Jump to content
Sign in to follow this  
DACUL

Programe spyware sau procese necunoscute in Task Manager

Recommended Posts

Vrand, nevrand, accidental mai descarcati unele programe accidental, spunand ei pe propria raspundere, care introduc prin diferite locatii programe care sa "monitorizeze" activitatea PC-ului sau sa fie necesar sa cumperi un anumit program pentru a scapa de aceea chestie. Cateodata PC-ul se poate comporta mai ciudat, cum am patit eu. Voi exemplifica mai jos.

Cum sa va dati seama daca aveti asemenea programe. Este destul de simplu si castigati "experienta" repede in asta. Poate ma credeti cam "obsedat", dar ma uit cam zilnic prin Task Manager si analizez lista de procese, mai ales cand descarc programe mai ciudate(legate de piraterie, de exemplu; fiecare cu riscul lui, nu ca as incuraja in acest topic pirateria sa nu o luati in nume de rau, cateodata programele acestea apar si in afara pirateriei). Mergand la Task Manager -> Processes veti avea o lista intreaga cu care sunteti obisnuiti. Aici sunt urmatoarele detalii dupa care trebuie sa "filtrati"/ sa deosebiti programele spyware de cele a sistemului sau programele generale.

 

1. Se tine cont de numele procesului: am intalnit programe care au acelasi nume ca a celor specifice sistemului de operare (ex. winlogon.exe). Daca apar 2 procese cu acelasi nume cum le pot deosebii?: 

 

Numele procesului: winlogon.exe

User Name: SYSTEM (sau nu e scris nimic)

Inseamna ca apartine de Windows (Sistemul de operare). Pe Windows 7 aveti posibilitatea de a afla cu siguranta daca apartine de Windows dand click dreapta pe proces -> Open file location, iar daca acesta se afla in folderul "Windows" din C: este clar ca nu e un program spyware.

 

Numele procesului: winlogon.exe

Username: Ce username aveti la profilul de windows (ex la mine: Ken)

Acest lucru inseamna ca e un program spyware/malware. Un program esential sistemului de operare nu are ce rula pe contul dvs. de Windows. Pe acela ruleaza doar programele de uz general. Si de asemenea, daca dati click dreapta pe acel proces -> Open file location si va duce intr-un loc mai ciudat. Exemplu: My Documents, Appdata. ProgramData etc. Toate programele instalate vor fi instalate in mod general in ProgramFiles\Numele programului\. 

 

In acest caz click dreapta pe procesul respectiv -> End process, dupa care stergeti pur si simplu acel fisier executabil. Asta e tot.

 

Aici este un exemplu: 

94a1ef40507e8e75716877d70cd7364a.png

Dupa cum puteti vedea si descrierea procesului este mai ciudata.

Pentru a nu utiliza de fiecare data Open file location, mergeti in Task Manager ->  View -> Select columns... -> bifati casuta din dreptul "Image path". Astfel va va arata locatia fisierului direct in dreptul acestuia procesului.

 

Cu winlogon.exe e un caz general, din cate am vazut. Mi-am dat seama ca ceva ruleaza in fundal fiindca imi aparea cursorul care arata ca ceva se incarca, bara de start tot "restartandu-se". Puteti intra in task manager fara nici un fel de problema in acest caz.

Locatia acestuia era la mine prin My Documents. "Random" printre salvarile mele de la anumite proiecte.

 

2. Daca numele procesului nu se regaseste de 2 ori: am intalnit deseori nu doar la mine si la altii procese care dadeau impresia ca apartine sistemului. La fel, tinem cont de ce am scris mai sus:

Numele procesului (fiind unul mai ciudat, voi exemplifica mai jos), User name, descrierea si locatia fisierului, foarte rar tinem cont de masura in care utilizeaza CPU-ul sau memoria RAM. Facand o paranteza, daca vi se misca foarte greu si vedeti la procese ca ceva program necunoscut care utilizeaza CPU-ul 100% sau memorie multa Open file location, inchideti programul si stergeti acel fisier executabil instant. EXCEPTIE: svchost.exe si WinSAT.exe. Toate probleme acestea apar dupa "update-ul lor care ajuta la imbunatatirea performantelor". WinSAT.exe il puteti inchide instant, svchost-ul provoaca probleme la functionarea atat a windows-ului cat si a programelor si e necesar doar sa restartati PC-ul. Nimic mai grav. Sa revenim la subiect.

 

Un exemplu de care m-am lovit personal: am gasit un proces mai ciudat care era de forma Ken_32_NT.exe si unul exact opusul TN_23_neK.exe. Forma generalizata Username_32_NT.exe, iar  celalalt TN_23_emanresU.exe. Problema cu acesta a fost ca era "regenerabil". Il stergeam si aparea dupa cateva secunde (la fel si cu procesul: se deschidea singur). Avantajul meu si dezavantajul lor a fost ca fiecare program avea folderul lui. Asa ca am procedat astfel: 

Am intrat la proprietatiile folderului, adica Username_32_NT.exe -> Properties -> Security -> Edit -> Add... si va va aparea o fereastra cu un camp "Enter the object name". Acolo scrieti Everyone si apasati Ok. Bifati in dreptul coloanei "Deny" randul "Full control" -> Apply -> Ok. Astfel nu va avea absolut nimeni acces in acel folder nici macar sistemul de a-l citit sau accesa fisierele de acolo. Inchideti cele 2 procese din Task Manager. Asta e tot. Ca sa va "piarda" urma de tot, ar fi bine sa dati si un restart la router sau internet, sa nu mai tina deloc legatura cu PC-ul. Cele 2 foldere le puteti lasa acolo mult si bine. Pana nu modificati accesul prin aceeasi metoda nimeni nu va putea modifica sau accesa acele foldere. Daca vreti sa stergeti si acele fisiere executabile definitiv trebuie sa va miscati putin mai repede. Adica tineti pagina aceea de la Security deschisa, "Full control" fiind setat pe "Deny"(ca inainte), iar folder-ul deschis. Inchideti procesul, stergeti executabilul din folder, apoi cat de rapid se poate mergeti la fereastra cu securitatea -> Apply -> Ok. Faceti acest lucru la fiecare pe rand. Am lasat folder-urile asa goale cu accesul restrictionat cam 2 saptamani, dupa care am zis sa-l sterg. N-au mai reaparut nici folderele, nici procesele.

Imagine informativa(modul cum ar trebuii sa arate securitatea pe acel folder):

 

image.png

 

Un alt exemplu de proces necunoscut a fost unul pe nume "winregis.exe". Se deschidea mereu odata cu windows-ul. Procesul il puteam inchide, nicio problema. Cand vroiam sa sterg fisierul, locatia sa era in Appdata\Roaming, dar nu era niciun fisier cu acel nume. Nu este vizibil nici daca activam optiunea "Show hidden files and folders". Ce am incercat si a dat succes a fost comanda utilizata pentru a face vizibile folderele la aceea problema intalnita la stick-uri (folderele apar sub forma de shortcut-uri).

 

Deschidem cmd-ul, unde introducem urmatoarea comanda: attrib -h -r -s /s /d locatia si numele fisierului. Mai precis, in cazul meu attrib -h -r -s /s /d C:\Users\Ken\AppData\Roaming\winregis.exe . Fisierul va fi vizibil si va putea fi sters.

 

Observatii:

*Toate procesele care apartin de sistem vor avea locatia in interiorul folderului "Windows". La fel si la Username-ul din Task Manager: tot ce tine de sistem va avea username-ul "SYSTEM". Celalalte sunt programe simple.

*Acest topic nu l-am deschis pentru a incuraja pirateria si pentru a "da" siguranta ca exista cale de intoarcere daca s-a strecurat un program spyware. Cum am mentionat, nu doar pe cale de piraterie se pot lua acesti spyware/programe necunoscute.

*Programele nu sunt vazute ca virusi, deci antivirusul nu-si are rostul.

*Daca PC-ul se comporta ciudat si nu reusiti sa gasiti cauza puteti lasa mai jos un reply. Voi incerca sa va ajut.

 

Prin acest topic am incercat sa-i ajut si pe restul cum sa-si dea seama de aceste programe. Nu sunt surse de informatii nicaieri pe internet cum ai putea sa scapi de posibilele programe sau cat de daunatoare sunt. Ce stiu eu e ca n-au ce cauta acolo fara niciun motiv, fara nicio legatura cu alte programe si o sursa necunoscuta. Mereu incerc sa folosesc cat mai putine programe ce "actioneaza" impotriva spyware-urilor. Pot sterge acele programe spyware, dar la fel de bine isi pot baga lucrurile lor. N-am incredere in orice software care nu e discutat niciunde de el. Sper ca va este de folos acest topic. In cazul in care am omis anumite lucruri sau sunteti nelamuriti, postati mai jos.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

×