Проверка процессов Windows на вирусы и угрозы в CrowdInspect

CrowdInspect — утилита для проверки активных процессов на предмет вирусных угроз

К ак показывают многочисленные тесты, далеко не всегда даже самые популярные и эффективные антивирусы успешно справляются с сетевыми угрозами. На зараженных сайтах пользователя может поджидать не одна, а несколько разных угроз, и если одну антивирус блокирует, то вторая может проникнуть в систему. Поэтому неплохо иметь на компьютере дополнительный инструмент, который проверял бы запущенные процессы на предмет угроз.

Одним из таких инструментов является CrowdInspect — маленькая портативная утилита, предназначенная для выявления активных вредоносных процессов. Для идентификации угроз утилита использует разные онлайновые сервисы вроде VirusTotal , WOT , Team Cymru’s Malware Hash Registry и им подобные ресурсы. CrowdInspect имеет простой интерфейс и не нуждается в установке. В процессе работы утилита «отправляет» каждый процесс на проверку, в результате которой последний получает бал репутации.

В свою очередь, на основе этого балла процессу присваивается маркер определенного цвета. Зеленым цветом отмечаются безопасные процессы, желтым — подозрительные, а красным — вредоносные. Есть еще серый цвет, им помечаются процессы, которые не были идентифицированы. Работать с CrowdInspect нетрудно. По большому счету внимания заслуживают только четыре первых колонки — Inject, VT, MHR и VOT. Первая отображает общий статус процессе (заражен или нет) , вторая показывает оценку VirusTotal , третья — Malware Hash Registry , а четвертая — уровень доверия для удаленных подключений.

Остальные колонки содержат дополнительные сведения — тип подключения, состояние процесса, используемый им локальный и удаленный IP -адрес, а также DNS . Самая первая колонка содержит PID – идентификатор процесса, отображаемый также в Диспетчере задач. При необходимости процесс можно приостановить, завершить принудительно, прервать соединение, просмотреть свойства исполняемого файла, его хэш и результат выявления по версии VirusTotal.

А вот удалять вредоносные элементы программа не умеет, сделать это вы должны будете сами, ею поддерживается только их обнаружение. Важно также понимать, что CrowdInspect не является судом последней инстанции — подобно многим антивирусам утилита может идентифицировать как угрозу процессы взломанных приложений, так что спешить удалять файл, процесс которого помечен как зловредный, сразу не стоит.

CrowdInspect

О программе

CrowdInspect — бесплатный портативный инструмент, который использует VirusTotal, Web of Trust и Team Cymru’s Malware Hash Registry для выявления (но не удаления) вредоносных программ, активных в вашей сети

Что нового

• CrowdInspect теперь анализирует все процессы, даже те, которые не проявляют сетевой активности. Отключите галочки TCP и UDP, чтобы увидеть процессы, которые не взаимодействуют с сетью.
• Исправление ошибок, в том числе устранение ошибки парсинга результатов VirtusTotal.

Системные требования

Поддерживаемые операционные системы: Windows XP и выше. Инструмент работает как с 32-разрядной, так и с 64-разрядной версиями Windows.

Полезные ссылки

Подробное описание

CrowdInspect — инструмент безопасности, который использует сервисы VirusTotal, Web of Trust и Team Cymru’s Malware Hash Registry, чтобы выявлять вредоносную активность на вашем компьютере, которая использует подключение к сети.

Установка хорошего антивируса защитит вас от большинства угроз, но при этом нет никаких гарантий 100% защиты. Всегда разумно иметь один или два инструмента «второе мнение», которые могут помочь проверить компьютер, если вы считаете, что ваша система заражена.

Программа бесплатная, портативная, имеет маленький размер и очень проста в использовании. CrowdInspect предоставляет подробный отчет о каждом запущенном процессе в системе.

Скачайте, распакуйте и запустите CrowdInspect и приложение сразу же идентифицирует каждый процесс, использующий подключение к открытой сети. Таблица отображает имя процесса, его идентификатор, тип соединения (TCP / UDP), локальные и удаленные порты, IP -адреса и многое другое.

Основные возможности CrowdInspect

После запуска CrowdInspect в столбцах отображается вердикт по каждому процессу, используя данные анализа VirusTotal (VT) и Malware Hash Registry (MHR). Столбец WOT отмечает любые ненадежные домены, к которым могут иметь доступ процессы, а столбец Inject предупреждает вас, если было обнаружено внедрение кода в текущем процессе (что может быть признаком вредоносных программ).

Если вы хотите узнать больше о том или ином файле, то CrowdInspect может отображать полные результаты проверки VirusTotal и диалоговое окно свойств проводника Windows. И если вы обнаружили проблему, то есть опция «Kill Process», которая позволяет завершить любой выбранный процесс.

Переключатель «Live / History» будет особенно полезен. Вид «Live» показывает только активные процессы, подключенные к сети в данный момент, а вид «History» позволяет просматривать все, что происходило, когда работал CrowdInspect. Это делает инструмент еще более удобным — вы не только можете «охотиться» за вредоносным ПО, но и видеть, какие программы уже использовали вашу сеть в любой заданный период времени.

Есть некоторые заметные минусы программы. В частности, CrowdInspect может только определить вредоносные программы, когда они подключаются по сети. И даже при обнаружении угрозы, приложение не сможет удалить ее: вам нужно будет использовать полноценный антивирусный инструмент, который сможет обработать данную угрозу.

Тем не менее, только зная, что вы, вероятно, заразились, уже можно сделать большой шаг вперед в восстановлении нормальной работы системы, особенно когда у вас также есть имя вредоносного файла. CrowdInspect является дополнительным инструментом безопасности, который при этом компактный, бесплатный, портативный и простой в использовании.

Проверка процессов Windows на вирусы и угрозы в CrowdInspect

Во многих инструкциях, касающихся удаления Adware, Malware и другого нежелательного ПО с компьютера присутствует пункт о необходимости проверить запущенные процессы Windows на наличие среди них подозрительных уже после использования автоматических средств удаления вредоносных программ. Однако, сделать это пользователю без серьезного опыта работы с операционной системой не так уж и просто — список выполняемых программ в диспетчере задач мало о чем может ему рассказать.

Помочь в проверке и анализе запущенных процессов (программ) Windows 10, 8 и Windows 7 и XP может бесплатная утилита CrowdStrike CrowdInspect, предназначенная именно для этой цели, о которой и пойдет речь в данном обзоре. См. также: Как избавиться от рекламы (AdWare) в браузере .

Использование CrowdInspect для анализа запущенных процессов Windows

CrowdInspect не требует установки на компьютер и представляет собой архив .zip с единственным исполняемым файлом crowdinspect.exe, который при запуске может создать еще один файл для 64-разрядных систем Windows. Для работы программы потребуется подключенный Интернет.

При первом запуске вам потребуется принять условия лицензионного соглашения кнопкой Accept, а в следующем окне при необходимости выполнить настройки интеграции с онлайн-сервисом проверки на вирусы VirusTotal (и при необходимости отключить загрузку заранее неизвестных файлов на этот сервис, отметка «Upload unknown files»).

После нажатия «Ок» на короткий промежуток времени откроется рекламное окно платного средства защиты CrowdStrike Falcon, а затем — главное окно программы CrowdInspect со списком запущенных в Windows процессах и полезной информацией о них.

Для начала информация по важным столбцам в CrowdInspect

• ProcessName — имя процесса. Также можно отобразить полные пути к исполняемым файлам, нажав кнопку «Full Path» в главном меню программы.
• Inject — проверка на инъекции кода процессом (в некоторых случаях может показать положительный результат для антивирусов). При подозрении на наличие угрозы выдается двойной восклицательный знак и красный значок.
• VT или HA — результат проверки файла процесса в VirusTotal (процент соответствует проценту антивирусов, которые считают файл опасным). В последней версии отображается колонка HA, а анализ выполняется с помощью онлайн-сервиса Hybrid Analysis (возможно, более эффективного, чем VirusTotal).
• MHR — результат проверки в Team Cymru Malware Hash Repository (база контрольных сумм известных вредоносных программ). Отображает красную иконку и двойной восклицательный знак при наличии хэша процесса в базе.
• WOT — при выполнении процессом соединений с сайтами и серверами в Интернете, результат проверки этих серверов в репутационном сервисе Web Of Trust

Оставшиеся столбцы содержат информацию об установленных процессом Интернет-соединениях: тип соединения, состояние, номера портов, локальный IP-адрес, удаленный IP-адрес и представление этого адреса в DNS.

Примечание: вы можете заметить, что одна вкладка браузера отображается как набор из десятка и более процессов в CrowdInspect. Причина этого в том, что отображается отдельная строка для каждого установленного единственным процессом соединения (а обычный сайт, открытый в браузере, заставляет подключаться сразу ко многим серверам в Интернете). Вы можете отключить такой тип отображения, отключив кнопку TCP и UDP в верхней панели меню.

Другие элементы меню и управления:

• Live /History — переключает режим отображения (в реальном времени или список, в котором отображается время запуска каждого процесса).
• Pause — поставить сбор информации на паузу.
• KillProcess — завершить выбранный процесс.
• CloseTCP — завершить подключение по TCP/IP для процесса.
• Properties — открыть стандартное окно Windows со свойствами исполняемого файла процесса.
• VTResults — открыть окно с результатами сканирования в VirusTotal и ссылкой на результат сканирования на сайте.
• CopyAll — скопировать всю представленную информацию об активных процессах в буфер обмена.
• Также для каждого процесса по правому клику мышью доступно контекстное меню с основными действиями.

Допускаю, что более опытные пользователи к настоящему моменту подумали: «отличный инструмент», а начинающие не совсем поняли, какой толк от него и как его можно использовать. А потому кратко и максимально просто для начинающих:

1. Если у вас возникли подозрения что на компьютере происходит что-то плохое, а антивирусом и утилитами, наподобие AdwCleaner компьютер уже был проверен (см. Лучшие средства удаления вредоносных программ ), можно заглянуть в Crowd Inspect и посмотреть, нет ли подозрительных фоновых программ, запущенных в Windows.
2. Подозрительными стоит считать процессы с красной отметкой с высоким процентом в столбце VT и (или) красной отметкой в столбце MHR. Красные значки в Inject вы навряд ли встретите, но если увидите — тоже обратите внимание.
3. Что делать в случае если процесс подозрителен: посмотрите его результаты в VirusTotal, нажав кнопку VT Results, а затем перейдя по ссылке с результатами сканирования файла антивирусами. Можно попробовать выполнить поиск по имени файла в Интернете — распространенные угрозы обычно обсуждаются на форумах и на сайтах поддержки.
4. Если в результате сделан вывод о том, что файл вредоносный — пробуйте убрать его из автозагрузки , удалить программу , к которой относится этот процесс и использовать другие методы для избавления от угрозы.

Примечание: учитывайте, что с точки зрения многих антивирусов разного рода «программы для скачивания» и подобные средства, популярные у нас в стране, могут являться потенциально нежелательным ПО, что будет отображаться в столбцах VT и (или) MHR утилиты Crowd Inspect. Однако это не обязательно означает, что они опасны — тут стоит рассматривать каждый отдельный случай.

CrowdInspect — проверка ПК на активные угрозы

Установка эффективного антивируса обезопасит вас от множества угроз, но не даст никаких гарантий. Разумным решением будет установка дополнительного инструмента для проверки потенциального заражения системы.

CrowdInspect – портативная утилита, которая использует VirusTotal, Web of Trust и реестр хэшей вредоносных программ (Malware Hash Registry) от Team Cymru для проверки активности вредоносного ПО в системе.

Программа бесплатна, очень компактная (размер загрузочного архива — всего 237 килобайт) и предельно проста в использовании. Просто загрузите, распакуйте и запустите CrowdInspect и утилита мгновенно определит все процессы с открытым сетевым соединением. Таблица показывает имя процессов, номер ID, тип соединений (TCP/UDP), локальные и удаленные порты, IP-адреса и т.д.

Отдельные колонки показывают результаты анализа каждого процесса в VirusTotal (VT) и реестре хэшей вредоносных программ (MHR). Еще два столбца «WOT» и «Inject» показывают потенциально опасные домены, к которым осуществляются подключения и обнаруженную инъекцию кода в процесс (что может служить следом вредоносной программы) соответственно.

Если вам нужно знать больше информации о конкретном файле, тогда CrowdInspect может вывести все подробности анализа на VirusTotal и системное диалоговое окно свойств. И если вы уверены, что процесс представляет опасность, вы можете сразу же завершить его.

Переключатель «Live/History» является очень полезным. Режим «Live» показывает только активные в данный момент времени процессы, в то время как «History» показывает все процессы, которые работали с момента запуска CrowdInspect. Таким образом, пользователь видит, какие процессы использовали сетевое соединение за конкретный промежуток времени.

Решение имеет несколько недостатков. В частности, CrowdInspect может обнаруживать вредоносную программу, только когда она подключается к сети. И даже после обнаружения, Вам нужно будет воспользоваться сторонним антивирусным решением для удаления угрозы.

Тем не менее, обнаружение угрозы является большим шагом вперед, тем более с CrowdInspect Вы будете знать ее точное имя. CrowdInspect — это не полноценное решение, а компактный, бесплатный и легкий в использовании инструмент, который выполняет вспомогательные функции безопасности. Обязательно скачайте утилиту для вашей коллекции программ для защиты.

По материалам интернет-портала SoftwareCrew