11 عملية Windows شرعية يمكن أن تبدو وكأنها برامج ضارة

تلعب عمليات Windows دورًا مهمًا في التشغيل السليم لجهاز الكمبيوتر أو الكمبيوتر المحمول. بعضها ، مثل csrss.exe و winlogon.exe ، بالغ الأهمية لدرجة أنك إذا قررت إنهاءها عن طريق الخطأ ، فقد ينتهي بك الأمر إلى تعطل جهازك. يستفيد مؤلفو البرامج الضارة من هذه الأهمية الحيوية لإصابة أنظمة Windows السليمة. تتمثل الفرضية في أنه يمكن تسمية الفيروسات وبرامج الإعلانات المتسللة وبرامج التجسس وأحصنة طروادة بأي شيء – حتى تسميتها بعد عمليات نظام Windows القياسية.

فيما يلي بعض عمليات Windows 11 و 10 الرائدة التي غالبًا ما يتم الخلط بينها وبين البرامج الضارة التي تحمل الاسم نفسه. تعرف على كيفية اكتشاف المنتجات المزيفة إذا ظهرت على نظامك.

كيفية معرفة ما إذا كانت عملية Windows مشروعة

هناك طريقتان للتحقق مما إذا كانت عملية Windows شرعية أم مصدر برامج ضارة: من خلال خصائص التطبيق الخاصة بها واستخدام الأدوات الخارجية مثل CrowdInspect بواسطة CrowdStrike.

1. التحقق من شرعية عملية Windows من خلال خصائصها

ترتبط جميع ملفات عمليات Windows المصرح بها بشركة Microsoft Corporation أو مطور البرنامج / التطبيق الرسمي أو حساب Microsoft مضمن مثل TrustedInstaller.exe ، الذي يحكم مجلدات مثل WindowsApps .

لتحديد ما إذا كانت عملية Windows 11 أو 10 شرعية وليست مصدرًا للبرامج الضارة ، فأنت بحاجة إلى البحث تحت الغطاء في خصائص التطبيق الخاصة بها. انتقل إلى علامة التبويب “التفاصيل” وابحث عن مالك حقوق النشر الرسمي للعملية. إذا كانت Microsoft أو مطور تطبيقات أو TrustedInstaller ، فأنت على ما يرام.

أيضًا في Windows 11/10 ، يمكنك التحقق من علامة التبويب “التوقيعات الرقمية” لخصائص العملية. ستجد هنا التوقيعات الرقمية الرسمية مع أحدث الطوابع الزمنية مما يمنحك طبقة إضافية من التأكيد.

نظرًا لأن توقيع برنامج تشغيل لهذه العمليات يتطلب أذونات قياسية من Microsoft (علاوة على ذلك ، يتم منع أي وصول غير مصرح به إلى جذر الجهاز بواسطة التمهيد الآمن UEFI ) ، أصبح من المستحيل الآن على مؤلفي البرامج الضارة تزوير التوقيعات الرقمية في Windows 11.

من العادي إلى المهم للغاية ، مثل “services.exe” أو “svchost.exe” ، يتم توقيع جميع عمليات Windows 11 رقميًا باستخدام الطوابع الزمنية. مع كل تحديث Windows ناجح ، يتم التحقق من هذه المصادقة.

من ناحية أخرى ، قد تحتوي خصائص عملية Windows 10 على علامة تبويب التوقيعات الرقمية مفقودة تمامًا. أيضًا ، قد لا تعرض بعض العمليات معلومات حقوق النشر بشكل صحيح.

ومع ذلك ، حتى في نظام التشغيل Windows 10 ، تعرض عمليات النظام الداخلية ذات المهام الحرجة مثل Winlogon.exe هذه المعلومات دائمًا. 

2. التحقق من شرعية عملية Windows باستخدام CrowdInspect

في كل من Windows 10 و Windows 11 ، يمكنك التحقق من صحة ملف العملية من خلال تطبيق برنامج خارجي: CrowdInspect by CrowdStrike. CrowdInspect هي أداة مجانية لفحص العمليات تعتمد على المضيف وفي الوقت الفعلي تقوم بالمسح بحثًا عن البرامج الضارة في الخلفية باستخدام محركات الكشف مثل VirusTotal.

1. قم بتنزيل ملف CrowdInspect ZIP من الرابط الرسمي وانقر فوق البرنامج الذي تم فك ضغطه لتشغيله . ليس عليك تثبيت أي شيء.
2. اقبل اتفاقية الترخيص وانتقل إلى الشاشة حيث يمكنك إجراء تحليل مختلط لجميع عمليات الخلفية على جهاز Windows الخاص بك. استخدم مفتاح API المدمج وانقر على “موافق”.

3. انتظر حتى يملأ CrowdInspect شاشتك بمجموعة كاملة من برامج وعمليات الخلفية على جهاز Windows الخاص بك.

يمكنك التحقق من حالة البرامج من خلال رموز الألوان. تتم الإشارة إلى أي عنصر نظيف برمز أخضر. إذا كانت هناك شكوك ، فسترى علامات استفهام بجوار الرمز. بالنسبة للعناصر ذات التهديد المنخفض الخطورة ، يوجد رمز أصفر. تتم الإشارة إلى العناصر ذات الخطورة الشديدة برمز أحمر. لن ترى أي رموز صفراء أو حمراء إذا كان جهازك سليمًا.

4. لمزيد من التحقق من عدم وجود مخاوف تتعلق بالبرامج الضارة ، انقر بزر الماوس الأيمن فوق العملية وانقر فوق “عرض نتائج اختبار HA”. يجب ألا تلاحظ أي أخطاء ، فهذا مؤشر آمن على أنك لا تتعامل مع أي برامج ضارة.

قائمة عمليات Windows 11/10 الشائعة التي تشبه البرامج الضارة

1. Explorer.exe

يمكن الوصول إلى برنامج مستكشف ملفات Windows العالمي ، explorer.exe ، بسهولة من شريط المهام وسطح المكتب. الغرض الأساسي منه هو العمل كمدير ملفات لجميع الملفات والمجلدات الخاصة بجهاز Windows 11/10. نظرًا لأهميته الحيوية ، يعد برنامج explorer.exe هدفًا مفضلاً للمهاجمين.

الكشف عن الفيروسات : عادةً ما تظهر البرامج الضارة explorer.exe كملفات أحصنة طروادة وبرامج الفدية (خاصة البريد الإلكتروني) وملفات Adobe Flash. يوجد البرنامج الشرعي دائمًا في “C: \ Windows” ، وقد تظهر التكرارات في محرك الأقراص D أو ملفات البرامج أو المجلدات المخفية أو أي موقع آخر للكمبيوتر الشخصي.

الإجراء : إذا كان هناك حالتان إلى ثلاث حالات من explorer.exe على جهازك ، فلا داعي للقلق طالما أن لديهم جميعًا توقيعات ومواقع رقمية صالحة. عندما تكون هناك عمليات متعددة تستهلك وحدة المعالجة المركزية ، حدد العمليات الزائفة في CrowdInspect ، ثم انقر بزر الماوس الأيمن “لإيقاف العملية”.

2. lsass.exe

يرمز lsass.exe إلى خدمة النظام الفرعي لسلطة الأمان المحلية ، والتي تستمر خلف مصادقة مستخدم Windows. بصرف النظر عن البرامج الضارة ، يجب ألا تنهي العمليات الأصلية ، حيث سيؤدي ذلك إلى فقدان نظامك للوصول إلى حسابات المسؤول والحسابات المحلية ، مما يؤدي إلى إعادة تشغيل الجهاز.

اكتشاف الفيروسات : من الطرق الشائعة التي يستخدمها مؤلفو البرامج الضارة لإخفاء lsass عن طريق استبدال الحرف الصغير “l” بحرف “i” بالحرف الكبير أو الحرف الكبير “L.” احترس من أي أخطاء إملائية متعمدة. أيضًا ، أي توقيعات رقمية وملفات غير صالحة موجودة خارج المجلد “C: \ Windows \ System32” هي هدية واضحة.

الإجراء : قم بإنهاء عمليات lsass الزائفة من مدير المهام. إذا لم تكن متأكدًا مما إذا كان الحرف “l” أم “i” ، فافعل الشيء نفسه من CrowdInspect. تعد مثيلات lsass الصالحة المتعددة جيدة ولا يجب العبث بها.

3. RuntimeBroker.exe

RuntimeBroker.exe هي عملية آمنة من Microsoft تتمثل مهمتها في إدارة أذونات أي تطبيقات يتم تنزيلها من متجر Microsoft. يتحقق من أصالة البرامج مثل تطبيق الصور. إذا كان أي تطبيق لا ينتمي إلى جهاز Windows الخاص بك ، فإن Runtime Broker ينبهك عن طريق استهلاك الكثير من الذاكرة الإضافية.

اكتشاف الفيروسات : إذا كان جهاز Windows الخاص بك مصابًا بفيروس RuntimeBroker.exe ، فسترى وجوده في مواقع أجهزة الكمبيوتر الأخرى بخلاف “C: \ Windows \ System32.” نظرًا لأن البرنامج غير شرعي ، فإن تسريبات الذاكرة سترتفع بشكل كبير ، مما يثقل كاهل وحدة المعالجة المركزية الخاصة بك. ستلاحظ أيضًا توقيعًا رقميًا غير صالح للحالات الزائفة.

الإجراء : افتح مدير المهام. انقر فوق مثيلات متعددة صالحة لـ Runtime Broker وانقر فوق “إنهاء المهمة”. سيؤدي هذا إلى إنهاء أي مشاكل مع تطبيق معين. بالنسبة لإدخالات RuntimeBroker.exe الزائفة ، قم بإنهاءها من CrowdInspect.

4. Winlogon.exe

عندما يتعلق الأمر بعمليات خلفية Windows ، لا يوجد شيء أكثر أهمية في مخطط الأشياء من winlogon.exe. فهو لا يحكم عملية تسجيل الدخول فحسب ، بل يقوم أيضًا بتحميل ملفات تعريف المستخدمين ، والتحكم في شاشة التوقف ، والاتصال بشبكات متعددة. إنه موجود في “C: \ Windows \ System32.”

الكشف عن الفيروسات : عادةً ما يكون برنامج تجسس أو أداة keylogger ، يعد winlogon.exe برنامجًا ضارًا خطيرًا للغاية يمكن أن يتسبب في بدء تعطل الأنظمة ، وهو أمر يسهل التعرف عليه. إذا كان لديك Windows Defender قيد التشغيل ، فسيحذرك لحذف الملف على الفور وإنهاء أي ناقلات مستخدمة (البريد الإلكتروني ، متصفح الويب).

الإجراء : لن يحتوي الملف القابل للتنفيذ winlogon.exe الآمن على أكثر من مثيل واحد في CrowdInspect. يجب حذف الحالات الزائفة الأخرى عند الوصول باستخدام اقتراحات Windows Defender.

5. ملف Svchost.exe

يشير ملف Svchost.exe إلى “مضيف خدمة Windows” ، وهي عملية خدمة مشتركة تعمل بمثابة غلاف لتحميل خدمات Windows المختلفة. اعتمادًا على عدد التطبيقات المفتوحة ، عادة ما يكون هناك العديد من مثيلات ملف Svchost.exe التي تعمل كعمليات فردية.

الكشف عن الفيروسات : ستصادف حلقة برنامج ضار لملف Svchost.exe عندما تجد مجلدًا أو برنامجًا محميًا تم حظره بواسطة عملية مكررة أو باستخدام متغيرات تهجئة مثل “svhosts.exe”. هم في الغالب من برامج الفدية أو أدوات الاحتيال المصرفي. تتضمن نواقل المصدر الخاصة بهم ملفات PDF وملفات ZIP وجافا سكريبت.

الإجراء : عادةً ما تمثل أحصنة طروادة هذه تهديدًا منخفض المستوى ولكن يجب إزالتها في أقرب وقت ممكن. تم تجهيز أدوات مكافحة الفيروسات القياسية و Windows Defender لحذف أي مثيلات مضيفة للخدمة غير موجودة في “C: \ Windows \ System32.”

6. OfficeClickToRun.exe

إذا كنت تستخدم أدوات Office – مثل Word أو Excel أو PowerPoint – فقد صادفت ملفًا تنفيذيًا يسمى OfficeClickToRun.exe. وتتمثل مهمتها في تشغيل أحدث إصدارات Microsoft Office على جهازك والتعامل مع التحديثات. حتى لو لم يكن برنامجًا ضارًا ، يمكن أن يكون OfficeClickToRun.exe مستهلكًا للذاكرة على وحدة المعالجة المركزية الخاصة بك. ومع ذلك ، إذا قمت بحذف الملفات المؤقتة بشكل دوري ، فسيكون ذلك عبئًا أقل بكثير.

الكشف عن الفيروسات : هل الملف التنفيذي موجود في أي مكان آخر غير Program Files في المجلد المشترك لـ Microsoft؟ الملف الإضافي غير صحي لنظامك. أيضًا ، يجب أن يحتوي جهاز Windows الخاص بك على مثيل واحد فقط من OfficeClickToRun.exe قيد التشغيل. تحقق من التوقيعات الرقمية لأي شخص آخر.

الإجراء : على الرغم من أنه ليس ضارًا في حد ذاته ، إلا أن المثيلات الزائفة لـ OfficeClickToRun.exe يمكن أن تسد ذاكرة النظام لديك. عادة ما تأتي من خلال الملفات والمستندات المصابة ، والتي يجب حذفها على الفور.

7. igfxem.exe

igfxEM.exe هي عملية خلفية غير معروفة وهي ضرورية لإدارة بطاقة رسومات Intel وبالتالي فهي مهمة جدًا لعرض بطاقة الفيديو. يأتي مثبتًا مسبقًا على جهازك ويجب تركه بمفرده ، لأنه لا يثقل كاهل النظام على الإطلاق.

الكشف عن الفيروسات : إذا كان لديك أكثر من مثيل واحد من igfxEM (والأخطاء الإملائية كما هو موضح) ، تحقق من صحة التوقيعات الرقمية. إذا أظهر إنتل ومايكروسوفت ، فلا توجد برامج ضارة. خلاف ذلك ، ليس لديك ملف igfxEM أصلي ، ويجب إزالة هذه العملية.

الإجراء : يجب عدم اتخاذ أي إجراء إذا كان لديك توقيعات رقمية صالحة – حتى مع مثيلات Intel المتعددة. إذا بدت بطاقة رسومات Intel الأصلية تالفة ، فحاول إعادة تثبيت برنامج التشغيل من “devmgmt.msc ،” إدارة الأجهزة ، في قائمة ابدأ.

8. Csrss.exe

يرمز Csrss.exe إلى Client Server Runtime Subsystem ، وهو عبارة عن عملية مستخدم شرعية تهدف إلى إدارة أنشطة Windows Graphics ، مثل إيقاف تشغيل واجهة المستخدم الرسومية وخدمات وحدة التحكم في النظام. من الشائع جدًا الخلط بينه وبين البرامج الضارة. يمكن أن يكون إنهاءها قاتلاً لنظامك ، مما يؤدي إلى تحطم مضمون.

اكتشاف الفيروسات : مثل البرامج الأخرى في “C: \ Windows \ System32” ، يظل csrss.exe في الخلفية بهدوء ، وستجد حالة واحدة أو اثنتين فقط في CrowdInspect. أي ملفات مشبوهة ستحتوي على توقيعات رقمية غير صالحة وتفقد تفاصيل حقوق النشر.

الإجراء : غالبًا ما يتم استخدام csrss.exe بواسطة شركات برامج الأمان المخادعة والمحتالين التقنيين “كدليل” على إصابة أحد الأجهزة. هذا ليس برنامجًا ضارًا حقيقيًا ، لذا يجب ألا تنهي العملية الحالية أبدًا بسبب نصيحة تقنية خاطئة.

9. ملف GoogleCrashHandler.exe

إذا كان لديك أي برامج Google على جهاز Windows الخاص بك ، بما في ذلك Google Chrome ، فستجد ملفًا قابلاً للتنفيذ يسمى GoogleCrashHandler.exe ، وهو جزء من حزم Google Updater. هذا ليس مكونًا مهمًا من مكونات Windows ويمكن إزالته بأمان وسهولة ، ولكنه ليس دائمًا برنامجًا ضارًا أيضًا.

الكشف عن الفيروسات : إذا كان التوقيع الرقمي لـ Google CrashHandler.exe غير صالح ، أي أنه لم يتم توقيعه من قبل Google ، فنحن نبحث عن علامة محتملة لبرامج التجسس أو إصابة الجذور الخفية ، لأن العملية العادية آمنة.

الإجراء : قم بإزالة أي أو كل مثيلات GoogleCrashHandler.exe من مدير مهام النظام الخاص بك على الرغم من أنه ليس دائمًا برامج ضارة. لا تريد أن تثقل كاهل وحدة المعالجة المركزية بشكل غير ضروري إلا إذا كنت تريد إرسال تقارير الأعطال إلى Google.

10. Spoolsv.exe

Spoolsv.exe هي عملية Windows أصلية ، مدمجة مع خدمة Printing Spooler ، تترجم الخطوط والرسومات إلى أجهزة الطابعة وأي طابعات افتراضية. هذه عملية Windows أساسية كانت موجودة منذ بداية MS-DOS. سيؤدي إنهاء أي إدخال صالح لعملية spoolsv.exe إلى فشل الجهاز وإعادة تشغيل النظام.

الكشف عن الفيروسات : على الرغم من أنه يشبه بعض البرامج الضارة ، إلا أن spoolsv.exe يعد عملية شرعية آمنة لنظام التشغيل Windows. ستفتقر أي عمليات إضافية إلى التوقيعات الرقمية من Microsoft. إذا استخدم مؤلفو البرامج الضارة اسمًا مشابهًا لاستهداف نظامك ، فيجب على Windows Defender تنبيهك بذلك.

الإجراء : لا ينبغي اتخاذ أي إجراء إذا تم التحقق من صحة عملية spoolsv.exe بواسطة توقيع رقمي من Microsoft. خلاف ذلك ، انتقل إلى مدير المهام لإنهاء العملية.

11. مدير المهام

Windows Task Manager (taskmgr.exe) هو برنامج مهم للغاية يتحكم في جميع عمليات Windows الأساسية بالإضافة إلى التطبيقات. يمكن أن يكون إيقاف تشغيل هذا البرنامج الأساسي ومشتقاته ، مثل taskhostw.exe قاتلاً لنظامك ، ويدرك مؤلفو البرامج الضارة ذلك.

اكتشاف الفيروسات : إذا شعرت أن أحد البرامج المرتبطة بإدارة المهام لا يعمل بشكل صحيح ، فتحقق من موقع الملف الخاص به ، والذي يجب أن يكون في “C: \ Windows \ System32.” أعد تشغيل جهازك لمعرفة ما إذا كانت المشكلة قد اختفت. إذا استمر مثيل مدير المهام المشبوهة ، فإننا نبحث في البرامج الضارة المحتملة. علامة أخرى هي توقيعه الرقمي الذي سيكون غير صالح.

الإجراء : يمكن تحديد أي “مدير مهام” – مثل الملف التنفيذي – مصاب ببرامج ضارة وإنهائه من مدير المهام نفسه. ومع ذلك ، إذا كنت تواجه خطأ TaskSchedulerHelper.dll في نظام التشغيل Windows 10 ، فاتخذ الخطوات التصحيحية كما هو موضح.

الملخص: علامات التحذير من البرامج الضارة التي تشبه عمليات Windows

فيما يلي ملخص سريع لكيفية التعامل مع أي عمليات مشبوهة تشبه عمليات نظام Windows القياسية. قد تتعامل أو لا تتعامل مع أي برامج ضارة ، ولكن من المهم تتبع هذه العلامات التحذيرية.

• تحقق من تفاصيل خاصية التطبيق للحصول على حقوق النشر الصحيحة : لكل برنامج في Windows 11 و Windows 10 موقع ملف. من هناك يمكنك الوصول إلى “التفاصيل” في علامة التبويب “الخصائص”. تأكد من أن حقوق النشر تنتمي إلى Windows أو TrustedInstaller أو أصحاب العمليات الشرعيين ، مثل Google و Intel و NVIDIA وما إلى ذلك. إذا لم يكن الأمر كذلك ، فنحن نبحث عن مصدر محتمل للبرامج الضارة التي يجب إزالتها من النظام.
• تحقق من استخدام وحدة المعالجة المركزية لبرامج Windows Process : من الطبيعي أن يرتفع استخدام وحدة المعالجة المركزية في Windows عندما تعمل عدة أنظمة معًا. ومع ذلك ، فإن العديد من حالات نفس البرنامج التي تبطئ النظام هي مدعاة للقلق. يجب تحديد البرامج غير الضرورية وإغلاقها على الفور.
• تحقق من عمليات Windows المشبوهة بحثًا عن التوقيعات الرقمية : هذه هي الطريقة الأكثر أهمية والأسهل للتحقق من صحة العملية. إذا كان التوقيع الرقمي لعملية ما غير صالح ولا يأتي من مصادر موثوقة ، فهناك احتمال كبير أن تكون برامج ضارة.
• تحقق من موقع ملف العمليات المشبوهة : معظم عمليات ملفات Windows لها موقع محدد جيدًا على جهاز الكمبيوتر الخاص بك. يمكن أن يكون إما “C: \ Windows \ System32” ، أو ملفات البرنامج ، أو بعض المواقع الأخرى المحددة جيدًا. يجب ألا تجد مثيلات لهذه العملية في مناطق أخرى ، مثل محرك الأقراص D ، لأنه يشير إلى احتمال وجود برامج ضارة.

أسئلة مكررة

1. ما الذي يجب فعله إذا كانت عملية Windows معينة ضارة بالفعل؟

لا يمكن لأي عملية Windows شرعية أن تلحق الضرر بنظامك. ومع ذلك ، إذا كانت هناك حالات مكررة لمثل هذه العمليات تحتوي على برامج ضارة ، فانتقل إلى CrowdInspect ، وانقر بزر الماوس الأيمن فوق هذه العملية ، ثم انقر على “إنهاء العملية”. إذا كان Windows Defender قيد التشغيل ، فسوف يعتني بمثل هذه الحالات من البرامج الضارة. اقرأ أيضًا لمعرفة سبب كون Windows Defender هو برنامج مكافحة الفيروسات الوحيد الذي تحتاجه .

2. ماذا يحدث عند إنهاء عملية Windows صالحة وكيف تتعافى من هناك؟

إذا قمت بإنهاء عملية Windows صحيحة عن طريق الخطأ ، فستعتمد العواقب على مدى أهمية العملية لنظامك. إذا كانت عملية برمجية غير حرجة ، فلن يكون هناك أي تأثير على جهاز Windows.

بالنسبة للعمليات عالية التأثير مثل winlogon.exe و csrss.exe ، يحتوي Windows على آلية مضمنة لمنع الإنهاء العرضي لها. ومع ذلك ، إذا استمرت في الإصرار وحاولت إنهاء النظام من مدير المهام ، فسيتم إيقاف تشغيل جهازك من تلقاء نفسه ، مما يتطلب إعادة التشغيل. في أسوأ الحالات ، يمكن أن يؤدي إلى انقطاع التيار الكهربائي الكامل وضرر دائم بسبب الانهيار.