Проверка процессов Windows на вирусы и угрозы в CrowdInspect
Во многих инструкциях, касающихся удаления Adware, Malware и другого нежелательного ПО с компьютера присутствует пункт о необходимости проверить запущенные процессы Windows на наличие среди них подозрительных уже после использования автоматических средств удаления вредоносных программ. Однако, сделать это пользователю без серьезного опыта работы с операционной системой не так уж и просто — список выполняемых программ в диспетчере задач мало о чем может ему рассказать.
Помочь в проверке и анализе запущенных процессов (программ) Windows 10, 8 и Windows 7 и XP может бесплатная утилита CrowdStrike CrowdInspect, предназначенная именно для этой цели, о которой и пойдет речь в данном обзоре. См. также: Как избавиться от рекламы (AdWare) в браузере.
Использование CrowdInspect для анализа запущенных процессов Windows
CrowdInspect не требует установки на компьютер и представляет собой архив .zip с единственным исполняемым файлом crowdinspect.exe, который при запуске может создать еще один файл для 64-разрядных систем Windows. Для работы программы потребуется подключенный Интернет.
При первом запуске вам потребуется принять условия лицензионного соглашения кнопкой Accept, а в следующем окне при необходимости выполнить настройки интеграции с онлайн-сервисом проверки на вирусы VirusTotal (и при необходимости отключить загрузку заранее неизвестных файлов на этот сервис, отметка «Upload unknown files»).
После нажатия «Ок» на короткий промежуток времени откроется рекламное окно платного средства защиты CrowdStrike Falcon, а затем — главное окно программы CrowdInspect со списком запущенных в Windows процессах и полезной информацией о них.
Для начала информация по важным столбцам в CrowdInspect
- Process Name — имя процесса. Также можно отобразить полные пути к исполняемым файлам, нажав кнопку «Full Path» в главном меню программы.
- Inject — проверка на инъекции кода процессом (в некоторых случаях может показать положительный результат для антивирусов). При подозрении на наличие угрозы выдается двойной восклицательный знак и красный значок.
- VT или HA — результат проверки файла процесса в VirusTotal (процент соответствует проценту антивирусов, которые считают файл опасным). В последней версии отображается колонка HA, а анализ выполняется с помощью онлайн-сервиса Hybrid Analysis (возможно, более эффективного, чем VirusTotal).
- MHR — результат проверки в Team Cymru Malware Hash Repository (база контрольных сумм известных вредоносных программ). Отображает красную иконку и двойной восклицательный знак при наличии хэша процесса в базе.
- WOT — при выполнении процессом соединений с сайтами и серверами в Интернете, результат проверки этих серверов в репутационном сервисе Web Of Trust
Оставшиеся столбцы содержат информацию об установленных процессом Интернет-соединениях: тип соединения, состояние, номера портов, локальный IP-адрес, удаленный IP-адрес и представление этого адреса в DNS.
Примечание: вы можете заметить, что одна вкладка браузера отображается как набор из десятка и более процессов в CrowdInspect. Причина этого в том, что отображается отдельная строка для каждого установленного единственным процессом соединения (а обычный сайт, открытый в браузере, заставляет подключаться сразу ко многим серверам в Интернете). Вы можете отключить такой тип отображения, отключив кнопку TCP и UDP в верхней панели меню.
Другие элементы меню и управления:
- Live / History — переключает режим отображения (в реальном времени или список, в котором отображается время запуска каждого процесса).
- Pause — поставить сбор информации на паузу.
- Kill Process — завершить выбранный процесс.
- Close TCP — завершить подключение по TCP/IP для процесса.
- Properties — открыть стандартное окно Windows со свойствами исполняемого файла процесса.
- VT Results — открыть окно с результатами сканирования в VirusTotal и ссылкой на результат сканирования на сайте.
- Copy All — скопировать всю представленную информацию об активных процессах в буфер обмена.
- Также для каждого процесса по правому клику мышью доступно контекстное меню с основными действиями.
Допускаю, что более опытные пользователи к настоящему моменту подумали: «отличный инструмент», а начинающие не совсем поняли, какой толк от него и как его можно использовать. А потому кратко и максимально просто для начинающих:
- Если у вас возникли подозрения что на компьютере происходит что-то плохое, а антивирусом и утилитами, наподобие AdwCleaner компьютер уже был проверен (см. Лучшие средства удаления вредоносных программ), можно заглянуть в Crowd Inspect и посмотреть, нет ли подозрительных фоновых программ, запущенных в Windows.
- Подозрительными стоит считать процессы с красной отметкой с высоким процентом в столбце VT и (или) красной отметкой в столбце MHR. Красные значки в Inject вы навряд ли встретите, но если увидите — тоже обратите внимание.
- Что делать в случае если процесс подозрителен: посмотрите его результаты в VirusTotal, нажав кнопку VT Results, а затем перейдя по ссылке с результатами сканирования файла антивирусами. Можно попробовать выполнить поиск по имени файла в Интернете — распространенные угрозы обычно обсуждаются на форумах и на сайтах поддержки.
- Если в результате сделан вывод о том, что файл вредоносный — пробуйте убрать его из автозагрузки, удалить программу, к которой относится этот процесс и использовать другие методы для избавления от угрозы.
Примечание: учитывайте, что с точки зрения многих антивирусов разного рода «программы для скачивания» и подобные средства, популярные у нас в стране, могут являться потенциально нежелательным ПО, что будет отображаться в столбцах VT и (или) MHR утилиты Crowd Inspect. Однако это не обязательно означает, что они опасны — тут стоит рассматривать каждый отдельный случай.
Скачать Crowd Inspect можно бесплатно с официального сайта https://www.crowdstrike.com/resources/community-tools/crowdinspect-tool/ (после нажатия кнопки загрузки, на следующей странице потребуется принять условия лицензии, нажав Accept для начала скачивания). Также может пригодиться: Лучшие бесплатные антивирусы для Windows.
stebakov
Здравствуйте Дмитрий!
Четкая прога, спасибо.
Ответить
Dmitry
Здравствуйте. Да, на мой взгляд, тоже хороша.
Ответить
Максим
Дмитрий, здравствуйте! Очень полезная программа.
Но.. вы .. у вас установлен браузер (если можно так назвать вреденосную прогу) Амиго! Это исчадье ада, которое устанвливается без спроса.
Удалите его срочно
Ответить
Dmitry
Максим. Не переживайте за меня : ) Мне нужно было что-то, на что среагирует программа просто, чтобы получить красные значки и сделать скриншоты, как раз процессы установки этого браузера подошли. Более того, все это делается в виртуальной машине.
Ответить
Александр
Спасибо за статью! Хорошая, удобная программа. Если сомневаешься в процессах, можно использовать для проверки
Ответить
Василий
программа обнаружила много процессов с 2-мя вопросительными знаками на тёмном фоне с записями «обнаружены инъекции кода». Вирусов нет. Что можно сделать с такими процессами?
Ответить
Dmitry
Для начала погуглить по именам этих процессов, чтобы узнать к каким программам они относятся. Если это антивирусы, что-то для шифрования, защиты (т.е. тесно интегрированное с ОС) — то они могут использовать то, что определяется как инъекция кода для работы, не являясь при этом вредоносными.
А если это что-то иное, то когда узнаете, что именно, можно уже будет принимать какие-то решения.
Ответить
Ivan
Программа хорошая, но вот я запустил ее, согласился с лицензионным соглашением, вставил свой API ключ от вирустотала и нажал «ок». 10 минут — так ничего и не произошло, программа не открылась, только процесс ее висит в диспетчере задач
Ответить
Dmitry
Тут сказать, в чем дело не могу определенно. Сам пробовал без своего API, проблем не было. Нет ли правил брандмауэра или стороннего фаервола, которые могли бы блокировать сеть для новых программ?
Ответить
Евгений
Не могу установить программу! При запуске CrowdInspect64.exe (или CrowdInspect.exe) как из распакованного архива, так и из нераспакованного, появляется окно Crowdlnspect 1.5.0.0. с лицензионным соглашением (по крайней мере я так понимаю, не зная английского, что это именно лицензионное соглашение — много текста, среди которого попадаются слова «License» и проч.), которое НЕ СОДЕРЖИТ кнопки «Accept»! Как принять в таком случае условия , если соответствующая кнопка вообще отсутствует?
Антивирус McAfee выключен, что, впрочем, никак ситуацию не меняет.
P.S. Могу выслать скрин этого безобразия, если дадите почту.
А, да, забыл упомянуть: операционка — ось 8.1, сборка 9600, версия 6.3.9600
Ответить
Dmitry
А дело точно не в разрешении экрана (не влазит окно по вертикали)? Вообще какие-либо кнопки под окном с текстом есть? Если да, но пустые, скажем, то Accept — справа
Еще один вариант (сейчас проверил) — можно попробовать вслепую нажать «призрачную» кнопку: после появления окна нажать один раз Tab (будет выбрана нужная кнопка), а затем — Enter.
Ответить
Evgeniya
Здравствуйте! У меня красные кружочки с восклицательными знаками в графе inject напротив всех chrome.exe. Это что-то значит?
Ответить
Dmitry
Если честно, не могу ответить точно. У меня процесс Chrome.exe чистый. Можете попробовать проверить исполняемый файл хром.exe на virustotal, и если все чисто — то думаю переживать не стоит.
Ответить
Ризван
Перед большинством процессов стоит ?? что это означает?
Ответить
Dmitry
Что информации о них в базах нет — ни положительной ни отрицательной. Обычно означает, что всё ок.
Ответить
ARIJ
SPASIBO за хорошую программу. Удалил один процесс который почему-то продолжал работать хотя программу уж давно сегодня выключил. Он был отмечен красными точками и потреблял 17%. Смотрю что такое было при проверке в Диспетчере задач: (раньше наблюдал ) скажем браузер выключил, тот-же Г.Хром, а процессы его продолжают быть активными и работать. Где логика ? Как-то не хорошо это вроде. Или это нормально? Так и должно быть?
Ответить
Dmitry
Для некоторых программ может быть нормально. Например, Chrome может оставлять фоновые процессы (в браузере: настройки — дополнительные — система — Не отключать работающие в фоновом режиме сервисы при закрытии браузера)
Ответить
CHELEN
Спасибо всем за помощь, но у меня проблема с рекламным сайтом, открывающимся при запуске Google Chrome не решилась. И это при том, что я проделал с компом ВСЁ что советовали. Потратил целый день и к сожалению — ничего. Где же эта дрянь теперь (31.01.2018) прописывается? Братцы, помогите! Ставлю бутылку коньяка.
Ответить
Dmitry
Ярлык браузера был проверен? Все расширения хрома (даже нужные и на 100% хорошие) пробовали отключить?
Ответить
andre
я пользуюсь программой Anvir очень давно, и с ее помощью можно проверить и на virustotal и в интернете. Только одно но, проверяйте ее на virustjtal, т.к в последнее время она вирусная. я нашел в инете версию 7.5.2 на которую сработал только dr.veb.
Ответить
Анвар
Здравствуйте Дмитрий. Рекомендуйте пожайлуста для совершения онлайн банковский операций антишпионные программы в дополнение виндовс зашитнику, чтобы быть более менее уверенном что никто не крадет в это время личную информацию. Желательно эти программы можно будет перед этими операциями включил, а после операции выключил и потом не будет загружать систему.
Ответить
Dmitry
Здравствуйте. По сути для этого не нужно что-то дополнительное устанавливать, просто смотреть, чтобы содинение по https было, ну и может иметь смысл поотключать расширения в браузере или использовать другой браузер для входа в банк.
Некоторые антивирусы включают в себя «безопасный браузер», но не особо он там нужен.
Ответить
sasha_fe
Установил версию более новую, чем в статье — 1.6.0.0. Но там отсутствует колонка VT, вместо неё появилась HA. Никто не в курсе, что это за HA, и почему теперь нет проверки на VirusTotal?
Ответить
Dmitry
Здравствуйте.
Посмотрел — действительно обновили, теперь тестируют на собственном сервисе Hybrid-analysis.com (как раз те самые буквы HA), но он в себя включает и проверку VirusTotal тоже.
Ответить
Алексей
Спасибо, как всегда познавательно и поучительно для нас, начинающих, хоть я начинаю уж лет как восемь!
Ответить
Дмитрий
а что делать если HI горит на стандартном антивирусе виндовс, вроде все чекал и на тотале и на хайбере все норм, там только устаревшие базы показывает и все.
Ответить