Søg

Sådan afslører du mistænkelige processer

Find ud af, om systemprocesser er ondsindede eller nyttige. Hvad er det helt nøjagtigt, der foregår under kølerhjelmen i din Windows 7-installation?.

15. august 2012 kl. 08.30
Artikel top billede

(Foto: Computerworld)

Af Torben Okholm, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Windows 7 er et stort operativsystem med en effektiv arkitektur, men dets indre verden af processer og tjenester kan være et forvirrende område, hvis man ikke er vant til det. Hvis man ikke ved, hvad man ser på, kan malware nemt forklæde sig som legitime processer, og legitime processer kan virke så skræmmende, at man dræber dem, smadrer systemet og mister data.

Hertil kommer problemet med anti-malwarebeskyttelse eller Windows, der leverer advarsler om processer, som kræver ens tilladelse til at bruge ressourcer. Bliver maskinen inficeret, hvis man accepterer anmodningen, eller går det endnu værre?

Et hierarki af processer

Når man vil finde ud af, om en proces er godartet eller ondsindet, er det godt at forstå noget af den struktur, der ligger bag en kørende installation af Windows 7. Efter at man har startet pc’en, og den gennemgår sine egne test, indlæser bios master boot-record’en fra harddisken og kører den. Den indlæser og kører så Windows 7’s kerne-image, der begynder at udpakke de andre processer, der skal være med til at oprette alle de processer, der udgør et operativsystem.

Alle moderne operativsystemer har et hierarki af processer. I Windows 7 er der som regel tre eller fire processer på topniveau. En af disse processer hedder wininit, og dens umiddelbare efterkommer (den proces, som den personligt sætter i gang) hedder services.exe. Som man kan forvente, er det denne proces’ opgave at igangsætte underprocesser, der kører som uafhængige tjenester i baggrunden.

Der indtræder imidlertid ofte en vis forvirring i brugerens bevidsthed i forbindelse med denne tilsyneladende enkle opgave. Forvirringen skyldes, at ’services.exe’ starter flere udgaver af en proces, der hedder ’svchost.exe’. Søg efter begrebet, og du vil finde mange forum-tekster fra bekymrede brugere, der spørger, om deres pc er blevet overtaget af malware, og som beder om hjælp til at aflive alle disse processer. Det er imidlertid normalt at have mange udgaver kørende parallelt, og hvis man slukker dem, kan det beskadige det kørende operativsystem. Hvis det sker, skal man genstarte, og det kan føre til tab af data eller sågar beskadigelse af harddisken.

Når der er så mange forekomster af svchost.exe, skyldes det, at de starter processer, der kører fra dll’er, ikke fra exe-filer. Disse processer bliver af hensyn til effektivitet, hastighed og systemets alsidighed fordelt på de mange forekomster af svchost.exe.

Service.exe starter også mange andre tjenesteprocesser, der kører direkte fra exe-filer. Det drejer sig om tjenestedelen af ens anti-malwareprodukter, opdateringer til tredjepartsprodukter og Windows 7 og om tjenes-ter til strømstyring og Tilmeldingsassistent til Windows Live.

En anden proces, der forårsager forvirring og frygt hos mange brugere, er det uskyldige Search Indexer.exe. Når harddisklampen lyser i længere tid, er det normalt at bekymre sig om, hvad der foregår, men det skyldes som regel denne godartede og nyttige del af Windows 7. Den indekserer simpelthen alle ens filer til brug i Windows Search. Dens indeks bliver brugt, når man skriver et filnavn i Startmenuens søgeboks, og når man søger efter filer i Stifinder. Den bliver også brugt af Windows 7’s Biblioteker-funktion.

En anden vigtig topniveauproces er explorer.exe. Denne proces kører Windows 7’s desktop og er moderprocessen for alle ens kørende applikationer, herunder dem, der ligger i proceslinjen, klar til brug.

Få en bedre visning

Traditionelt får man processer, tjenester og ap- plikationer vist ved hjælp af Jobliste. I Windows 7 åbner man den ved at trykke [Ctrl]+[Alt]+ [Del], hvorefter man vælger den i menuen. Jobliste sorterer komplette applikationer, underliggende systemprocesser og tjenester på tre faner, men den viser ikke det hele. Hvor er alle disse svchost.exe-processer? Jobliste skjuler meget for en, og når man undersøger systemaktiviteten, bør man undgå denne begrænsede visning af det, der foregår.

En bedre løsning består i at downloade og køre vores gamle ven Process Explorer, som man kan få af Windows Sysinternals-forfatteren Mark Russinovich. Process Explorer kræver ingen installation. Du udpakker blot arkivet og trækker filerne ind i en passende mappe. Når du skal køre programmet, højreklikker du på dets ikon og vælger ’Kør som administrator’. Når du starter på denne måde, får Process Explorer større adgang til vigtige oplysninger. Klik ’Yes’ på det ’User account control’-vindue, der dukker op.

Hvis du kører på en 64bit-cpu, vil du bemærke, at der pludselig viser sig endnu en eksekverbar fil i den mappe, der indeholder Process Explorer. Den hedder procexp64 og er en wrapper, som den oprindelige 32bit-fil opretter med henblik på kørsel på en 64bit-maskine. Det er en midlertidig fil, og den bør forsvinde, når du lukker det kørende program. Du kan dog være nødt til at trykke [F5] for at opfriske mappevisningen, så du kan se, at den er væk.

Process Explorer virker ens i 32bit- og 64bit-miljøer. Den giver langt flere detaljer end Jobliste, og den kan håndtere opgaverne lige så godt som Windows 7’s bud. Du begynder med at klikke i søjlen ’Process’, indtil visningen bliver ændret til et indrykket hierarki. Det gør det nemt at se, hvilke processer der er ophav til andre processer. Wininit er for eksempel ophav til en lang række processer, herunder de mange forekomster af svchost.exe.

Nu har vi et bedre overblik over det kørende operativsystem, og vi kan begynde at lede efter ondsindede processer, der foregiver at være legitime. Med alle disse svchost-processer i gang er det relativt nemt for malware at kalde sig selv noget, der ligner svchost for den utrænede iagttager. Den kan for eksempel kalde sig svch0st.exe (med et nul), svhost.exe (uden c’et) eller en anden kombination af bogstaver og tal, der snedigt efterligner det originale filnavn. De er alle ondsindede bedragere. Det er nemmere at afsløre disse filer, hvis du klikker i overskriften i søjlen ’Process’, indtil der kommer en alfabetisk liste.

Hvis du vil have flere oplysninger om en proces, skal du dobbeltklikke på den. Du kan bekræfte, at der ikke er blevet fusket med processen, eller at den ikke er inficeret med malware, ved at vælge ’Image’. Ved siden af processens ikon står ordene ’Not verified’. Hvis du klikker på ’Verify’-knappen, verificerer du dette image over for en gemt signatur. Process Explorer bruger den kørende proces til at generere sin egen signatur og sammenligner de to. Hvis de stemmer, ændrer programmet teksten, så der står ’Verified’. Når du verificerer images, skal du især holde øje med processer, der ikke er nævnt i kolonnen ’Company name’, dem med tomme eller meningsløse beskrivelser og dem, hvis navne er et rodsammen af bogstaver.

Hvis verifikation af en tilsyneladende legitim proces afføder meddelelsen ’Unable to verify’, skal du ikke lade sig gribe af panik. Sandsynligvis er producenten ikke en verificeret image-undeskriver. Visse former for meget gammel software, for eksempel Microsoft Office 2000, har ingen signatur at verificere imod, og det fører til meddelelsen ’Unable to verify’. I disse tilfælde har Process Explorer en fiks funktion, der tjekker en kørende proces’ validitet på baggrund af den generelle viden blandt brugere af Windows 7.

Højreklik på en mistænkelig proces, og vælg ’Search online’. Nu bliver din browser åbnet, og Process Explorer gennemfører en onlinesøgning. En særlig god kilde til viden om alle processer er www.processlibrary.com.Hvis dette site ikke er med i søgeresultaterne, kan du med Google Search føje strengen site:www.processlibrary.com til slutningen af søgningen for at få resultater fra dette site.

En anden god metode til at verificere, at en proces er malware, består i at undersøge den sti, der fører til dens eksekverbare fil. Ved at dobbeltklikke på en mistænkelig proces og klikke på ’Image’ kan du se den fulde sti til den eksekverbare fil, mulighederne for at starte processen og den arbejdende mappe, den bruger. Systemmapper i Windows 7 er alle godt beskyttet som standard, og eventuel malware skal derfor bruge en midlertidig mappe uden for systemområdet. Enhver proces, der ikke er en applikation, du har startet (eller en tjeneste i forbindelse med en applikation, du har startet), og som viser en sti eller en arbejdende mappe uden for c:Windows-mappetræet, bør betragtes som potentiel malware, navnlig hvis den bruger Temp-mappen.

Udspioner spyware

Når du vil afgøre, om en proces er ondsindet, er det en god ide at finde ud af, hvad den er forbundet med. Hvis en botnet-klient for eksempel har inficeret din computer, skal den regelmæssigt ringe hjem for at modtage ordrer.

I Process Explorer skal man dobbeltklikke på den mistænkelige proces og derefter kikke på ’TCP/IP’. Når du vil konvertere de opregnede ip-adresser til dns-navne, skal du sikre dig, at boksen ’Resolve Adresses’ er valgt til. Noter alle ukendte sites, og søg efter dem online.

Mange af de processer, man undersøger på denne måde, lytter til den lokale maskine. Det kan man se, idet den lokale eller fjerne adresse ikke er et eksternt dns-navn, men i stedet pc’ens navn, et kolon og derefter portnummeret. Mange processer bruger porte til at kommunikere lokalt. Det er der ikke noget galt i.

Sommetider kan normale processer gå amok og pludselig overtage næsten 100 procent af cpu-tiden. Hvis du har en dual core-processor eller nyere, kan du stadig få adgang til systemet og stoppe processen med Process Explorer. Det er en god ide at holde Process Explorer åben i baggrunden i nogle dage for derved at få en fornemmelse for, hvad der er normalt for ens pc på baggrund af typisk brug. Du kan se din anti-malware opdatere sig selv, afsløre, hvad der bruger mest cpu-tid, se de applikationer, der sluger mest hukommelse og meget mere.

Du kan også føje kolonner til skærmbilledet ved at højreklikke på en kolonneoverskrift og vælge ’Select columns’. Rækken af kolonner dækker hukommelse, disk- og netværksbrug, tråde, dll’er og endda .net-komponenter.

Rootkits er malware, der giver indtrængende og ondsindet materiale vedvarende adgang til en computer. Det, der gør dem virkelig farlige, er, at de er gode til at gemme sig for anti-malware-software, der ikke er forberedt på rootkits. De opfanger som regel systemkald til funktioner, der returnerer lister over kørende processer, og redigerer sig selv uden for disse data.

Heldigvis findes der adskillige gratis produkter, der kan scanne pc’en for rootkits. Et af dem er GMER, som du kan downloade fra www.gmer.net. Brug knappen ’Download EXE’ til at downloade GMER. Det genererer et vilkårligt filnavn. – Meningen er, at ethvert aktivt rootkit, der leder efter GMER, bør ignorere en vilkårligt navngivet exe.

Efter download dobbeltklikker du på filnavnet og giver det tilladelse til at køre. Scanningen er færdig i løbet af nogle minutter, og standardvinduet bør være tomt, hvis scanningen ikke afslører nogen rootkits. Hvis den opdager et, beskriver den infektionens væsen.

Øverst i brugerfladen er der en fane med ’>>>’. Klik her for at få vist flere faner, der dækker scanningens aktiviteter for at afsløre ondsindede processer, tjenester, filer, registreringsdatabasetekster og så videre. Hvis der bliver afdækket noget upassende, bliver den ondsindede aktivitet markeret med rødt, og GMER vil prøve at fjerne infektionen.

Kan du være stensikker på, at din computer ikke rummer malware? En metode består i at opbygge hardwaren fra grunden, indlæse softwaren fra legitime dvd’er og aldrig gå på internettet, men det begrænser maskinens anvendelighed betydeligt.

Problemet er, at malware til stadig flytter grænserne. Hvis man er online, kan man ikke vide, om en infektion, der er krøbet ind, før man indførte malwarebeskyttelse, undergraver systemkald, således at ens beskyttelse er uvidende om infektionen.

En fremgangsmåde består i at bygge endnu en computer og kun indlæse operativsystemet og anti-malwaresoftware. Fjern derefter den disk, du vil scanne, fra den suspekte computer, og tilføj den som endnu en disk på den anden pc. Scan den, og verificer, at den er virusfri. Du kan også vælge at oprette en virtuel pc med VirtualBox og installere antivirussoftware på den. Den virtuelle pc er midlertidig og ren. Formålet er at give den adgang til computerens fysiske harddisk og lade den scanne efter malware.

Process Explorer har nogle fikse funktioner til procesmanipulation gemt væk i kontekstmenuerne.

Hvis du er så heldig, at du har en computer med mere end en cpu, eller med en cpu med flere kerner, kan du lade en proces få forrang frem for andre. Det kan sommetider forbedre effektiviteten.

Som standard har processer lov til at køre på enhver tilgængelig processor eller kerne. Det kan du tjekke ved at dobbeltklikke på en proces og vælge ’Set affinity’. Det heraf følgende undervindue opregner 64 cpu’er, nummereret fra nul (Process Explorer skelner ikke mellem kerne og fysisk mikroprocessor). De fleste af dem er grå, men de andre er markeret i deres afkrydsningsbokse. Når du fravælger en, betyder det, at de eksekveringstråde, der bliver kørt af processen, ikke kører på den cpu.

Process Explorer kan også indstille en proces’ prioritet. Applikationer, der kræver masser af cpu-tid, kan nyde godt af en højere prioritet, mens applikationer, der bruger for megen cpu-tid, kan tæmmes med en lavere prioritet. Det er navnlig nyttigt på enkeltprocessorer, single-kerne-pc’er.

Nogle former for malware kan opsnappe systemkald og bruge den evne til at skjule sig selv ved at lukke Windows 7’s Jobliste, så snart den bliver åbnet. Det er et primitivt forsøg på at forhindre brugeren i at afsløre og stoppe malwarens processer. Hvis du prøver at køre Jobliste, og det sker, er tiden inde til at køre en komplet antivirusscanning på computeren.

Tag det med ro

Selvom du er sikker på, at du har med en malwareinfektion at gøre, skal du ikke blot slette eller omdøbe systemfiler i håbet om, at det gør situationen bedre. Sandsynligheden taler for, at du gør tingene meget værre, og du risikerer, at Windows ikke kan boote. Lad altid et velrenommeret anti-malwareprodukt rense dit system i stedet for at prøve at gøre det selv. Hvis det ikke opdager noget, selvom du er sikker på, at pc’en er inficeret, kan du prøve at installere et gratis alternativ for at få en frisk undersøgelse.

Systemet er passivt

Din computers cpu udfører instruktioner med imponerende hastighed, men hvad nu, hvis den ikke har noget at lave? Ledig systemproces overtager cpu’en, når der ikke er nogen processer, der har brug for den. På grund af strukturen i moderne operativsystemer er der brug for ledig systemproces til at holde cpu’en beskæftiget ved at udføre instruktioner, der bringer den i en tilstand med lavt strømforbrug, indtil en anden proces har brug for den.

Du kan få Process Explorer fra http://www.snapfiles.com/get/processexplorer.html.

Download den gratis rootkit-detektor og systemrenser GMER fra www.gmer.net.

Process Library er et gratis website, der opregner stort set alle de processer, man kan forvente at finde på en kørende Windows-pc: www.processlibrary.com.

Sitet Windows Sysinternals er en guldmine af nyttige systemfunktioner, der kan undersøge en Windows-computer.

En nyttig Technet-side, der afmystificerer brugen af virtuel hukommelse i Windows, så man bedre kan forstå Process Explorers hukommelsesstatistik: http://support.microsoft.com/kb/2267427.

[themepacific_accordion]
[themepacific_accordion_section title="Fakta"]

Det skal du bruge

[/themepacific_accordion_section]
[/themepacific_accordion]

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Styrelsen for Danmarks Fængsler

    Løsningsarkitekt søges til fortsat digitalisering af Danmarks Fængsler

    Københavnsområdet

    Impact Fund Denmark

    Senior solution architect – define the architecture for our digital future

    Københavnsområdet

    Unik System Design A/S

    Agile QA Lead

    Sydjylland

    Softværket

    Erfaren DevOps søges til Service & Operations

    Sydjylland

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Digital transformation | Aarhus C

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Cyber Briefing: Fra databeskyttelse til dataindsigt

    Sikkerhed | Online

    Cyber Briefing: Fra databeskyttelse til dataindsigt

    Få kort og fokuseret overblik over, hvordan du optimerer resiliens og gendannelse af kritiske informationer samt sikrer forretningens funktion, når cyberangrebet rammer.

    Copilot i praksis: Sådan får du mest ud af AI

    Digital transformation | Online

    Copilot i praksis: Sådan får du mest ud af AI

    Få inspiration til at implementere, anvende og udnytte Copilot optimalt og forsvarligt.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Sebastian Rübner-Petersen, 32 år, Juniorkonsulent hos Gammelbys, er pr. 1. september 2025 forfremmet til Kommunikationskonsulent. Han skal fremover især beskæftige sig med Projektledelse, kommunikationsstrategier og implementering af AI. Forfremmelse

    Sebastian Rübner-Petersen

    Gammelbys

    Norriq Danmark A/S har pr. 8. december 2025 ansat Niko Phonekeo som Digital Marketing Manager. Han skal især beskæftige sig med Primært NORRIQs marketing tech stack, digitale kampagneudvikling SEO og lead management. Han kommer fra en stilling som Nordic Marketing Director. Nyt job

    Niko Phonekeo

    Norriq Danmark A/S

    VisionBird har pr. 1. november 2025 ansat Kelly Lyng Ludvigsen, 38 år, som Seniorrådgiver. Hun skal især beskæftige sig med Rådgivning og undervisning i Contract Management. Hun kommer fra en stilling som Contract Manager hos Novo Nordisk. Hun er uddannet Cand. jur. og BS fra CBS. Hun har tidligere beskæftiget sig med Contract Management i flere roller i både det private, offentlige og som konsulent. Nyt job

    Kelly Lyng Luvigsen

    VisionBird

    Industriens Pension har pr. 3. november 2025 ansat Morten Plannthin Lund, 55 år, som it-driftschef. Han skal især beskæftige sig med it-drift, it-support og samarbejde med outsourcingleverandører. Han kommer fra en stilling som Head of Nordic Operations Center hos Nexi Group. Han er uddannet HD, Business Management på Copenhagen Business School. Han har tidligere beskæftiget sig med kritisk it-infrastruktur og strategiske it-projekter. Nyt job

    Morten Plannthin Lund

    Industriens Pension

    Se mere fra navnenyt

    Mest læste

    1 Nørgaard: Derfor nærmer enden sig for Trump
    2 Microsoft bekræfter: Vil udlevere brugernes krypterede data til FBI
    3 Test: Dette smarte overvågningskamera kan både panorere og tilte og zoome - men et par ting er ikke særligt gennemtænkte
    4 Disse 10 it-selskaber betaler mest i selskabsskat i Danmark: Se om din arbejdsgiver er med på listen
    5 Salget er godkendt: Norlys-ejede Sinal køber 135.000 fiberkunder
    6 65-årig it-profil har sendt 200 ansøgninger forgæves: "Jeg har mere at tilbyde end en yngre kandidat"
    7 Om få dage mister flere millioner adgangen til Pornhub
    8 To CIO’er: Derfor prioriterer vi at ansætte modne it-professionelle

    Se seneste uge