マルウェアのように見える可能性のある11の正当なWindowsプロセス

Windowsプロセスは、PCまたはラップトップを適切に実行する上で重要な役割を果たします。 csrss.exeやwinlogon.exeなどの一部は非常に重要であるため、誤って終了することにした場合、デバイスがクラッシュする可能性があります。マルウェアの作成者は、このような重要性を利用して、正常なWindowsシステムに感染します。ウイルス、アドウェア、スパイウェア、およびトロイの木馬は、標準のWindowsシステムプロセスにちなんで名付けられていても、何にでもラベルを付けることができるという前提があります。

以下は、名前の由来となったマルウェアと混同されることが多い、いくつかの主要なWindows11および10プロセスです。偽物がシステムに表示された場合にそれを見つける方法を学びます。

Windowsプロセスが正当であるかどうかを確認する方法

Windowsプロセスが正当であるかマルウェアソースであるかを確認する方法は2つあります。アプリケーションのプロパティを使用する方法と、CrowdStrikeによるCrowdInspectなどの外部ツールを使用する方法です。

1。プロパティによるWindowsプロセスの正当性の検証

承認されたすべてのWindowsプロセスファイルは、Microsoft Corporation、公式のプログラム/アプリ開発者、またはWindowsAppsなどのフォルダーを管理するTrustedInstaller.exeなどの組み込みのMicrosoftアカウントに接続されます。

Windows 11または10のプロセスが正当であり、マルウェアのソースではないかどうかを判断するには、アプリケーションのプロパティで内部を調べる必要があります。 [詳細]タブに移動して、プロセスの正式な著作権所有者を見つけます。 Microsoft、アプリ開発者、またはTrustedInstallerの場合は、問題ありません。

また、Windows 11/10では、プロセスのプロパティの[デジタル署名]タブを確認できます。ここには、最新のタイムスタンプが付いた公式のデジタル署名があり、保証の追加レイヤーが提供されます。

これらのプロセスのドライバーに署名するには、標準のMicrosoftアクセス許可が必要であるため（さらに、デバイスルートへの不正アクセスはUEFIセキュアブートによって防止されます）、マルウェアの作成者がWindows11でデジタル署名を偽造することはできなくなりました。

ありふれたものから「services.exe」や「svchost.exe」などの非常に重要なものまで、すべてのWindows11プロセスはタイムスタンプでデジタル署名されています。 Windows Updateが成功するたびに、この認証が再確認されます。

一方、Windows 10のプロセスプロパティでは、[デジタル署名]タブが完全に欠落している可能性があります。また、一部のプロセスでは著作権情報が正しく表示されない場合があります。

ただし、Windows 10でも、Winlogon.exeなどのミッションクリティカルな内部システムプロセスは常にこの情報を表示します。他の方法でソフトウェアの信頼性を確認できます。さらに、署名されていないドライバーをWindows 10または11にインストールすると、その後の再起動時にデジタル署名が表示されなくなります。

2。 CrowdInspectを使用したWindowsプロセスの正当性の検証

Windows10とWindows11の両方で、外部ソフトウェアアプリケーション（CrowdStrikeによるCrowdInspect）を介してプロセスファイルの信頼性を検証できます。 CrowdInspectは、VirusTotalなどの検出エンジンを使用してバックグラウンドマルウェアをスキャンする、無料のホストベースのリアルタイムプロセス検査ツールです。

1. 公式リンクからCrowdInspectZIPファイルをダウンロードし、解凍したプログラムをクリックして起動します。何もインストールする必要はありません。
2. 使用許諾契約に同意し、Windowsデバイス上のすべてのバックグラウンドプロセスのハイブリッド分析を実行できる画面に進みます。組み込みのAPIキーを使用して、[OK]をクリックします。

3. CrowdInspectがWindowsデバイス上のバックグラウンドプログラムとプロセスのセット全体を画面に表示するまで待ちます。

プログラムの状態は、色の記号で確認できます。きれいなアイテムはすべて緑色のアイコンで示されます。疑問がある場合は、アイコンの横に疑問符が表示されます。重大度の脅威が低いアイテムには、黄色のアイコンがあります。重大度の高い脅威のあるアイテムは、赤いアイコンで示されます。デバイスが正常であれば、黄色や赤のアイコンは表示されません。

4. マルウェアの懸念がないことをさらに確認するには、プロセスを右クリックして[HAテスト結果の表示]をクリックします。エラーに気付かないはずです。これは、マルウェアを扱っていないことを示す安全な兆候です。

マルウェアに似た一般的なWindows11/10プロセスのリスト

1。 Explorer.exe

ユニバーサルWindowsファイルエクスプローラープログラムexplorer.exeは、タスクバーとデスクトップから簡単にアクセスできます。その主な目的は、Windows11/10デバイスのすべてのファイルとフォルダーのファイルマネージャーとして機能することです。その極めて重要な理由から、explorer.exeプログラムは攻撃者のお気に入りの標的です。

ウイルス 検出 ：explorer.exeマルウェアは通常、トロイの木馬、ランサムウェア（特に電子メール）、およびAdobeFlashファイルとして表示されます。正規のプログラムは常に「C：\ Windows」にあり、重複はDドライブ、プログラムファイル、隠しフォルダ、またはその他のPCの場所に表示される場合があります。

アクション ：デバイスにexplorer.exeのインスタンスが2つから3つある場合、それらすべてに有効なデジタル署名と場所があれば、心配する必要はありません。 CPUを消費しているプロセスが複数ある場合は、CrowdInspectで偽のプロセスを特定し、右クリックして「プロセスを強制終了」します。

2。 lsass.exe

lsass.exeは、ローカルセキュリティ機関サブシステムサービスの略で、Windowsユーザー認証の背後で実行されます。マルウェアとは別に、元のプロセスを終了しないでください。システムが管理者アカウントとローカルアカウントにアクセスできなくなり、デバイスの再起動が促されます。

ウイルス 検出 ：マルウェア作成者がlsassを偽装する一般的な方法は、小文字の「l」を大文字の「i」または大文字の「L」に置き換えることです。意図的なスペルミスに注意してください。また、「C：\ Windows \ System32」フォルダの外にある無効なデジタル署名とファイルは、明らかな景品です。

アクション ：タスクマネージャからの偽のlsassプロセスを終了します。 「l」か「i」かわからない場合は、CrowdInspectから同じことを行ってください。複数の有効なlsassインスタンスは問題なく、改ざんされるべきではありません。

3。 RuntimeBroker.exe

RuntimeBroker.exeは、MicrosoftStoreからダウンロードしたアプリのアクセス許可を管理することを目的とした安全なMicrosoftプロセスです。写真アプリなどのプログラムの信頼性を検証します。 Windowsデバイスに属していないアプリがある場合、RuntimeBrokerは大量の余分なメモリを消費することで警告を発します。

ウイルス検出 ：WindowsデバイスがRuntimeBroker.exeウイルスに感染している場合、「C：\ Windows\System32」以外のPCの場所にその存在が表示されます。プログラムが正当ではないため、メモリリークが急増し、CPUに負担がかかります。また、偽のインスタンスの無効なデジタル署名に気付くでしょう。

アクション ：タスクマネージャを開きます。 Runtime Brokerの複数の有効なインスタンスをクリックし、[タスクの終了]をクリックします。これにより、特定のアプリに関する問題がすべて終了します。偽のRuntimeBroker.exeエントリの場合は、CrowdInspectから終了します。

4。 Winlogon.exe

Windowsのバックグラウンドプロセスに関しては、winlogon.exeほど重要なものはありません。ログインプロセスを管理するだけでなく、ユーザープロファイルの読み込み、スクリーンセーバーの制御、複数のネットワークへの接続も行います。 「C：\ Windows\System32」にあります。

ウイルス検出 ：通常、スパイウェアまたはキーロガーツールであるwinlogon.exeは非常に危険なマルウェアであり、システムのクラッシュを引き起こす可能性があり、簡単に認識できます。 Windows Defenderをオンにしている場合は、ファイルをすぐに削除し、使用されているベクター（電子メール、Webブラウザー）を終了するように警告されます。

アクション ：安全なwinlogon.exe実行可能ファイルは、CrowdInspectに複数のインスタンスを持ちません。他の偽のインスタンスは、到着時にWindowsDefenderの提案を使用して削除する必要があります。

5。 Svchost.exe

Svchost.exeは、さまざまなWindowsサービスをロードするためのシェルとして機能する共有サービスプロセスであるWindowsの「サービスホスト」を指します。開いているアプリケーションの数にもよりますが、通常、個々のプロセスとして実行されるsvchost.exeインスタンスが多数あります。

ウイルス検出 ：重複したプロセスまたは「svhosts.exe」などのスペルのバリエーションによってブロックされた保護されたフォルダまたはプログラムを見つけた場合、svchost.exeマルウェアのエピソードに遭遇します。それらは主にランサムウェアまたは銀行詐欺ツールです。それらのソースベクトルには、PDFファイル、ZIPファイル、およびJavaScriptが含まれます。

アクション ：これらのトロイの木馬は通常、低レベルの脅威ですが、できるだけ早く削除する必要があります。標準のウイルス対策ツールとWindowsDefenderには、「C：\ Windows\System32」にないサービスホストインスタンスを削除する機能があります。

6。 OfficeClickToRun.exe

Word、Excel、PowerPointなどのOfficeツールを使用している場合は、OfficeClickToRun.exeという実行可能ファイルに出くわしました。その仕事は、デバイス上で最新のMicrosoft Officeバージョンを実行し、更新を処理することです。マルウェアではない場合でも、OfficeClickToRun.exeはCPUでメモリを大量に消費する可能性があります。ただし、一時ファイルを定期的に削除すれば、負担ははるかに少なくなります。

ウイルス検出 ：実行可能ファイルは、Microsoft共有フォルダー内のプログラムファイル以外の場所にありますか？余分なファイルは、システムにとって不健全です。また、Windowsデバイスでは、OfficeClickToRun.exeのインスタンスが1つだけ実行されている必要があります。他のデジタル署名を確認してください。

アクション ：それ自体は有害ではありませんが、OfficeClickToRun.exeの偽のインスタンスがシステムメモリを詰まらせる可能性があります。これらは通常、感染したファイルやドキュメントを介して発生するため、すぐに削除する必要があります。

7。 igfxem.exe

igfxEM.exeは、Intelグラフィックカードの管理に不可欠な、あまり知られていないバックグラウンドプロセスであるため、ビデオカードの表示にとって非常に重要です。デバイスにプリインストールされており、システムにまったく負担をかけないため、そのままにしておく必要があります。

ウイルス検出 ：igfxEMのインスタンスが複数ある場合（および示されているようにそのスペルミス）、そのデジタル署名を検証します。 IntelとMicrosoftが表示されている場合、マルウェアはありません。そうしないと、本物のigfxEMファイルがないため、そのプロセスを削除する必要があります。

アクション ：複数のIntelインスタンスを使用している場合でも、有効なデジタル署名がある場合は何も実行しないでください。元のIntelグラフィックカードが破損していると思われる場合は、[スタート]メニューの[デバイス管理]の[devmgmt.msc]からドライバを再インストールしてみてください。

8。 Csrss.exe

Csrss.exeは、クライアントサーバーランタイムサブシステムの略で、GUIシャットダウンやシステムコンソールサービスなどのWindowsグラフィックスアクティビティを管理することを目的とした正当なユーザープロセスです。マルウェアと間違われることがよくあります。それを終了すると、システムに致命的であり、確実にクラッシュする可能性があります。

ウイルス検出 ：「C：\ Windows \ System32」の他のプログラムと同様に、csrss.exeはバックグラウンドで静かに残り、CrowdInspectには1つまたは2つのインスタンスしかありません。疑わしいファイルには無効なデジタル署名があり、著作権の詳細が欠落しています。

アクション ：csrss.exeは、デバイスが感染していることの「証拠」として、不正なセキュリティソフトウェア会社や技術詐欺師によってよく使用されます。これは実際のマルウェアではないため、技術的なアドバイスが間違っているために既存のプロセスを終了しないでください。

9。 GoogleCrashHandler.exe

WindowsデバイスにGoogleChromeなどのGoogleプログラムがある場合は、Googleアップデータパッケージの一部であるGoogleCrashHandler.exeという実行可能ファイルがあります。これは重要なWindowsコンポーネントではなく、安全かつ簡単に削除できますが、必ずしもマルウェアであるとは限りません。

ウイルス検出 ：Google CrashHandler.exeのデジタル署名が無効な場合、つまりGoogleによって署名されていない場合、通常のプロセスは安全であるため、スパイウェアまたはルートキットの感染の可能性のある兆候を調べています。

アクション ：必ずしもマルウェアであるとは限りませんが、システムタスクマネージャからGoogleCrashHandler.exeの一部またはすべてのインスタンスを削除してください。クラッシュレポートをGoogleに送信する場合を除いて、CPUに不必要な負担をかけたくないでしょう。

10。 Spoolsv.exe

Spoolsv.exeは、Printing Spoolerサービスと統合された本物のWindowsプロセスであり、フォントとグラフィックスをプリンターハードウェアと任意の仮想プリンターに変換します。これは、MS-DOSの最初から存在していたコアWindowsプロセスです。有効なspoolsv.exeプロセスエントリを終了すると、マシンに障害が発生し、システムが再起動します。

ウイルス検出 ：いくつかのマルウェアに似ていますが、spoolsv.exeは安全で正当なWindowsプロセスです。追加のプロセスには、Microsoftのデジタル署名がありません。マルウェアの作成者が同様の名前を使用してシステムを標的にしている場合、WindowsDefenderはそれを警告する必要があります。

アクション ：spoolsv.exeプロセスがMicrosoftデジタル署名によって検証されている場合は、何も実行しないでください。それ以外の場合は、タスクマネージャに移動してプロセスを終了します。

11。タスクマネージャー

Windowsタスクマネージャー（taskmgr.exe）は、すべてのコアWindowsプロセスとアプリケーションを制御する非常に重要なプログラムです。この重要なプログラムとその派生プログラム（taskhostw.exeなど）をシャットダウンすると、システムに致命的な影響を与える可能性があり、マルウェアの作成者はこれに気づきます。

ウイルス検出 ：タスクマネージャ関連のプログラムが正しく動作していないと思われる場合は、ファイルの場所を確認してください。ファイルの場所は「C：\ Windows\System32」にあるはずです。デバイスを再起動して、問題が解消されたかどうかを確認します。疑わしいタスクマネージャーインスタンスが続く場合は、潜在的なマルウェアを調べています。もう1つの兆候は、無効になるデジタル署名です。

アクション ：マルウェアに感染した「タスクマネージャー」のような実行可能ファイルは、タスクマネージャー自体から識別して終了できます。ただし、Windows 10でTaskSchedulerHelper.dllエラーが発生した場合は、次のように修正手順を実行してください。

概要：Windowsプロセスに似たマルウェアの警告サイン

これは、標準のWindowsシステムプロセスに似た疑わしいプロセスを処理する方法の概要です。マルウェアを扱っている場合と扱っていない場合がありますが、これらの警告サインを追跡することが重要です。

• アプリケーションのプロパティの詳細で正しい著作権を確認してください ：Windows11およびWindows10のすべてのプログラムには、ファイルの場所があります。そこから、[プロパティ]タブの[詳細]にアクセスできます。著作権がWindows、TrustedInstaller、またはGoogle、Intel、NVIDIAなどの正当なプロセス所有者に帰属することを確認してください。そうでない場合は、システムから削除する必要のあるマルウェアの潜在的なソースを調べています。
• WindowsプロセスプログラムのCPU使用率を確認します ：複数のシステムが一緒に実行されている場合、WindowsのCPU使用率が急上昇するのは正常です。ただし、システムの速度を低下させる同じプログラムの多くのインスタンスが懸念の原因です。不要なプログラムを特定し、すぐにシャットダウンする必要があります。
• 疑わしいWindowsプロセスのデジタル署名を確認します ：これは、プロセスの信頼性を検証するための最も重要で最も簡単な方法です。プロセスのデジタル署名が無効であり、信頼できるソースからのものでない場合は、マルウェアである可能性が高くなります。
• 疑わしいプロセスのファイルの場所を確認します ：ほとんどのWindowsファイルプロセスには、PC上で明確に定義された場所があります。 「C：\ Windows \ System32」、プログラムファイル、またはその他の明確に定義された場所のいずれかです。このプロセスのインスタンスは、マルウェアの可能性を示しているため、Dドライブなどの他の領域では見つかりません。

よくある質問

1。特定のWindowsプロセスが実際に有害である場合はどうすればよいですか？

正当なWindowsプロセスがシステムに害を及ぼすことはありません。ただし、マルウェアを含むそのようなプロセスのインスタンスが重複している場合は、CrowdInspectに移動し、そのプロセスを右クリックして、[プロセスの強制終了]をクリックします。 Windows Defenderをオンにしている場合は、そのようなマルウェアインスタンスを処理します。また、WindowsDefenderが必要な唯一のアンチウイルスである理由についても読んでください。

2。有効なWindowsプロセスを終了するとどうなり、そこからどのように回復しますか？

有効なWindowsプロセスを誤って終了した場合、その結果は、プロセスがシステムにとってどれほど重要であるかによって異なります。重要でないソフトウェアプロセスの場合、Windowsデバイスへの影響はありません。

winlogon.exeやcsrss.exeなどの影響の大きいプロセスの場合、Windowsには、誤って終了するのを防ぐためのメカニズムが組み込まれています。ただし、タスクマネージャーからシステムを終了しようとすると、デバイスの電源が自動的にオフになり、再起動が必要になります。最悪の場合、クラッシュによる完全な停電と恒久的な損傷につながる可能性があります。

Windowsのスケジュールされた操作とメンテナンスに不可欠な影響の少ないプロセスである場合、システムは重大な障害を報告し、自動的にシャットダウンします。起動後、問題はなくなります。