просто для початківців:
- Якщо у вас виникли підозри що на комп'ютері відбувається щось погане, а антивірусом і утилітами, на зразок AdwCleaner комп'ютер вже був перевірений (див. Кращі засоби видалення шкідливих програм), можна заглянути в Crowd Inspect і подивитися, чи немає підозрілих фонових програм, запущених в Windows.
- Підозрілими варто вважати процеси з червоною позначкою з високим відсотком в стовпці VT і (або) червоною позначкою в стовпці MHR. Червоні значки в Inject ви навряд чи зустрінете, але якщо побачите - теж зверніть увагу.
- Що робити в разі якщо процес підозрілий: подивіться його результати в VirusTotal, натиснувши кнопку VT Results, а потім перейшовши за посиланням з результатами сканування файлу антивірусами. Можна спробувати виконати пошук по імені файлу в Інтернеті - поширені загрози зазвичай обговорюються на форумах і на сайтах підтримки.
- Якщо в результаті зроблено висновок про те, що файл шкідливий - пробуйте прибрати його з автозавантаження, видалити програму, до якої відноситься цей процес і використовувати інші методи для позбавлення від загрози.
Примітка: враховуйте, що з точки зору багатьох антивірусів різного роду "програми для скачування" і подібні засоби, популярні у нас в країні,можуть бути потенційно небажаним ПО, що буде відображатися в стовпцях VT і (або) MHR утиліти Crowd Inspect. Однак це не обов'язково означає, що вони небезпечні - тут варто розглядати кожен окремий випадок.
Завантажити Crowd Inspect можна безкоштовно з офіційного сайту https://www.crowdstrike.com/resources/community-tools/crowdinspect-tool/ (Після натискання кнопки завантаження, на наступній сторінці потрібно прийняти умови ліцензії, натиснувши Accept для початку скачування). Також може бути корисною: Кращий безкоштовний антивірус для Windows 10, 8 і Windows 7.