Các quy trình của Windows đóng một vai trò quan trọng trong việc vận hành tốt PC hoặc máy tính xách tay của bạn. Một số, như csrss.exe và winlogon.exe, rất quan trọng đến nỗi nếu bạn quyết định nhầm lẫn, bạn có thể bị hỏng thiết bị của mình. Các tác giả phần mềm độc hại lợi dụng mức độ nghiêm trọng như vậy để lây nhiễm các hệ thống Windows khỏe mạnh. Tiền đề là vi rút, phần mềm quảng cáo, phần mềm gián điệp và Trojan có thể được gắn nhãn bất kỳ thứ gì - thậm chí được đặt tên theo các quy trình hệ thống Windows tiêu chuẩn.
Dưới đây là một số quy trình hàng đầu của Windows 11 và 10 thường bị nhầm lẫn với phần mềm độc hại trùng tên của chúng. Tìm hiểu cách phát hiện hàng giả nếu chúng xuất hiện trên hệ thống của bạn.
Cách Tìm hiểu Quy trình Windows có Hợp pháp hay không
Có hai cách để xác minh xem quy trình Windows là hợp pháp hay nguồn phần mềm độc hại:thông qua Thuộc tính ứng dụng của nó và sử dụng các công cụ bên ngoài như CrowdInspect của CrowdStrike.
1. Xác minh tính hợp pháp của một quy trình Windows thông qua các thuộc tính của nó
Tất cả các tệp quy trình Windows được ủy quyền đều được kết nối với Microsoft Corporation, nhà phát triển chương trình / ứng dụng chính thức hoặc tài khoản Microsoft tích hợp sẵn chẳng hạn như TrustedInstaller.exe, quản lý các thư mục như WindowsApps.
Để xác định xem một quy trình Windows 11 hoặc 10 có hợp pháp và không phải là nguồn phần mềm độc hại hay không, bạn cần xem kỹ phần Thuộc tính ứng dụng của nó. Chuyển đến tab "Chi tiết" và tìm chủ sở hữu bản quyền chính thức của quy trình. Nếu đó là Microsoft, một nhà phát triển ứng dụng hoặc TrustedInstaller, bạn nên sử dụng.
Cũng trong Windows 11/10, bạn có thể kiểm tra tab “Chữ ký kỹ thuật số” trong Thuộc tính của quy trình. Tại đây, bạn sẽ tìm thấy các chữ ký điện tử chính thức với dấu thời gian mới nhất, mang lại cho bạn một lớp bảo đảm bổ sung.
Vì việc ký trình điều khiển cho các quy trình này yêu cầu các quyền tiêu chuẩn của Microsoft (hơn nữa, mọi truy cập trái phép vào thư mục gốc của thiết bị đều bị chặn bởi khởi động an toàn UEFI), giờ đây tác giả phần mềm độc hại không thể giả mạo chữ ký số trong Windows 11.
Từ thông thường đến cực kỳ quan trọng, chẳng hạn như “services.exe” hoặc “svchost.exe”, tất cả các quy trình Windows 11 đều được ký kỹ thuật số với dấu thời gian. Với mỗi bản cập nhật Windows thành công, xác thực này sẽ được xác minh lại.
Mặt khác, Thuộc tính quy trình của Windows 10 có thể bị thiếu hoàn toàn tab Chữ ký kỹ thuật số. Ngoài ra, một số quy trình có thể không hiển thị thông tin bản quyền một cách chính xác.
Tuy nhiên, ngay cả trong Windows 10, các quy trình hệ thống nội bộ quan trọng như Winlogon.exe luôn hiển thị thông tin này. Bạn có thể xác minh tính xác thực của phần mềm thông qua các phương tiện khác. Ngoài ra, nếu bạn cài đặt trình điều khiển chưa được ký trong Windows 10 hoặc 11, chúng sẽ không hiển thị bất kỳ chữ ký điện tử nào khi khởi động lại sau đó.
2. Xác minh tính hợp pháp của quy trình Windows bằng CrowdInspect
Trên cả Windows 10 và Windows 11, bạn có thể xác minh tính xác thực của tệp quy trình thông qua ứng dụng phần mềm bên ngoài:CrowdInspect của CrowdStrike. CrowdInspect là một công cụ kiểm tra quy trình thời gian thực và dựa trên máy chủ miễn phí để quét tìm phần mềm độc hại trong nền bằng cách sử dụng các công cụ phát hiện như VirusTotal.
- Tải xuống tệp ZIP CrowdInspect từ liên kết chính thức và nhấp vào chương trình đã giải nén để khởi chạy nó. Bạn không phải cài đặt bất cứ thứ gì.
- Chấp nhận thỏa thuận cấp phép và tiến tới màn hình nơi bạn có thể thực hiện phân tích tổng hợp tất cả các quy trình nền trên thiết bị Windows của mình. Sử dụng khóa API tích hợp và nhấp vào “OK”.
- Chờ cho đến khi CrowdInspect hiển thị toàn bộ tập hợp các quy trình và chương trình nền trên thiết bị Windows của bạn trên màn hình của bạn.
Bạn có thể xác minh trạng thái của các chương trình thông qua các ký hiệu màu. Bất kỳ mục nào sạch sẽ được biểu thị bằng biểu tượng màu xanh lá cây. Nếu có nghi ngờ, bạn sẽ thấy dấu chấm hỏi bên cạnh biểu tượng. Đối với những mặt hàng có mức độ đe dọa nghiêm trọng thấp, có biểu tượng màu vàng. Các mục có mức độ đe dọa nghiêm trọng cao được biểu thị bằng biểu tượng màu đỏ. Bạn sẽ không thấy bất kỳ biểu tượng màu vàng hoặc đỏ nào nếu thiết bị của bạn đang hoạt động tốt.
- Để xác minh thêm không có lo ngại về phần mềm độc hại, hãy nhấp chuột phải vào quy trình và nhấp vào “Xem Kết quả Kiểm tra HA”. Bạn sẽ không nhận thấy bất kỳ lỗi nào, một dấu hiệu an toàn cho thấy bạn đang không đối phó với bất kỳ phần mềm độc hại nào.
Danh sách các quy trình phổ biến của Windows 11/10 có thể phát sinh phần mềm độc hại
1. Explorer.exe
Chương trình Windows File Explorer phổ biến, explorer.exe, có thể dễ dàng truy cập từ thanh tác vụ và màn hình nền. Mục đích chính của nó là phục vụ như một trình quản lý tệp cho tất cả các tệp và thư mục trên thiết bị Windows 11/10 của bạn. Vì tầm quan trọng sống còn của nó, chương trình explorer.exe là mục tiêu ưa thích của những kẻ tấn công.
Vi rút Phát hiện :explorer.exe phần mềm độc hại thường hiển thị dưới dạng Trojan, ransomware (đặc biệt là email) và các tệp Adobe Flash. Chương trình hợp pháp luôn được tìm thấy trong “C:\ Windows” và các bản sao có thể hiển thị trong ổ đĩa D, Tệp chương trình, thư mục ẩn hoặc bất kỳ vị trí PC nào khác.
Hành động :nếu có hai đến ba phiên bản explorer.exe trên thiết bị của bạn, thì không có gì phải lo lắng miễn là tất cả chúng đều có chữ ký số và vị trí hợp lệ. Khi có nhiều quy trình sử dụng CPU, hãy xác định những quy trình không có thật trong CrowdInspect, sau đó nhấp chuột phải để “hủy quy trình”.
2. lsass.exe
lsass.exe là viết tắt của Local Security Authority Subsystem Service, dịch vụ này đi sau xác thực người dùng Windows của bạn. Ngoài phần mềm độc hại, bạn không nên chấm dứt các quy trình ban đầu, vì nó sẽ dẫn đến hệ thống của bạn mất quyền truy cập vào tài khoản Quản trị viên và tài khoản cục bộ, khiến thiết bị khởi động lại.
Vi rút Phát hiện :một cách phổ biến mà các tác giả phần mềm độc hại ngụy trang lsass là thay thế chữ “l” viết thường bằng chữ “i” ở dạng viết hoa hoặc chữ hoa “L.” Cẩn thận với bất kỳ lỗi chính tả cố ý nào. Ngoài ra, bất kỳ chữ ký số và tệp không hợp lệ nào nằm bên ngoài thư mục “C:\ Windows \ System32” đều là một món quà rõ ràng.
Hành động :chấm dứt các quy trình lsass không có thật từ trình quản lý tác vụ. Nếu bạn không chắc đó là “l” hay “i”, hãy làm tương tự từ CrowdInspect. Nhiều phiên bản lsass hợp lệ vẫn tốt và không nên bị giả mạo.
3. RuntimeBroker.exe
RuntimeBroker.exe là một quy trình an toàn của Microsoft có công việc là quản lý quyền đối với bất kỳ ứng dụng nào được tải xuống từ Microsoft Store. Nó xác minh tính xác thực của các chương trình như ứng dụng Ảnh. Nếu bất kỳ ứng dụng nào không thuộc về thiết bị Windows của bạn, Runtime Broker sẽ cảnh báo bạn bằng cách tiêu tốn nhiều bộ nhớ bổ sung.
Phát hiện vi-rút :nếu thiết bị Windows của bạn bị nhiễm vi rút RuntimeBroker.exe, bạn sẽ thấy sự hiện diện của vi rút này ở các vị trí PC khác ngoài “C:\ Windows \ System32.” Vì chương trình không hợp pháp, bộ nhớ bị rò rỉ sẽ tăng vọt, tạo gánh nặng cho CPU của bạn. Bạn cũng sẽ nhận thấy chữ ký điện tử không hợp lệ đối với các trường hợp không có thật.
Hành động :mở trình quản lý tác vụ. Nhấp vào nhiều phiên bản hợp lệ của Runtime Broker và nhấp vào “Kết thúc tác vụ”. Điều này sẽ kết thúc mọi vấn đề với một ứng dụng nhất định. Đối với các mục nhập RuntimeBroker.exe không có thật, hãy chấm dứt chúng khỏi CrowdInspect.
4. Winlogon.exe
Khi nói đến các quy trình nền của Windows, không có gì quan trọng hơn trong sơ đồ của mọi thứ ngoài winlogon.exe. Nó không chỉ chi phối quá trình đăng nhập, nó còn tải hồ sơ người dùng, kiểm soát trình bảo vệ màn hình và kết nối với nhiều mạng. Nó được đặt tại “C:\ Windows \ System32.”
Phát hiện vi-rút :thường là phần mềm gián điệp hoặc công cụ keylogger, winlogon.exe là phần mềm độc hại rất nguy hiểm có thể khiến hệ thống bắt đầu bị treo, điều này rất dễ nhận ra. Nếu bạn bật Bộ bảo vệ Windows, nó sẽ cảnh báo bạn xóa tệp ngay lập tức và chấm dứt mọi vectơ được sử dụng (email, trình duyệt web).
Hành động :tệp thực thi winlogon.exe an toàn sẽ không có nhiều hơn một phiên bản trong CrowdInspect. Các trường hợp không có thật khác sẽ bị xóa khi đến nơi bằng cách sử dụng các đề xuất của Bộ bảo vệ Windows.
5. Svchost.exe
Svchost.exe đề cập đến “máy chủ dịch vụ” của Windows, một quy trình dịch vụ được chia sẻ đóng vai trò như một trình bao để tải các dịch vụ Windows khác nhau. Tùy thuộc vào số lượng ứng dụng đang mở, thường có nhiều phiên bản svchost.exe chạy dưới dạng các quy trình riêng lẻ.
Phát hiện vi-rút :bạn sẽ gặp phải tập phần mềm độc hại svchost.exe khi bạn tìm thấy một thư mục hoặc chương trình được bảo vệ bị chặn bởi một quá trình trùng lặp hoặc với các biến thể chính tả như “svhosts.exe”. Chúng hầu hết là phần mềm tống tiền hoặc công cụ gian lận ngân hàng. Các vectơ nguồn của chúng bao gồm tệp PDF, tệp ZIP và JavaScript.
Hành động :những Trojan này thường là một mối đe dọa cấp thấp nhưng cần được loại bỏ sớm nhất có thể. Các công cụ chống vi-rút tiêu chuẩn và Bộ bảo vệ Windows được trang bị để xóa bất kỳ phiên bản máy chủ dịch vụ nào không được tìm thấy trong “C:\ Windows \ System32.”
6. OfficeClickToRun.exe
Nếu bạn đang sử dụng các công cụ Office - chẳng hạn như Word, Excel hoặc PowerPoint - bạn đã gặp một tệp thực thi được gọi là OfficeClickToRun.exe. Công việc của nó là chạy các phiên bản Microsoft Office mới nhất trên thiết bị của bạn và xử lý các bản cập nhật. Ngay cả khi nó không phải là phần mềm độc hại, OfficeClickToRun.exe có thể sử dụng nhiều bộ nhớ trên CPU của bạn. Tuy nhiên, nếu bạn định kỳ xóa các tệp tạm thời, thì điều đó sẽ giảm bớt gánh nặng hơn nhiều.
Phát hiện vi-rút :tệp thực thi có ở bất kỳ vị trí nào khác ngoài Tệp Chương trình trong thư mục Chia sẻ của Microsoft không? Tệp bổ sung không tốt cho hệ thống của bạn. Ngoài ra, thiết bị Windows của bạn chỉ nên có một phiên bản OfficeClickToRun.exe đang chạy. Kiểm tra các chữ ký điện tử để tìm bất kỳ chữ ký nào khác.
Hành động :mặc dù bản thân nó không có hại, các phiên bản không có thật của OfficeClickToRun.exe có thể làm tắc nghẽn bộ nhớ hệ thống của bạn. Chúng thường đi qua các tệp và tài liệu bị nhiễm, cần được xóa ngay lập tức.
7. igfxem.exe
igfxEM.exe là một quy trình nền ít được biết đến, rất quan trọng để quản lý card đồ họa Intel và do đó rất quan trọng đối với màn hình card màn hình. Nó được cài đặt sẵn trên thiết bị của bạn và chỉ nên để một mình vì nó hoàn toàn không gây gánh nặng cho hệ thống.
Phát hiện vi-rút :nếu bạn có nhiều hơn một phiên bản igfxEM (và các lỗi chính tả của nó như được hiển thị), hãy xác thực chữ ký số của nó. Nếu nó hiển thị Intel và Microsoft, thì không có phần mềm độc hại. Nếu không, bạn không có tệp igfxEM chính hãng và quá trình đó phải bị xóa.
Hành động :không nên thực hiện bất kỳ hành động nào nếu bạn có chữ ký điện tử hợp lệ - ngay cả với nhiều phiên bản Intel. Nếu cạc đồ họa Intel ban đầu của bạn có vẻ bị hỏng, hãy thử cài đặt lại trình điều khiển từ “devmgmt.msc”, Quản lý thiết bị, trong menu Bắt đầu.
8. Csrss.exe
Csrss.exe là viết tắt của Client Server Runtime Subsystem, một quy trình người dùng hợp pháp nhằm quản lý các hoạt động của Windows Graphics, chẳng hạn như tắt máy GUI và các dịch vụ bảng điều khiển hệ thống. Nó rất hay bị nhầm với phần mềm độc hại. Việc chấm dứt nó có thể gây tử vong cho hệ thống của bạn, dẫn đến sự cố an toàn.
Phát hiện vi-rút :Giống như các chương trình khác trong “C:\ Windows \ System32,” csrss.exe vẫn nằm yên lặng trong nền và bạn sẽ chỉ tìm thấy một hoặc hai trường hợp trong CrowdInspect. Bất kỳ tệp đáng ngờ nào sẽ có chữ ký điện tử không hợp lệ và thiếu Chi tiết bản quyền.
Hành động :csrss.exe thường được các công ty phần mềm bảo mật giả mạo và những kẻ lừa đảo công nghệ sử dụng làm "bằng chứng" cho thấy một thiết bị bị nhiễm. Đây không phải là phần mềm độc hại thực sự, vì vậy bạn không bao giờ được chấm dứt quy trình hiện có do tư vấn kỹ thuật sai.
9. GoogleCrashHandler.exe
Nếu bạn có bất kỳ chương trình nào của Google trên thiết bị Windows của mình, bao gồm cả Google Chrome, bạn sẽ tìm thấy tệp thực thi có tên GoogleCrashHandler.exe, một phần của gói Trình cập nhật Google. Đây không phải là một thành phần quan trọng của Windows và có thể được gỡ bỏ một cách an toàn và dễ dàng, nhưng nó không phải lúc nào cũng là phần mềm độc hại.
Phát hiện vi-rút :nếu chữ ký kỹ thuật số của Google CrashHandler.exe không hợp lệ, nghĩa là nó không được Google ký, thì chúng tôi đang xem xét dấu hiệu có thể nhiễm phần mềm gián điệp hoặc rootkit, vì quá trình bình thường diễn ra an toàn.
Hành động :xóa bất kỳ hoặc tất cả các phiên bản của GoogleCrashHandler.exe khỏi trình quản lý tác vụ hệ thống của bạn mặc dù nó không phải lúc nào cũng là phần mềm độc hại. Bạn không muốn tạo gánh nặng cho CPU một cách không cần thiết trừ khi bạn muốn gửi báo cáo sự cố cho Google.
10. Spoolsv.exe
Spoolsv.exe là một quy trình Windows chính hãng, được tích hợp với dịch vụ Bộ đệm in, dịch phông chữ và đồ họa sang phần cứng máy in và bất kỳ máy in ảo nào. Đây là một quy trình cốt lõi của Windows đã tồn tại từ thuở sơ khai của MS-DOS. Việc chấm dứt mọi mục nhập quy trình spoolsv.exe hợp lệ sẽ dẫn đến lỗi máy và khởi động lại hệ thống.
Phát hiện vi-rút :mặc dù nó giống với một số phần mềm độc hại, spoolsv.exe là một quy trình Windows hợp pháp an toàn. Bất kỳ quy trình bổ sung nào sẽ thiếu chữ ký số từ Microsoft. Nếu tác giả phần mềm độc hại sử dụng một tên tương tự để nhắm mục tiêu hệ thống của bạn, Bộ bảo vệ Windows sẽ cảnh báo cho bạn về tên đó.
Hành động :không nên thực hiện hành động nào nếu quá trình spoolsv.exe đã được xác thực bằng chữ ký số của Microsoft. Nếu không, hãy chuyển đến trình quản lý tác vụ để kết thúc quá trình.
11. Trình quản lý tác vụ
Windows Task Manager (taskmgr.exe) là một chương trình rất quan trọng kiểm soát tất cả các quy trình cốt lõi của Windows cũng như các ứng dụng. Tắt chương trình thiết yếu này và các dẫn xuất của nó, chẳng hạn như taskhostw.exe có thể gây tử vong cho hệ thống của bạn và các tác giả phần mềm độc hại nhận ra điều này.
Phát hiện vi-rút :Nếu bạn cảm thấy chương trình liên quan đến trình quản lý tác vụ hoạt động không chính xác, hãy kiểm tra vị trí tệp của nó, vị trí này phải nằm trong “C:\ Windows \ System32.” Khởi động lại thiết bị của bạn để xem sự cố đã biến mất chưa. Nếu phiên bản trình quản lý tác vụ đáng ngờ vẫn tiếp tục, chúng tôi đang xem xét phần mềm độc hại tiềm ẩn. Một dấu hiệu khác là chữ ký điện tử của nó sẽ không hợp lệ.
Hành động :bất kỳ tệp thực thi giống như “trình quản lý tác vụ” nào bị nhiễm phần mềm độc hại đều có thể được xác định và chấm dứt từ chính trình quản lý tác vụ. Tuy nhiên, nếu bạn gặp phải lỗi TaskSchedulerHelper.dll trong Windows 10, hãy thực hiện các bước khắc phục như được hiển thị.
Tóm tắt:Các dấu hiệu cảnh báo về phần mềm độc hại có thể xảy ra trong quá trình Windows
Dưới đây là tóm tắt nhanh về cách đối phó với bất kỳ quy trình đáng ngờ nào giống với quy trình hệ thống Windows tiêu chuẩn. Bạn có thể có hoặc không phải đối phó với bất kỳ phần mềm độc hại nào, nhưng điều quan trọng là phải theo dõi các dấu hiệu cảnh báo này.
- Kiểm tra Chi tiết Thuộc tính Ứng dụng để biết bản quyền chính xác :mỗi và mọi chương trình trong Windows 11 và Windows 10 đều có một vị trí tệp. Từ đó, bạn có thể truy cập "Chi tiết" trong tab Thuộc tính. Đảm bảo bản quyền thuộc về Windows, TrustedInstaller hoặc chủ sở hữu quy trình hợp pháp, chẳng hạn như Google, Intel, NVIDIA, v.v. Nếu không, thì chúng tôi đang xem xét nguồn phần mềm độc hại tiềm ẩn cần được xóa khỏi hệ thống.
- Kiểm tra việc sử dụng CPU của các chương trình Windows Process :it is normal for Windows CPU usage to shoot up when several systems are running together. However, many instances of the same program slowing down the system is a cause of concern. The unnecessary programs should be identified and shut down immediately.
- Check the suspicious Windows processes for digital signatures :this is the most important and easiest way to validate the authenticity of a process. If the digital signature of a process is invalid and does not come from trusted sources, then there is a good chance it is malware.
- Check the file location of suspicious processes :most Windows file processes have a well-defined location on your PC. It can either be “C:\Windows\System32,” the Program Files, or some other well-defined location. You should not find instances of this process in other areas, such as D drive, as it indicates the chance of malware.
Frequently Asked Questions
1. What should be done if a certain Windows process is indeed harmful?
No legitimate Windows process can harm your system. However, if there are duplicate instances of such processes that contain malware, go to CrowdInspect, right-click that process, and click “Kill Process.” If you have Windows Defender turned on, it will take care of such malware instances. Also read on to learn why Windows Defender is the only antivirus you need.
2. What happens when you terminate a valid Windows process and how do you recover from there?
If you accidentally terminate a valid Windows process, the consequences will depend on how critical the process is for your system. If it’s a non-critical software process, there will be no impact on a Windows device.
For high impact processes such as winlogon.exe and csrss.exe, Windows has a built-in mechanism to prevent their accidental termination. However, if you persist and try to end the system from task manager, your device will power off on its own, requiring a restart. In the worst case, it can lead to a complete blackout and permanent damage due to crash.
If it’s a low impact process integral to the scheduled operation and maintenance of Windows, then the system will report a critical failure and automatically shut down. After a startup, the problem will be gone.