Proses adalah bagian yang tidak dapat dihindari dari Windows, dan bukan hal yang aneh untuk melihat lusinan atau ratusan proses di Pengelola Tugas. Setiap proses adalah program atau bagian dari program yang sedang berjalan. Sayangnya, pembuat malware mengetahui hal ini dan diketahui menyembunyikan perangkat lunak berbahaya di balik nama proses yang sah.
Berikut adalah beberapa proses yang paling sering dibajak atau digandakan, bersama dengan lokasinya dan cara menemukan versi berbahaya.
1. Svchost.exe
Host Layanan, atau svchost.exe, adalah proses layanan bersama. Ini memungkinkan berbagai layanan Windows lainnya untuk berbagi proses. Ini membantu mengurangi penggunaan sumber daya, membuat sistem lebih efisien. Anda hampir pasti akan melihat lebih dari satu contoh Svchost.exe di Pengelola Tugas, tetapi ini normal. Jika satu atau lebih dari file ini disusupi oleh malware, Anda mungkin melihat penurunan kinerja yang nyata.
File Svchost yang sah harus ditemukan di C:\Windows\System32. Jika Anda menduga itu telah dibajak, periksa C:\Windows\Temp. Jika Anda melihat svchost.exe di sini, mungkin itu adalah file berbahaya. Pindai file dengan perangkat lunak antivirus Anda, dan karantina jika perlu.
2. Explorer.exe
Explorer.exe bertanggung jawab atas shell grafis. Tanpanya, Anda tidak akan memiliki Taskbar, Start Menu, File Manager, atau bahkan Desktop. Oleh karena itu, ini merupakan bagian penting dari Windows dan tidak dapat dinonaktifkan.
Beberapa virus dapat menggunakan nama file Explorer.exe untuk bersembunyi, termasuk trojan.w32.ZAPCHAST. File yang sah akan masuk C:\Jendela. Jika Anda menemukannya di Sistem32, Anda pasti harus memeriksanya dengan perangkat lunak antivirus Anda.
3. Winlogon.exe
Proses Winlogon.exe adalah bagian penting dari OS Windows. Ini menangani hal-hal seperti memuat profil pengguna saat login dan mengunci komputer saat screensaver berjalan. Sayangnya, karena menangani elemen keamanan, Windows Logon dan proses winlogon.exe adalah target umum ancaman.
Beberapa virus Trojan, termasuk Vundo, dapat disembunyikan di dalam atau disamarkan sebagai winlogon.exe. Lokasi biasa dari file Winlogon.exe adalah C:\Windows\System32. Jika Anda menemukannya di C:\Windows\WinSecurity, itu bisa berbahaya. Salah satu indikasi bagus bahwa proses tersebut telah dibajak adalah penggunaan memori yang sangat tinggi.
Virus dan malware tidak hanya bersembunyi di balik proses Windows. Ini beberapa cara lain malware dapat tidak terdeteksi dan bersembunyi di komputer Anda.
4. Csrss.exe
Subsistem Run-Time Klien/Server, atau Csrss.exe, adalah proses Windows yang penting. Meskipun tidak banyak digunakan dalam versi Windows modern, ini masih diperlukan oleh sistem dan tidak dapat dinonaktifkan.
Nimda. Virus E diketahui meniru proses Csrss.exe, meskipun itu bukan satu-satunya potensi ancaman. File yang sah harus ditempatkan di Sistem32 atau SysWOW64 folder. Klik kanan pada proses Csrss.exe di Task Manager dan pilih Buka Lokasi File. Jika terletak di tempat lain, kemungkinan itu adalah file berbahaya.
5. Lsass.exe
lsass.exe adalah proses penting yang bertanggung jawab atas kebijakan keamanan di Windows. Itu memverifikasi nama login dan kata sandi, di antara prosedur keamanan lainnya. Tidak mungkin proses tersebut akan dibajak. Jika tidak berjalan dengan benar, biasanya Anda akan keluar secara otomatis dari komputer. Tetapi virus diketahui menggunakan nama file untuk bersembunyi.
Cari file Lsass.exe di C:\Windows\System32. Ini adalah satu-satunya tempat Anda harus menemukannya. Jika Anda melihatnya di lokasi lain, seperti C:\Windows\system atau C:\Program Files, bertindak dengan curiga dan pindai file dengan antivirus Anda.
6. Layanan.exe
Proses Services.exe bertanggung jawab untuk memulai dan menghentikan berbagai layanan Windows penting. Seperti proses Windows lainnya dalam daftar ini, virus dan malware menargetkannya karena memungkinkan mereka bersembunyi di depan mata.
Jika file dibajak, Anda mungkin melihat masalah selama startup dan shutdown PC Anda. Cari file Services.exe asli di Sistem32 map. Jika terletak di tempat lain, seperti di C:\Windows\ConnectionStatus, filenya bisa jadi virus.
Proses yang disebutkan di sini sangat penting untuk kelancaran Windows. Tapi tidak semuanya, dan banyak yang tidak penting proses bahkan dapat ditutup untuk membantu kinerja.
7. Spoolsv.exe
Layanan Windows Print Spooler, atau Spoolsv.exe, adalah bagian penting dari antarmuka pencetakan. Ini berjalan di latar belakang, menunggu untuk mengelola hal-hal seperti antrian cetak bila diperlukan. Prosesnya tidak bergantung pada printer yang terhubung, jadi Anda tidak perlu heran melihatnya di Task Manager.
Mungkin karena Spoolsv.exe mudah diabaikan, virus dapat menggunakan nama tersebut untuk membuatnya tampak sah. File gulungan yang sebenarnya dapat ditemukan di C:\Windows\System32. File palsu akan sering muncul di C:\Jendela, atau di folder profil pengguna.
Bagaimana Anda Memeriksa apakah Suatu Proses Sah?
Task Manager adalah teman Anda saat mencari aktivitas yang mencurigakan. Proses yang terinfeksi sering berperilaku tidak menentu, menghabiskan lebih banyak daya CPU dan memori daripada biasanya. Tapi itu tidak selalu terjadi, jadi inilah beberapa cara lain untuk memeriksa keabsahan suatu proses.
Sebagian besar proses penting yang tercantum di sini hanya akan muncul di folder System32. Anda dapat dengan mudah memeriksa lokasi file yang mencurigakan di Task Manager. Klik kanan pada proses dan pilih Buka Lokasi File. Periksa jalur folder yang terbuka untuk memastikan file berada di tempat yang benar.
Cara lain untuk mengetahui apakah suatu file sah adalah dengan memeriksa ukurannya. Sebagian besar file .exe dari proses penting ini berukuran di bawah 200kb. Klik kanan pada nama proses di Task Manager, pilih Properti dan lihat ukurannya. Jika tampak luar biasa besar, perhatikan lebih dekat untuk menentukan apakah aman.
Anda juga bisa periksa sertifikat file EXE. File otentik akan memiliki sertifikat keamanan yang dikeluarkan oleh Microsoft. Jika Anda melihat hal lain, kemungkinan itu berbahaya.
Hal terakhir yang harus dilakukan adalah memindai file yang dicurigai dengan pemindai antivirus terbaru. Karantina dan hapus semua file yang ditandai sebagai terinfeksi. Untungnya, versi modern Windows hadir dengan Pertahanan Microsoft bawaan, jadi pelajari cara memindai satu file atau folder dengan Microsoft Defender untuk memeriksa file mencurigakan yang Anda temukan.
Proses Windows Yang Mungkin Menyembunyikan Virus
Bagian dari menjaga keamanan PC Windows Anda dari malware dan virus adalah dengan mengetahui di mana mereka bersembunyi. Terkadang file jahat akan berperilaku aneh, menggunakan terlalu banyak CPU dan memori. Tapi tidak selalu. Jadi menemukan file yang mencurigakan dengan cara lain adalah keahlian yang berguna.
