11 processi Windows legittimi che possono sembrare malware

I processi di Windows svolgono un ruolo significativo nel corretto funzionamento del tuo PC o laptop. Alcuni, come csrss.exe e winlogon.exe, sono così cruciali che se decidi erroneamente di terminarli, potresti finire per mandare in crash il tuo dispositivo. Gli autori di malware sfruttano tale criticità per infettare i sistemi Windows sani. La premessa è che virus, adware, spyware e trojan possono essere etichettati come qualsiasi cosa, anche con nomi di processi di sistema standard di Windows.

Di seguito sono riportati alcuni dei principali processi di Windows 11 e 10 spesso confusi per il malware omonimo. Scopri come individuare i falsi se vengono visualizzati sul tuo sistema.

Leggi anche:Come formattare un'unità in FAT32 in Windows

Come scoprire se un processo di Windows è legittimo

Esistono due modi per verificare se un processo Windows è legittimo o una fonte di malware: tramite le sue proprietà dell'applicazione e utilizzando strumenti esterni come CrowdInspect di CrowdStrike.

1. Verifica della legittimità di un processo Windows attraverso le sue proprietà

Tutti i file di processo Windows autorizzati sono collegati a Microsoft Corporation, allo sviluppatore ufficiale del programma/app o a un account Microsoft integrato come TrustedInstaller.exe, che governa cartelle come WindowsApps.

Per determinare se un processo di Windows 11 o 10 è legittimo e non una fonte di malware, è necessario guardare sotto il cofano nelle sue proprietà dell'applicazione. Vai alla scheda "Dettagli" e trova il proprietario ufficiale del copyright del processo. Se è Microsoft, uno sviluppatore di app o TrustedInstaller, sei a posto.

Anche in Windows 11/10, puoi controllare la scheda "Firme digitali" delle proprietà di un processo. Qui troverai le firme digitali ufficiali con gli ultimi timestamp che ti offrono un ulteriore livello di sicurezza.

Come firma di un driver per questi processi richiede autorizzazioni Microsoft standard (inoltre, qualsiasi accesso non autorizzato alla root del dispositivo è impedito da Avvio sicuro UEFI), ora è impossibile per gli autori di malware falsificare le firme digitali in Windows 11.

Dal banale al più importante, come "services.exe" o "svchost.exe", tutti i processi di Windows 11 sono firmati digitalmente con timestamp. Con ogni aggiornamento di Windows riuscito, questa autenticazione viene verificata.

D'altra parte, in Proprietà del processo di Windows 10 potrebbe mancare del tutto la scheda Firme digitali. Inoltre, alcuni processi potrebbero non visualizzare correttamente le informazioni sul copyright.

Tuttavia, anche in Windows 10, i processi di sistema interni mission-critical come Winlogon.exe visualizzano sempre queste informazioni. Puoi verificare l'autenticità del software con altri mezzi. Inoltre, se tu installa driver non firmati in Windows 10 o 11, non mostreranno alcuna firma digitale al successivo riavvio.

Leggi anche:11 processi Windows legittimi che possono sembrare malware

2. Verifica della legittimità di un processo Windows utilizzando CrowdInspect

Sia su Windows 10 che su Windows 11, puoi verificare l'autenticità di un file di processo tramite un'applicazione software esterna: CrowdInspect di CrowdStrike. CrowdInspect è uno strumento di ispezione dei processi in tempo reale e basato su host gratuito che esegue la scansione del malware in background utilizzando motori di rilevamento come VirusTotal.

1. Scarica il file ZIP di CrowdInspect dal link ufficiale e fare clic sul programma decompresso per avviarlo. Non devi installare nulla.
2. Accetta un contratto di licenza e passa alla schermata in cui puoi eseguire un'analisi ibrida di tutti i processi in background sul tuo dispositivo Windows. Usa la chiave API integrata e fai clic su "OK".

1. Attendi fino a quando CrowdInspect non riempie lo schermo con l'intero set di programmi e processi in background sul tuo dispositivo Windows.

È possibile verificare lo stato dei programmi tramite simboli colorati. Qualsiasi oggetto pulito è indicato da un'icona verde. In caso di dubbi, vedrai dei punti interrogativi accanto all'icona. Per quegli elementi con una minaccia di bassa gravità, c'è un'icona gialla. Gli elementi con una minaccia di gravità elevata sono indicati da un'icona rossa. Non vedrai icone gialle o rosse se il tuo dispositivo è sano.

1. Per verificare ulteriormente che non vi siano problemi di malware, fai clic con il pulsante destro del mouse sul processo e fai clic su "Visualizza test HA Risultati”. Non dovresti notare alcun errore, un'indicazione sicura che non hai a che fare con nessuno malware.

Leggi anche:Come pianificare l'arresto e l'avvio di Windows

Elenco dei processi comuni di Windows 11/10 che assomigliano a malware

1. Explorer.exe

Il programma universale Esplora file di Windows, explorer.exe, è facilmente accessibile dalla barra delle applicazioni e dal desktop. Il suo scopo principale è fungere da file manager per tutti i file e le cartelle del tuo dispositivo Windows 11/10. A causa della sua importanza vitale, il programma explorer.exe è uno dei bersagli preferiti degli aggressori.

VirusRilevamento: il malware explorer.exe di solito si presenta come Trojan, ransomware (in particolare e-mail) e file Adobe Flash. Il programma legittimo si trova sempre in "C:\Windows" e i duplicati possono essere visualizzati nell'unità D, nei file di programma, nelle cartelle nascoste o in qualsiasi altra posizione del PC.

Azione: se sul tuo dispositivo sono presenti da due a tre istanze di explorer.exe, non c'è nulla di cui preoccuparsi purché tutte abbiano firme e posizioni digitali valide. Quando ci sono più processi che consumano CPU, identifica quelli fasulli in CrowdInspect, quindi fai clic con il pulsante destro del mouse per "terminare il processo".

2. lsass.exe

lsass.exe sta per Local Security Authority Subsystem Service, che va avanti dietro l'autenticazione dell'utente di Windows. A parte il malware, non dovresti terminare i processi originali, poiché ciò comporterà la perdita dell'accesso al tuo sistema Account amministratore e locale, richiedendo il riavvio del dispositivo.

VirusRilevamento: un modo comune in cui gli autori di malware mascherano lsass è sostituire la "l" minuscola con una "i" in maiuscolo o una "L" maiuscola. Fai attenzione a eventuali errori di ortografia intenzionali. Inoltre, eventuali firme digitali e file non validi che si trovano al di fuori della cartella "C:\Windows\System32" sono un ovvio omaggio.

Azione: termina i falsi processi lsass dal task manager. Se non sei sicuro che sia una "l" o una "i", fai lo stesso da CrowdInspect. Più istanze lsass valide vanno bene e non devono essere manomesse.

3. RuntimeBroker.exe

RuntimeBroker.exe è un processo Microsoft sicuro il cui compito è gestire le autorizzazioni per tutte le app scaricate da Microsoft Store. Verifica l'autenticità di programmi come l'app Foto. Se un'app non appartiene al tuo dispositivo Windows, Runtime Broker ti avvisa consumando molta memoria extra.

Rilevamento di virus: se il tuo dispositivo Windows è stato infettato dal virus RuntimeBroker.exe, vedrai la sua presenza in altre posizioni del PC a parte "C:\Windows\System32". Poiché il programma non è legittimo, le perdite di memoria saliranno alle stelle, appesantindo il tuo PROCESSORE. Noterai anche una firma digitale non valida per le istanze fasulle.

Azione: apre il task manager. Fai clic su più istanze valide di Runtime Broker e fai clic su "Termina attività". Ciò risolverà qualsiasi problema con una determinata app. Per le voci fasulle di RuntimeBroker.exe, terminale da CrowdInspect.

4. Winlogon.exe

Quando si tratta di processi in background di Windows, non c'è niente di più importante nello schema delle cose di winlogon.exe. Non solo governa il processo di accesso, ma carica anche i profili utente, controlla lo screensaver e si connette a più reti. Si trova in "C:\Windows\System32".

Rilevamento di virus: solitamente uno spyware o uno strumento keylogger, winlogon.exe è un malware molto pericoloso che può causare l'arresto anomalo dei sistemi, che è facile da riconoscere. Se hai Windows Defender attivo, ti avviserà di eliminare immediatamente il file e di terminare tutti i vettori utilizzati (e-mail, browser web).

Azione: l'eseguibile winlogon.exe sicuro non avrà più di un'istanza in CrowdInspect. Le altre istanze fasulle dovrebbero essere eliminate all'arrivo utilizzando i suggerimenti di Windows Defender.

5. Svchost.exe

Svchost.exe si riferisce a "host di servizio" di Windows, un processo di servizio condiviso che funge da shell per il caricamento di vari servizi Windows. A seconda del numero di applicazioni aperte, in genere ci sono molte istanze svchost.exe che vengono eseguite come singoli processi.

Rilevamento di virus: ti imbatterai in un episodio di malware svchost.exe quando trovi una cartella protetta o un programma bloccato da a processo duplicato o con varianti di ortografia come "svhosts.exe". Sono per lo più ransomware o frodi bancarie utensili. I loro vettori di origine includono file PDF, file ZIP e JavaScript.

Azione: questi Trojan sono generalmente una minaccia di basso livello, ma dovrebbero essere rimossi al più presto. Gli strumenti antivirus standard e Windows Defender sono in grado di eliminare qualsiasi istanza dell'host del servizio non trovata in "C:\Windows\System32".

Leggi anche:Ultimi problemi di aggiornamento di Windows 10 e come risolverli

6. OfficeClickToRun.exe

Se hai utilizzato gli strumenti di Office, come Word, Excel o PowerPoint, ti sei imbattuto in un eseguibile chiamato OfficeClickToRun.exe. Il suo compito è eseguire le ultime versioni di Microsoft Office sul tuo dispositivo e gestire gli aggiornamenti. Anche quando non è un malware, OfficeClickToRun.exe può richiedere molta memoria sulla tua CPU. Tuttavia, se elimini periodicamente i file temporanei, è molto meno oneroso.

Rilevamento di virus: l'eseguibile è presente in qualsiasi altra posizione oltre a Programmi nella cartella condivisa di Microsoft? Il file aggiuntivo non è salutare per il tuo sistema. Inoltre, il tuo dispositivo Windows dovrebbe avere solo un'istanza di OfficeClickToRun.exe in esecuzione. Controllare le firme digitali per eventuali altri.

Azione: sebbene non siano dannose di per sé, le istanze fasulle di OfficeClickToRun.exe possono intasare la memoria di sistema. Di solito provengono da file e documenti infetti, che dovrebbero essere prontamente eliminati.

7. igfxem.exe

igfxEM.exe è un processo in background poco conosciuto che è fondamentale per la gestione della scheda grafica Intel ed è quindi molto importante per la visualizzazione della scheda video. Viene preinstallato sul tuo dispositivo e dovrebbe essere lasciato da solo, poiché non appesantisce affatto il sistema.

Rilevamento di virus: se hai più di un'istanza di igfxEM (e i suoi errori di ortografia come mostrato), convalida le sue firme digitali. Se mostra Intel e Microsoft, non c'è malware. Altrimenti, non hai un file igfxEM originale e quel processo deve essere rimosso.

Azione: non è necessario intraprendere alcuna azione se si dispone di firme digitali valide, anche con più istanze Intel. Se la tua scheda grafica Intel originale sembra danneggiata, prova a reinstallare il driver da "devmgmt.msc", Gestione dispositivi, nel menu Start.

8. Csrss.exe

Csrss.exe sta per Client Server Runtime Subsystem, un processo utente legittimo inteso a gestire le attività di Windows Graphics, come l'arresto della GUI e i servizi della console di sistema. Viene molto comunemente scambiato per malware. Interromperlo può essere fatale per il tuo sistema, portando a un arresto anomalo sicuro.

Rilevamento di virus: Come altri programmi in "C:\Windows\System32", csrss.exe rimane in background e troverai solo una o due istanze in CrowdInspect. Eventuali file sospetti avranno firme digitali non valide e dettagli sul copyright mancanti.

Azione: csrss.exe viene spesso utilizzato da società di software di sicurezza canaglia e truffatori tecnologici come "prova" che un dispositivo è infetto. Questo non è un vero malware, quindi non dovresti mai interrompere il processo esistente a causa di consigli tecnici sbagliati.

Leggi anche:Come reinstallare DirectX in Windows

9. GoogleCrashHandler.exe

Se hai programmi Google sul tuo dispositivo Windows, incluso Google Chrome, troverai un eseguibile chiamato GoogleCrashHandler.exe, una parte dei pacchetti di Google Updater. Questo non è un componente critico di Windows e può essere rimosso in modo semplice e sicuro, ma non è nemmeno un malware.

Rilevamento di virus: se la firma digitale di Google CrashHandler.exe non è valida, ovvero non è stata firmata da Google, quindi stiamo esaminando un possibile segno di infezione da spyware o rootkit, come il normale processo è salvo.

Azione: rimuovi una o tutte le istanze di GoogleCrashHandler.exe dal tuo task manager di sistema anche se non è sempre un malware. Non vuoi appesantire inutilmente la CPU a meno che tu non voglia inviare rapporti sugli arresti anomali a Google.

10. Spoolsv.exe

Spoolsv.exe è un vero processo Windows, integrato con il servizio Spooler di stampa, converte i caratteri e la grafica nell'hardware della stampante e in qualsiasi stampante virtuale. Questo è un processo di base di Windows che esiste dall'inizio di MS-DOS. L'interruzione di qualsiasi voce di processo spoolsv.exe valida comporterà un errore della macchina e il riavvio del sistema.

Rilevamento di virus: sebbene assomigli ad alcuni malware, spoolsv.exe è un processo Windows legittimo e sicuro. Eventuali processi aggiuntivi mancheranno di firme digitali da parte di Microsoft. Se gli autori di malware usano un nome simile per indirizzare il tuo sistema, Windows Defender dovrebbe avvisarti.

Azione: nessuna azione dovrebbe essere intrapresa se il processo spoolsv.exe è stato convalidato da una firma digitale Microsoft. Altrimenti, vai su Task Manager per terminare il processo.

11. Gestore delle attività

Windows Task Manager (taskmgr.exe) è un programma molto importante che controlla tutti i processi principali di Windows e le applicazioni. La chiusura di questo programma essenziale e dei suoi derivati, come taskhostw.exe, può essere fatale per il tuo sistema e gli autori di malware se ne rendono conto.

Rilevamento di virus: Se ritieni che un programma relativo al task manager non si stia comportando correttamente, controlla il percorso del suo file, che dovrebbe essere in "C:\Windows\System32". Riavvia il dispositivo per vedere se il problema è scomparso. Se l'istanza sospetta del task manager continua, stiamo esaminando un potenziale malware. Un altro segno è la sua firma digitale che non sarebbe valida.

Azione: qualsiasi eseguibile simile a un "task manager" infetto da malware può essere identificato e terminato dal task manager stesso. Se, invece, stai affrontando Errore TaskSchedulerHelper.dll in Windows 10, eseguire le azioni correttive come mostrato.

Riepilogo: segnali di avviso di malware che assomigliano ai processi di Windows

Ecco un breve riepilogo di come gestire eventuali processi sospetti che assomigliano ai processi di sistema standard di Windows. Potresti o meno avere a che fare con malware, ma è importante tenere traccia di questi segnali di pericolo.

• Controllare i dettagli della proprietà dell'applicazione per il copyright corretto: ogni programma in Windows 11 e Windows 10 ha un percorso di file. Da lì puoi accedere ai "Dettagli" nella scheda Proprietà. Assicurati che il copyright appartenga a Windows, TrustedInstaller o ai legittimi proprietari di processi, come Google, Intel, NVIDIA, ecc. In caso contrario, stiamo esaminando una potenziale fonte di malware che dovrebbe essere rimossa dal sistema.
• Controllare l'utilizzo della CPU dei programmi di processo di Windows: è normale che l'utilizzo della CPU di Windows aumenti quando più sistemi funzionano insieme. Tuttavia, molte istanze dello stesso programma che rallentano il sistema sono motivo di preoccupazione. I programmi non necessari dovrebbero essere identificati e chiusi immediatamente.
• Controlla i processi sospetti di Windows per le firme digitali: questo è il modo più importante e più semplice per convalidare l'autenticità di un processo. Se la firma digitale di un processo non è valida e non proviene da fonti attendibili, è probabile che si tratti di malware.
• Controlla la posizione del file dei processi sospetti: la maggior parte dei processi di file di Windows ha una posizione ben definita sul tuo PC. Può essere "C:\Windows\System32", i file di programma o un'altra posizione ben definita. Non dovresti trovare istanze di questo processo in altre aree, come l'unità D, poiché indica la possibilità di malware.

Leggi anche:Come configurare OpenVPN in Windows

Domande frequenti

1. Cosa si dovrebbe fare se un determinato processo di Windows è effettivamente dannoso?

Nessun processo Windows legittimo può danneggiare il tuo sistema. Tuttavia, se sono presenti istanze duplicate di tali processi che contengono malware, vai su CrowdInspect, fai clic con il pulsante destro del mouse processo e fai clic su "Uccidi processo". Se hai attivato Windows Defender, si occuperà di tali istanze di malware. Continua a leggere per scoprire perché Windows Defender è l'unico antivirus di cui hai bisogno.

2. Cosa succede quando si interrompe un processo Windows valido e come si esegue il ripristino da lì?

Se si interrompe accidentalmente un processo Windows valido, le conseguenze dipenderanno dalla criticità del processo per il sistema. Se si tratta di un processo software non critico, non ci sarà alcun impatto su un dispositivo Windows.

Per i processi ad alto impatto come winlogon.exe e csrss.exe, Windows dispone di un meccanismo integrato per impedirne la chiusura accidentale. Tuttavia, se persisti e provi a terminare il sistema da Task Manager, il dispositivo si spegnerà da solo, richiedendo un riavvio. Nel peggiore dei casi, può portare a un blackout completo e danni permanenti a causa di un incidente.

Se si tratta di un processo a basso impatto, parte integrante del funzionamento programmato e della manutenzione di Windows, il sistema segnalerà un errore critico e si spegne automaticamente. Dopo un avvio, il problema sarà risolto.