11 กระบวนการ Windows ที่ถูกต้องตามกฎหมายที่อาจดูเหมือนมัลแวร์

กระบวนการของ Windows มีบทบาทสำคัญในการทำงานอย่างเหมาะสมของพีซีหรือแล็ปท็อปของคุณ บางอย่าง เช่น csrss.exe และ winlogon.exe มีความสำคัญมากจนหากคุณตัดสินใจยกเลิกโดยไม่ตั้งใจ อุปกรณ์ของคุณอาจพังได้ ผู้เขียนมัลแวร์ใช้ประโยชน์จากความสำคัญดังกล่าวในการแพร่ระบาดระบบ Windows ที่ดี สมมติฐานคือไวรัส แอดแวร์ สปายแวร์ และโทรจันสามารถติดป้ายกำกับอะไรก็ได้ แม้จะตั้งชื่อตามกระบวนการของระบบ Windows มาตรฐานก็ตาม

ด้านล่างนี้คือกระบวนการชั้นนำของ Windows 11 และ 10 ที่มักสับสนกับมัลแวร์ที่มีชื่อเดียวกัน เรียนรู้วิธีตรวจจับของปลอมหากปรากฏบนระบบของคุณ

วิธีค้นหาว่ากระบวนการของ Windows นั้นถูกต้องหรือไม่

มีสองวิธีในการตรวจสอบว่ากระบวนการของ Windows นั้นถูกต้องหรือเป็นแหล่งมัลแวร์:ผ่านคุณสมบัติของแอปพลิเคชันและใช้เครื่องมือภายนอก เช่น CrowdInspect โดย CrowdStrike

1. การตรวจสอบความถูกต้องของกระบวนการ Windows ผ่านคุณสมบัติของกระบวนการ

ไฟล์กระบวนการ Windows ที่ได้รับอนุญาตทั้งหมดเชื่อมต่อกับ Microsoft Corporation ผู้พัฒนาโปรแกรม/แอปอย่างเป็นทางการ หรือบัญชี Microsoft ในตัว เช่น TrustedInstaller.exe ซึ่งควบคุมโฟลเดอร์ต่างๆ เช่น WindowsApps

ในการพิจารณาว่ากระบวนการของ Windows 11 หรือ 10 นั้นถูกต้องและไม่ใช่แหล่งที่มาของมัลแวร์ คุณจำเป็นต้องดูข้อมูลในคุณสมบัติของแอปพลิเคชัน ไปที่แท็บ "รายละเอียด" และค้นหาเจ้าของลิขสิทธิ์อย่างเป็นทางการของกระบวนการ ถ้าเป็น Microsoft นักพัฒนาแอป หรือ TrustedInstaller ก็พร้อมใช้

นอกจากนี้ ใน Windows 11/10 คุณสามารถตรวจสอบแท็บ "ลายเซ็นดิจิทัล" ของคุณสมบัติของกระบวนการได้ ที่นี่คุณจะพบกับลายเซ็นดิจิทัลอย่างเป็นทางการพร้อมการประทับเวลาล่าสุดที่ให้ความมั่นใจเพิ่มเติมอีกระดับ

เนื่องจากการเซ็นชื่อโปรแกรมควบคุมสำหรับกระบวนการเหล่านี้ต้องการการอนุญาตมาตรฐานของ Microsoft (ยิ่งไปกว่านั้น การเข้าถึงรูทอุปกรณ์โดยไม่ได้รับอนุญาตจะถูกป้องกันโดยการบูตที่ปลอดภัย UEFI) ในตอนนี้ ผู้เขียนมัลแวร์จึงไม่สามารถปลอมแปลงลายเซ็นดิจิทัลใน Windows 11

ตั้งแต่เรื่องธรรมดาไปจนถึงเรื่องสำคัญอย่างยิ่ง เช่น “services.exe” หรือ “svchost.exe” กระบวนการ Windows 11 ทั้งหมดจะได้รับการเซ็นชื่อแบบดิจิทัลด้วยการประทับเวลา ด้วยการอัปเดต Windows ที่ประสบความสำเร็จแต่ละครั้ง การรับรองความถูกต้องนี้จะได้รับการตรวจสอบอีกครั้ง

ในทางกลับกัน คุณสมบัติกระบวนการของ Windows 10 อาจทำให้แท็บลายเซ็นดิจิทัลหายไปทั้งหมด นอกจากนี้ กระบวนการบางอย่างอาจแสดงข้อมูลลิขสิทธิ์ไม่ถูกต้อง

อย่างไรก็ตาม แม้แต่ใน Windows 10 กระบวนการระบบภายในที่มีความสำคัญต่อภารกิจ เช่น Winlogon.exe จะแสดงข้อมูลนี้เสมอ คุณสามารถตรวจสอบความถูกต้องของซอฟต์แวร์ได้ด้วยวิธีอื่น นอกจากนี้ หากคุณติดตั้งไดรเวอร์ที่ไม่ได้ลงนามใน Windows 10 หรือ 11 ไดรเวอร์เหล่านั้นจะไม่แสดงลายเซ็นดิจิทัลใดๆ เมื่อรีบูตครั้งถัดไป

2. การตรวจสอบความถูกต้องของกระบวนการ Windows โดยใช้ CrowdInspect

บน Windows 10 และ Windows 11 คุณสามารถตรวจสอบความถูกต้องของไฟล์กระบวนการผ่านแอปพลิเคชันซอฟต์แวร์ภายนอก:CrowdInspect by CrowdStrike CrowdInspect เป็นเครื่องมือตรวจสอบกระบวนการตามเวลาจริงที่ใช้โฮสต์และฟรี ซึ่งจะสแกนหามัลแวร์ในเบื้องหลังโดยใช้เครื่องมือตรวจจับ เช่น VirusTotal

1. ดาวน์โหลดไฟล์ ZIP ของ CrowdInspect จากลิงก์อย่างเป็นทางการ แล้วคลิกโปรแกรมที่คลายซิปเพื่อเปิดใช้ คุณไม่จำเป็นต้องติดตั้งอะไรเลย
2. ยอมรับข้อตกลงใบอนุญาตและไปยังหน้าจอที่คุณสามารถทำการวิเคราะห์แบบไฮบริดของกระบวนการพื้นหลังทั้งหมดบนอุปกรณ์ Windows ของคุณ ใช้คีย์ API ในตัวแล้วคลิก “ตกลง”

3. รอจนกว่า CrowdInspect จะแสดงหน้าจอของคุณด้วยชุดโปรแกรมพื้นหลังและกระบวนการทั้งหมดบนอุปกรณ์ Windows ของคุณ

คุณสามารถตรวจสอบสถานะของโปรแกรมผ่านสัญลักษณ์สี รายการใดๆ ที่สะอาดจะแสดงด้วยไอคอนสีเขียว หากมีข้อสงสัย คุณจะเห็นเครื่องหมายคำถามถัดจากไอคอน สำหรับรายการที่มีภัยคุกคามระดับต่ำ จะมีไอคอนสีเหลือง รายการที่มีภัยคุกคามระดับสูงจะแสดงด้วยไอคอนสีแดง คุณจะไม่เห็นไอคอนสีเหลืองหรือสีแดงหากอุปกรณ์ของคุณแข็งแรง

4. หากต้องการตรวจสอบเพิ่มเติมว่าไม่มีปัญหาเรื่องมัลแวร์ ให้คลิกขวาที่กระบวนการแล้วคลิก “ดูผลการทดสอบ HA” คุณไม่ควรสังเกตเห็นข้อผิดพลาดใด ๆ ซึ่งเป็นเครื่องบ่งชี้ว่าคุณไม่ได้จัดการกับมัลแวร์ใด ๆ

รายการกระบวนการทั่วไปของ Windows 11/10 ที่คล้ายกับมัลแวร์

1. Explorer.exe

โปรแกรมสากล Windows File Explorer คือ explorer.exe สามารถเข้าถึงได้ง่ายจากทาสก์บาร์และเดสก์ท็อป จุดประสงค์หลักคือเพื่อใช้เป็นตัวจัดการไฟล์สำหรับไฟล์และโฟลเดอร์ทั้งหมดของอุปกรณ์ Windows 11/10 ของคุณ เนื่องจากมีความสำคัญอย่างยิ่ง โปรแกรม explorer.exe จึงเป็นเป้าหมายยอดนิยมของผู้โจมตี

ไวรัส การตรวจจับ :มัลแวร์ explorer.exe มักจะแสดงเป็นโทรจัน แรนซัมแวร์ (โดยเฉพาะอีเมล) และไฟล์ Adobe Flash โปรแกรมที่ถูกต้องจะอยู่ใน “C:\Windows” เสมอ และรายการซ้ำอาจปรากฏในไดรฟ์ D, ไฟล์โปรแกรม, โฟลเดอร์ที่ซ่อนอยู่ หรือตำแหน่งอื่นๆ ในพีซี

การกระทำ :หากมี explorer.exe สองถึงสามอินสแตนซ์บนอุปกรณ์ของคุณ ก็ไม่มีอะไรต้องกังวลตราบใดที่ทั้งหมดมีลายเซ็นดิจิทัลและตำแหน่งที่ถูกต้อง เมื่อมีกระบวนการหลายอย่างที่ใช้ CPU ให้ระบุกระบวนการปลอมใน CrowdInspect จากนั้นคลิกขวาเพื่อ "ฆ่ากระบวนการ"

2. lsass.exe

lsass.exe ย่อมาจาก Local Security Authority Subsystem Service ซึ่งทำงานอยู่เบื้องหลังการตรวจสอบสิทธิ์ผู้ใช้ Windows ของคุณ นอกจากมัลแวร์แล้ว คุณไม่ควรยุติกระบวนการดั้งเดิม เนื่องจากจะทำให้ระบบของคุณไม่สามารถเข้าถึงบัญชีผู้ดูแลระบบและบัญชีในเครื่องได้ ทำให้อุปกรณ์รีสตาร์ท

ไวรัส การตรวจจับ :วิธีทั่วไปที่ผู้เขียนมัลแวร์ปลอมแปลง lsass คือการแทนที่ "l" ตัวพิมพ์เล็กด้วย "i" ในตัวพิมพ์ใหญ่หรือตัวพิมพ์ใหญ่ "L" ระวังการสะกดผิดโดยเจตนา นอกจากนี้ ลายเซ็นดิจิทัลและไฟล์ที่ไม่ถูกต้องที่อยู่นอกโฟลเดอร์ “C:\Windows\System32” ถือเป็นของแถมที่เห็นได้ชัด

การกระทำ :ยุติกระบวนการ lsass ปลอมจากตัวจัดการงาน หากคุณไม่แน่ใจว่าเป็น "l" หรือ "i" ให้ทำเช่นเดียวกันจาก CrowdInspect อินสแตนซ์ lsass ที่ถูกต้องหลายรายการนั้นใช้ได้และไม่ควรดัดแปลง

3. RuntimeBroker.exe

RuntimeBroker.exe เป็นกระบวนการที่ปลอดภัยของ Microsoft ซึ่งมีหน้าที่จัดการการอนุญาตสำหรับแอพที่ดาวน์โหลดจาก Microsoft Store เป็นการตรวจสอบความถูกต้องของโปรแกรมต่างๆ เช่น แอป Photos หากมีแอปใดที่ไม่ได้อยู่ในอุปกรณ์ Windows ของคุณ Runtime Broker จะแจ้งเตือนคุณโดยใช้หน่วยความจำเพิ่มเติมจำนวนมาก

การตรวจจับไวรัส :หากอุปกรณ์ Windows ของคุณติดไวรัส RuntimeBroker.exe คุณจะเห็นว่ามีอุปกรณ์อยู่ในตำแหน่งพีซีอื่นนอกเหนือจาก “C:\Windows\System32” เนื่องจากโปรแกรมไม่ถูกต้อง หน่วยความจำรั่วจะพุ่งสูงขึ้น ซึ่งทำให้ CPU ของคุณทำงานหนัก นอกจากนี้ คุณจะสังเกตเห็นลายเซ็นดิจิทัลที่ไม่ถูกต้องสำหรับอินสแตนซ์ปลอม

การกระทำ :เปิดตัวจัดการงาน คลิก Runtime Broker ที่ถูกต้องหลายอินสแตนซ์ และคลิก “สิ้นสุดงาน” การดำเนินการนี้จะยุติปัญหาใดๆ กับแอปที่กำหนด สำหรับรายการ RuntimeBroker.exe ปลอม ให้ยุติรายการดังกล่าวจาก CrowdInspect

4. Winlogon.exe

เมื่อพูดถึงกระบวนการเบื้องหลังของ Windows ไม่มีอะไรสำคัญไปกว่ารูปแบบของสิ่งต่าง ๆ มากกว่า winlogon.exe ไม่เพียงแค่ควบคุมกระบวนการเข้าสู่ระบบเท่านั้น แต่ยังโหลดโปรไฟล์ผู้ใช้ ควบคุมโปรแกรมรักษาหน้าจอ และเชื่อมต่อกับหลายเครือข่าย อยู่ที่ “C:\Windows\System32”

การตรวจจับไวรัส :โดยปกติแล้วจะเป็นสปายแวร์หรือเครื่องมือคีย์ล็อกเกอร์ winlogon.exe เป็นมัลแวร์ที่อันตรายมากซึ่งอาจทำให้ระบบหยุดทำงาน ซึ่งง่ายต่อการจดจำ หากคุณเปิด Windows Defender ระบบจะเตือนให้คุณลบไฟล์ทันทีและยุติการใช้เวกเตอร์ที่ใช้ (อีเมล เว็บเบราว์เซอร์)

การกระทำ :โปรแกรมเรียกทำงาน winlogon.exe ที่ปลอดภัยจะไม่มีอินสแตนซ์มากกว่าหนึ่งรายการใน CrowdInspect อินสแตนซ์ปลอมอื่นๆ ควรถูกลบเมื่อมาถึงโดยใช้คำแนะนำของ Windows Defender

5. Svchost.exe

Svchost.exe หมายถึง "โฮสต์บริการ" ของ Windows ซึ่งเป็นกระบวนการบริการที่ใช้ร่วมกันซึ่งทำหน้าที่เป็นเชลล์สำหรับการโหลดบริการต่างๆ ของ Windows ขึ้นอยู่กับจำนวนของแอปพลิเคชันที่เปิดอยู่ โดยปกติจะมีอินสแตนซ์ svchost.exe จำนวนมากที่ทำงานเป็นแต่ละกระบวนการ

การตรวจจับไวรัส :คุณจะเจอตอนของมัลแวร์ svchost.exe เมื่อคุณพบโฟลเดอร์หรือโปรแกรมที่ได้รับการป้องกันซึ่งถูกบล็อกโดยกระบวนการที่ซ้ำกัน หรือการสะกดคำต่างๆ เช่น “svhosts.exe” ส่วนใหญ่เป็นแรนซัมแวร์หรือเครื่องมือการฉ้อโกงทางธนาคาร เวกเตอร์แหล่งที่มาประกอบด้วยไฟล์ PDF ไฟล์ ZIP และ JavaScript

การกระทำ :โทรจันเหล่านี้มักจะเป็นภัยคุกคามระดับต่ำ แต่ควรลบออกโดยเร็วที่สุด เครื่องมือป้องกันไวรัสมาตรฐานและ Windows Defender ติดตั้งเพื่อลบอินสแตนซ์ของโฮสต์บริการที่ไม่พบใน “C:\Windows\System32”

6. OfficeClickToRun.exe

หากคุณเคยใช้เครื่องมือ Office เช่น Word, Excel หรือ PowerPoint คุณเคยเจอโปรแกรมเรียกทำงานชื่อ OfficeClickToRun.exe หน้าที่ของมันคือเรียกใช้ Microsoft Office เวอร์ชันล่าสุดบนอุปกรณ์ของคุณและจัดการการอัปเดต แม้ว่าจะไม่ใช่มัลแวร์ก็ตาม OfficeClickToRun.exe ก็สามารถเน้นหน่วยความจำบน CPU ของคุณได้ อย่างไรก็ตาม หากคุณลบไฟล์ชั่วคราวเป็นระยะ จะเป็นภาระน้อยลง

การตรวจจับไวรัส :มีไฟล์ปฏิบัติการอยู่ในตำแหน่งอื่นนอกเหนือจาก Program Files ในโฟลเดอร์ Microsoft Shared หรือไม่ ไฟล์พิเศษนั้นไม่แข็งแรงสำหรับระบบของคุณ นอกจากนี้ อุปกรณ์ Windows ของคุณควรมี OfficeClickToRun.exe เพียงอินสแตนซ์เดียวเท่านั้นที่ทำงานอยู่ ตรวจสอบลายเซ็นดิจิทัลสำหรับผู้อื่น

การกระทำ :แม้ว่าจะไม่เป็นอันตรายในตัวเอง แต่อินสแตนซ์ปลอมของ OfficeClickToRun.exe สามารถอุดตันหน่วยความจำระบบของคุณได้ โดยปกติแล้วจะมาจากไฟล์และเอกสารที่ติดไวรัส ซึ่งควรถูกลบทันที

7. igfxem.exe

igfxEM.exe เป็นกระบวนการพื้นหลังที่ไม่ค่อยมีใครรู้จักซึ่งมีความสำคัญต่อการจัดการกราฟิกการ์ด Intel และมีความสำคัญต่อการแสดงผลการ์ดแสดงผล โดยติดตั้งมาล่วงหน้าในอุปกรณ์ของคุณและควรปล่อยไว้ตามลำพัง เนื่องจากไม่เป็นภาระต่อระบบเลย

การตรวจจับไวรัส :หากคุณมี igfxEM มากกว่าหนึ่งอินสแตนซ์ (และการสะกดผิดตามที่แสดง) ให้ตรวจสอบลายเซ็นดิจิทัล หากแสดง Intel และ Microsoft แสดงว่าไม่มีมัลแวร์ มิฉะนั้น คุณจะไม่มีไฟล์ igfxEM ของแท้ และต้องนำกระบวนการนั้นออก

การกระทำ :ไม่ควรดำเนินการใดๆ ถ้าคุณมีลายเซ็นดิจิทัลที่ถูกต้อง แม้ว่าจะมีหลายอินสแตนซ์ของ Intel หากการ์ดกราฟิก Intel เดิมของคุณเสียหาย ให้ลองติดตั้งไดรเวอร์ใหม่จาก “devmgmt.msc” การจัดการอุปกรณ์ ในเมนูเริ่ม

8. Csrss.exe

Csrss.exe ย่อมาจาก Client Server Runtime Subsystem ซึ่งเป็นกระบวนการของผู้ใช้ที่ถูกต้องตามกฎหมายซึ่งมีวัตถุประสงค์เพื่อจัดการกิจกรรม Windows Graphics เช่นการปิดระบบ GUI และบริการคอนโซลของระบบ มักเข้าใจผิดว่าเป็นมัลแวร์ การยุติการดำเนินการนี้อาจส่งผลร้ายแรงต่อระบบของคุณ ซึ่งนำไปสู่ความขัดข้องที่มั่นใจได้

การตรวจจับไวรัส :เช่นเดียวกับโปรแกรมอื่นๆ ใน “C:\Windows\System32” csrss.exe จะยังคงทำงานอยู่เบื้องหลังอย่างเงียบๆ และคุณจะพบเพียงหนึ่งหรือสองอินสแตนซ์ใน CrowdInspect ไฟล์ที่น่าสงสัยจะมีลายเซ็นดิจิทัลที่ไม่ถูกต้องและรายละเอียดลิขสิทธิ์หายไป

การกระทำ :csrss.exe มักถูกใช้โดยบริษัทซอฟต์แวร์รักษาความปลอดภัยปลอมและนักต้มตุ๋นทางเทคโนโลยีเพื่อเป็น "ข้อพิสูจน์" ว่าอุปกรณ์ติดไวรัส นี่ไม่ใช่มัลแวร์จริง ดังนั้นคุณไม่ควรยุติกระบวนการที่มีอยู่เนื่องจากคำแนะนำด้านเทคนิคที่ไม่ถูกต้อง

9. GoogleCrashHandler.exe

หากคุณมีโปรแกรม Google ใดๆ บนอุปกรณ์ Windows ของคุณ รวมถึง Google Chrome คุณจะพบโปรแกรมปฏิบัติการที่เรียกว่า GoogleCrashHandler.exe ซึ่งเป็นส่วนหนึ่งของแพ็คเกจ Google Updater นี่ไม่ใช่องค์ประกอบสำคัญของ Windows และสามารถลบออกได้อย่างปลอดภัยและง่ายดาย แต่ก็ไม่ใช่มัลแวร์เสมอไป

การตรวจจับไวรัส :หากลายเซ็นดิจิทัลของ Google CrashHandler.exe ไม่ถูกต้อง กล่าวคือไม่ได้ลงนามโดย Google เรากำลังตรวจสอบสัญญาณที่อาจเป็นไปได้ว่ามีการติดสปายแวร์หรือรูทคิต เนื่องจากกระบวนการปกตินั้นปลอดภัย

การกระทำ :ลบ GoogleCrashHandler.exe บางส่วนหรือทั้งหมดออกจากตัวจัดการงานระบบของคุณ แม้ว่าจะไม่ใช่มัลแวร์เสมอไปก็ตาม คุณไม่ต้องการให้ CPU เป็นภาระโดยไม่จำเป็น เว้นแต่คุณต้องการส่งรายงานข้อขัดข้องไปยัง Google

10. Spoolsv.exe

Spoolsv.exe เป็นกระบวนการ Windows ของแท้ ซึ่งรวมเข้ากับบริการ Print Spooler แปลแบบอักษรและกราฟิกเป็นฮาร์ดแวร์เครื่องพิมพ์และเครื่องพิมพ์เสมือนใดๆ นี่เป็นกระบวนการหลักของ Windows ที่มีอยู่ตั้งแต่เริ่มต้น MS-DOS การยกเลิกรายการกระบวนการ spoolsv.exe ที่ถูกต้องจะนำไปสู่ความล้มเหลวของเครื่องและระบบรีบูต

การตรวจจับไวรัส :แม้ว่าจะคล้ายกับมัลแวร์บางตัว แต่ spoolsv.exe ก็เป็นกระบวนการ Windows ที่ถูกต้องตามกฎหมายที่ปลอดภัย กระบวนการพิเศษใดๆ จะขาดลายเซ็นดิจิทัลจาก Microsoft หากผู้สร้างมัลแวร์ใช้ชื่อที่คล้ายกันเพื่อกำหนดเป้าหมายระบบของคุณ Windows Defender ควรแจ้งเตือนคุณ

การกระทำ :ไม่ควรดำเนินการใดๆ หากกระบวนการ spoolsv.exe ได้รับการตรวจสอบโดยลายเซ็นดิจิทัลของ Microsoft มิฉะนั้น ให้ไปที่ตัวจัดการงานเพื่อสิ้นสุดกระบวนการ

11. ตัวจัดการงาน

Windows Task Manager (taskmgr.exe) เป็นโปรแกรมที่สำคัญมากที่ควบคุมกระบวนการหลักทั้งหมดของ Windows รวมถึงแอปพลิเคชันต่างๆ การปิดโปรแกรมสำคัญนี้และอนุพันธ์ของโปรแกรม เช่น taskhostw.exe อาจทำให้ระบบของคุณเสียหายได้ และผู้เขียนมัลแวร์ก็ตระหนักในเรื่องนี้

การตรวจจับไวรัส :หากคุณรู้สึกว่าโปรแกรมที่เกี่ยวข้องกับตัวจัดการงานทำงานไม่ถูกต้อง ให้ตรวจสอบตำแหน่งไฟล์ของโปรแกรม ซึ่งควรอยู่ใน “C:\Windows\System32” รีสตาร์ทอุปกรณ์ของคุณเพื่อดูว่าปัญหาหายไปหรือไม่ หากอินสแตนซ์ตัวจัดการงานที่น่าสงสัยยังคงมีอยู่ เรากำลังตรวจสอบมัลแวร์ที่อาจเกิดขึ้น อีกสัญญาณหนึ่งคือลายเซ็นดิจิทัลซึ่งจะไม่ถูกต้อง

การกระทำ :โปรแกรมจัดการงานที่คล้ายกับ "ตัวจัดการงาน" ที่ติดมัลแวร์สามารถระบุและยุติได้จากตัวจัดการงาน อย่างไรก็ตาม หากคุณพบข้อผิดพลาด TaskSchedulerHelper.dll ใน Windows 10 ให้ทำตามขั้นตอนการแก้ไขตามที่แสดง

สรุป:สัญญาณเตือนของมัลแวร์ที่คล้ายกับกระบวนการของ Windows

ต่อไปนี้คือข้อมูลสรุปโดยย่อเกี่ยวกับวิธีจัดการกับกระบวนการที่น่าสงสัยซึ่งคล้ายกับกระบวนการของระบบ Windows มาตรฐาน คุณอาจหรืออาจจะไม่จัดการกับมัลแวร์ใดๆ แต่สิ่งสำคัญคือต้องติดตามสัญญาณเตือนเหล่านี้

• ตรวจสอบรายละเอียดคุณสมบัติของแอปพลิเคชันสำหรับลิขสิทธิ์ที่ถูกต้อง :แต่ละโปรแกรมใน Windows 11 และ Windows 10 มีตำแหน่งไฟล์ จากที่นั่นคุณสามารถเข้าถึง "รายละเอียด" ในแท็บคุณสมบัติ ตรวจสอบให้แน่ใจว่าลิขสิทธิ์เป็นของ Windows, TrustedInstaller หรือเจ้าของกระบวนการที่ถูกต้องตามกฎหมาย เช่น Google, Intel, NVIDIA เป็นต้น หากไม่เป็นเช่นนั้น เรากำลังพิจารณาแหล่งที่มาของมัลแวร์ที่อาจควรลบออกจากระบบ
• ตรวจสอบการใช้งาน CPU ของโปรแกรม Windows Process :it is normal for Windows CPU usage to shoot up when several systems are running together. However, many instances of the same program slowing down the system is a cause of concern. The unnecessary programs should be identified and shut down immediately.
• Check the suspicious Windows processes for digital signatures :this is the most important and easiest way to validate the authenticity of a process. If the digital signature of a process is invalid and does not come from trusted sources, then there is a good chance it is malware.
• Check the file location of suspicious processes :most Windows file processes have a well-defined location on your PC. It can either be “C:\Windows\System32,” the Program Files, or some other well-defined location. You should not find instances of this process in other areas, such as D drive, as it indicates the chance of malware.

Frequently Asked Questions

1. What should be done if a certain Windows process is indeed harmful?

No legitimate Windows process can harm your system. However, if there are duplicate instances of such processes that contain malware, go to CrowdInspect, right-click that process, and click “Kill Process.” If you have Windows Defender turned on, it will take care of such malware instances. Also read on to learn why Windows Defender is the only antivirus you need.

2. What happens when you terminate a valid Windows process and how do you recover from there?

If you accidentally terminate a valid Windows process, the consequences will depend on how critical the process is for your system. If it’s a non-critical software process, there will be no impact on a Windows device.

For high impact processes such as winlogon.exe and csrss.exe, Windows has a built-in mechanism to prevent their accidental termination. However, if you persist and try to end the system from task manager, your device will power off on its own, requiring a restart. In the worst case, it can lead to a complete blackout and permanent damage due to crash.

If it’s a low impact process integral to the scheduled operation and maintenance of Windows, then the system will report a critical failure and automatically shut down. After a startup, the problem will be gone.