Проверка процессов Windows на вирусы и угрозы в CrowdInspect


CrowdInspect — утилита для проверки активных процессов на предмет вирусных угроз

К ак показывают многочисленные тесты, далеко не всегда даже самые популярные и эффективные антивирусы успешно справляются с сетевыми угрозами. На зараженных сайтах пользователя может поджидать не одна, а несколько разных угроз, и если одну антивирус блокирует, то вторая может проникнуть в систему. Поэтому неплохо иметь на компьютере дополнительный инструмент, который проверял бы запущенные процессы на предмет угроз.

Одним из таких инструментов является CrowdInspect — маленькая портативная утилита, предназначенная для выявления активных вредоносных процессов. Для идентификации угроз утилита использует разные онлайновые сервисы вроде VirusTotal , WOT , Team Cymru’s Malware Hash Registry и им подобные ресурсы. CrowdInspect имеет простой интерфейс и не нуждается в установке. В процессе работы утилита «отправляет» каждый процесс на проверку, в результате которой последний получает бал репутации.

CrowdInspect

В свою очередь, на основе этого балла процессу присваивается маркер определенного цвета. Зеленым цветом отмечаются безопасные процессы, желтым — подозрительные, а красным — вредоносные. Есть еще серый цвет, им помечаются процессы, которые не были идентифицированы. Работать с CrowdInspect нетрудно. По большому счету внимания заслуживают только четыре первых колонки — Inject, VT, MHR и VOT. Первая отображает общий статус процессе (заражен или нет) , вторая показывает оценку VirusTotal , третья — Malware Hash Registry , а четвертая — уровень доверия для удаленных подключений.

CrowdInspect

Остальные колонки содержат дополнительные сведения — тип подключения, состояние процесса, используемый им локальный и удаленный IP -адрес, а также DNS . Самая первая колонка содержит PID – идентификатор процесса, отображаемый также в Диспетчере задач. При необходимости процесс можно приостановить, завершить принудительно, прервать соединение, просмотреть свойства исполняемого файла, его хэш и результат выявления по версии VirusTotal.

А вот удалять вредоносные элементы программа не умеет, сделать это вы должны будете сами, ею поддерживается только их обнаружение. Важно также понимать, что CrowdInspect не является судом последней инстанции — подобно многим антивирусам утилита может идентифицировать как угрозу процессы взломанных приложений, так что спешить удалять файл, процесс которого помечен как зловредный, сразу не стоит.

CrowdInspect

О программе

CrowdInspect — бесплатный портативный инструмент, который использует VirusTotal, Web of Trust и Team Cymru’s Malware Hash Registry для выявления (но не удаления) вредоносных программ, активных в вашей сети

Что нового
  • CrowdInspect теперь анализирует все процессы, даже те, которые не проявляют сетевой активности. Отключите галочки TCP и UDP, чтобы увидеть процессы, которые не взаимодействуют с сетью.
  • Исправление ошибок, в том числе устранение ошибки парсинга результатов VirtusTotal.
Системные требования

Поддерживаемые операционные системы: Windows XP и выше. Инструмент работает как с 32-разрядной, так и с 64-разрядной версиями Windows.

Полезные ссылки
Подробное описание

CrowdInspect — инструмент безопасности, который использует сервисы VirusTotal, Web of Trust и Team Cymru’s Malware Hash Registry, чтобы выявлять вредоносную активность на вашем компьютере, которая использует подключение к сети.

Установка хорошего антивируса защитит вас от большинства угроз, но при этом нет никаких гарантий 100% защиты. Всегда разумно иметь один или два инструмента «второе мнение», которые могут помочь проверить компьютер, если вы считаете, что ваша система заражена.

Программа бесплатная, портативная, имеет маленький размер и очень проста в использовании. CrowdInspect предоставляет подробный отчет о каждом запущенном процессе в системе.

Новые статьи:  Поиск украденного ноутбука

Скачайте, распакуйте и запустите CrowdInspect и приложение сразу же идентифицирует каждый процесс, использующий подключение к открытой сети. Таблица отображает имя процесса, его идентификатор, тип соединения (TCP / UDP), локальные и удаленные порты, IP -адреса и многое другое.

Основные возможности CrowdInspect

После запуска CrowdInspect в столбцах отображается вердикт по каждому процессу, используя данные анализа VirusTotal (VT) и Malware Hash Registry (MHR). Столбец WOT отмечает любые ненадежные домены, к которым могут иметь доступ процессы, а столбец Inject предупреждает вас, если было обнаружено внедрение кода в текущем процессе (что может быть признаком вредоносных программ).

Если вы хотите узнать больше о том или ином файле, то CrowdInspect может отображать полные результаты проверки VirusTotal и диалоговое окно свойств проводника Windows. И если вы обнаружили проблему, то есть опция «Kill Process», которая позволяет завершить любой выбранный процесс.

Переключатель «Live / History» будет особенно полезен. Вид «Live» показывает только активные процессы, подключенные к сети в данный момент, а вид «History» позволяет просматривать все, что происходило, когда работал CrowdInspect. Это делает инструмент еще более удобным — вы не только можете «охотиться» за вредоносным ПО, но и видеть, какие программы уже использовали вашу сеть в любой заданный период времени.

Есть некоторые заметные минусы программы. В частности, CrowdInspect может только определить вредоносные программы, когда они подключаются по сети. И даже при обнаружении угрозы, приложение не сможет удалить ее: вам нужно будет использовать полноценный антивирусный инструмент, который сможет обработать данную угрозу.

Тем не менее, только зная, что вы, вероятно, заразились, уже можно сделать большой шаг вперед в восстановлении нормальной работы системы, особенно когда у вас также есть имя вредоносного файла. CrowdInspect является дополнительным инструментом безопасности, который при этом компактный, бесплатный, портативный и простой в использовании.

Проверка процессов Windows на вирусы и угрозы в CrowdInspect

Во многих инструкциях, касающихся удаления Adware, Malware и другого нежелательного ПО с компьютера присутствует пункт о необходимости проверить запущенные процессы Windows на наличие среди них подозрительных уже после использования автоматических средств удаления вредоносных программ. Однако, сделать это пользователю без серьезного опыта работы с операционной системой не так уж и просто — список выполняемых программ в диспетчере задач мало о чем может ему рассказать.

Помочь в проверке и анализе запущенных процессов (программ) Windows 10, 8 и Windows 7 и XP может бесплатная утилита CrowdStrike CrowdInspect, предназначенная именно для этой цели, о которой и пойдет речь в данном обзоре. См. также: Как избавиться от рекламы (AdWare) в браузере .

Использование CrowdInspect для анализа запущенных процессов Windows

CrowdInspect не требует установки на компьютер и представляет собой архив .zip с единственным исполняемым файлом crowdinspect.exe, который при запуске может создать еще один файл для 64-разрядных систем Windows. Для работы программы потребуется подключенный Интернет.

При первом запуске вам потребуется принять условия лицензионного соглашения кнопкой Accept, а в следующем окне при необходимости выполнить настройки интеграции с онлайн-сервисом проверки на вирусы VirusTotal (и при необходимости отключить загрузку заранее неизвестных файлов на этот сервис, отметка «Upload unknown files»).

Новые статьи:  Решение проблемы с выключением ПК через кнопку Пуск в Windows 7

После нажатия «Ок» на короткий промежуток времени откроется рекламное окно платного средства защиты CrowdStrike Falcon, а затем — главное окно программы CrowdInspect со списком запущенных в Windows процессах и полезной информацией о них.

Главное окно CrowdInspect

Для начала информация по важным столбцам в CrowdInspect

  • ProcessName — имя процесса. Также можно отобразить полные пути к исполняемым файлам, нажав кнопку «Full Path» в главном меню программы.
  • Inject — проверка на инъекции кода процессом (в некоторых случаях может показать положительный результат для антивирусов). При подозрении на наличие угрозы выдается двойной восклицательный знак и красный значок.
  • VT или HA — результат проверки файла процесса в VirusTotal (процент соответствует проценту антивирусов, которые считают файл опасным). В последней версии отображается колонка HA, а анализ выполняется с помощью онлайн-сервиса Hybrid Analysis (возможно, более эффективного, чем VirusTotal).
  • MHR — результат проверки в Team Cymru Malware Hash Repository (база контрольных сумм известных вредоносных программ). Отображает красную иконку и двойной восклицательный знак при наличии хэша процесса в базе.
  • WOT — при выполнении процессом соединений с сайтами и серверами в Интернете, результат проверки этих серверов в репутационном сервисе Web Of Trust

Оставшиеся столбцы содержат информацию об установленных процессом Интернет-соединениях: тип соединения, состояние, номера портов, локальный IP-адрес, удаленный IP-адрес и представление этого адреса в DNS.

Примечание: вы можете заметить, что одна вкладка браузера отображается как набор из десятка и более процессов в CrowdInspect. Причина этого в том, что отображается отдельная строка для каждого установленного единственным процессом соединения (а обычный сайт, открытый в браузере, заставляет подключаться сразу ко многим серверам в Интернете). Вы можете отключить такой тип отображения, отключив кнопку TCP и UDP в верхней панели меню.

Другие элементы меню и управления:

  • Live /History — переключает режим отображения (в реальном времени или список, в котором отображается время запуска каждого процесса).
  • Pause — поставить сбор информации на паузу.
  • KillProcess — завершить выбранный процесс.
  • CloseTCP — завершить подключение по TCP/IP для процесса.
  • Properties — открыть стандартное окно Windows со свойствами исполняемого файла процесса.
  • VTResults — открыть окно с результатами сканирования в VirusTotal и ссылкой на результат сканирования на сайте.
  • CopyAll — скопировать всю представленную информацию об активных процессах в буфер обмена.
  • Также для каждого процесса по правому клику мышью доступно контекстное меню с основными действиями.

Допускаю, что более опытные пользователи к настоящему моменту подумали: «отличный инструмент», а начинающие не совсем поняли, какой толк от него и как его можно использовать. А потому кратко и максимально просто для начинающих:

  1. Если у вас возникли подозрения что на компьютере происходит что-то плохое, а антивирусом и утилитами, наподобие AdwCleaner компьютер уже был проверен (см. Лучшие средства удаления вредоносных программ ), можно заглянуть в Crowd Inspect и посмотреть, нет ли подозрительных фоновых программ, запущенных в Windows.
  2. Подозрительными стоит считать процессы с красной отметкой с высоким процентом в столбце VT и (или) красной отметкой в столбце MHR. Красные значки в Inject вы навряд ли встретите, но если увидите — тоже обратите внимание. Угрозы в процессах CrowdInspect
  3. Что делать в случае если процесс подозрителен: посмотрите его результаты в VirusTotal, нажав кнопку VT Results, а затем перейдя по ссылке с результатами сканирования файла антивирусами. Можно попробовать выполнить поиск по имени файла в Интернете — распространенные угрозы обычно обсуждаются на форумах и на сайтах поддержки.
  4. Если в результате сделан вывод о том, что файл вредоносный — пробуйте убрать его из автозагрузки , удалить программу , к которой относится этот процесс и использовать другие методы для избавления от угрозы.
Новые статьи:  Скачивание фотографий с облака на компьютер

Примечание: учитывайте, что с точки зрения многих антивирусов разного рода «программы для скачивания» и подобные средства, популярные у нас в стране, могут являться потенциально нежелательным ПО, что будет отображаться в столбцах VT и (или) MHR утилиты Crowd Inspect. Однако это не обязательно означает, что они опасны — тут стоит рассматривать каждый отдельный случай.

CrowdInspect — проверка ПК на активные угрозы

Установка эффективного антивируса обезопасит вас от множества угроз, но не даст никаких гарантий. Разумным решением будет установка дополнительного инструмента для проверки потенциального заражения системы.

CrowdInspect – портативная утилита, которая использует VirusTotal, Web of Trust и реестр хэшей вредоносных программ (Malware Hash Registry) от Team Cymru для проверки активности вредоносного ПО в системе.

CrowdInspect - проверка ПК на активные угрозы

Программа бесплатна, очень компактная (размер загрузочного архива — всего 237 килобайт) и предельно проста в использовании. Просто загрузите, распакуйте и запустите CrowdInspect и утилита мгновенно определит все процессы с открытым сетевым соединением. Таблица показывает имя процессов, номер ID, тип соединений (TCP/UDP), локальные и удаленные порты, IP-адреса и т.д.

Отдельные колонки показывают результаты анализа каждого процесса в VirusTotal (VT) и реестре хэшей вредоносных программ (MHR). Еще два столбца «WOT» и «Inject» показывают потенциально опасные домены, к которым осуществляются подключения и обнаруженную инъекцию кода в процесс (что может служить следом вредоносной программы) соответственно.

Если вам нужно знать больше информации о конкретном файле, тогда CrowdInspect может вывести все подробности анализа на VirusTotal и системное диалоговое окно свойств. И если вы уверены, что процесс представляет опасность, вы можете сразу же завершить его.

Переключатель «Live/History» является очень полезным. Режим «Live» показывает только активные в данный момент времени процессы, в то время как «History» показывает все процессы, которые работали с момента запуска CrowdInspect. Таким образом, пользователь видит, какие процессы использовали сетевое соединение за конкретный промежуток времени.

Решение имеет несколько недостатков. В частности, CrowdInspect может обнаруживать вредоносную программу, только когда она подключается к сети. И даже после обнаружения, Вам нужно будет воспользоваться сторонним антивирусным решением для удаления угрозы.

Тем не менее, обнаружение угрозы является большим шагом вперед, тем более с CrowdInspect Вы будете знать ее точное имя. CrowdInspect — это не полноценное решение, а компактный, бесплатный и легкий в использовании инструмент, который выполняет вспомогательные функции безопасности. Обязательно скачайте утилиту для вашей коллекции программ для защиты.

По материалам интернет-портала SoftwareCrew


Оставьте комментарий