- I prucessi nascosti ponu esse malware, servizii di sistema, o resti di software chì cunsumanu risorse senza esse chjaramente visibili.
- U Task Manager, inseme cù a tabulazione Dettagli è u Monitor di Risorse, vi permette di scopre prucessi è cunnessione suspetti.
- Strumenti avanzati cum'è Autoruns è Process Explorer (cù VirusTotal) offrenu un cuntrollu cumpletu nantu à i prucessi, l'avviu è i resti fantasma.
- A cumbinazione di sti strumenti cù a verificazione di u registru è un bon antivirus hè chjave per mantene e prestazioni è a sicurezza in Windows.
U PC funziona pianu pianu senza ragione apparente.Sè u vostru usu di RAM aumenta ancu quandu ùn avete nunda apertu, o sè avete un ritardu mentre ghjucate, hè di solitu u primu segnu chì qualcosa ùn va micca. Spessu, apremu Task Manager in cerca di u culpevule... è nunda di stranu appare. Hè quì chì u suspettu principia: ci ponu esse prucessi nascosti in esecuzione in background.
Windows esegue constantemente decine di servizii è prucessi. Diversi prugrammi sò in esecuzione in u sfondate, alcuni cumpletamente legittimi è altri potenzialmente periculosi o residui di software disinstallatu in modu impropriu. Amparà à rilevà ciò chì hè veramente in esecuzione, al di là di ciò chì u Task Manager standard rivela, hè chjave per migliurà e prestazioni, rinfurzà a sicurezza è caccià i malware chì cercanu di piattassi. Amparamu tuttu. Cumu rilevà i prucessi nascosti chì ùn cumpariscenu micca in u Task Manager.
Chì sò i prucessi piattati è perchè ùn cumpariscenu micca sempre chjaramente?
Ogni prugramma chì funziona nantu à l'urdinatore genera almenu un prucessu chì ferma in memoria per funziunà: da u navigatore o un ghjocu à i picculi servizii di sistema. U prublema hè chì parechji di sti prucessi ùn anu micca un nome "umanu" cum'è Chrome.exe o Spotify.exe, ma piuttostu identificatori criptichi chì rendenu difficiule sapè s'elli appartenenu à Windows, un prugramma legittimu o un malware.
Inoltre, ci sò prucessi chì ùn si ponu vede à prima vista. in a tabulazione "Prucessi" di u Task Manager perchè sò raggruppati, visualizati sottu nomi generichi, o dipendenu da i servizii di sistema. Certi tipi di malware sfruttanu questu, iniettendu codice in prucessi legittimi o piattendusi daretu à servizii ambigui, rendenduli estremamente difficiuli da localizà per l'utente mediu.
Ancu dopu avè disinstallatu i prugrammiCi ponu esse "resti fantasma": attività di avvio, servizii o entrate di registru chì cuntinueghjanu à pruvà à esse eseguite in background. Ùn viderete micca u prugramma installatu, ma viderete un prucessu genericu chjamatu "Prugramma" o qualcosa di simile, chì cunsuma risorse senza furnisce alcun serviziu utile.
Hè ancu cumunu chì i prucessi nascosti affettanu a rete: cunnessione misteriose, usu di larghezza di banda quandu ùn duverebbe micca avè nunda chì scarica o cumunicheghja cù Internet, o picchi inspiegabili in u cunsumu di CPU è memoria quandu l'urdinatore hè, in teoria, à riposu.
Aduprà u Task Manager à u so pienu putenziale: ciò chì pudete vede in realtà da Windows
Prima di passà à strumenti avanzatiVale a pena prufittà pienamente di ciò chì u Task Manager stessu offre. In Windows 10 è 11, hè assai più putente di ciò chì pare sè sapete induve circà è cambià alcune di e impostazioni predefinite.
Per apre lu prestuAduprate a scurciatoia di tastiera Ctrl + Shift + EscPudete ancu cliccà cù u dirittu nantu à a barra di attività è sceglie "Gestione di attività". S'ella si apre in modu simplificatu, cliccate nantu à "Più dettagli" per vede l'interfaccia cumpleta cù tutte e tabulazioni.
In a tabulazione "Prucessi" viderete una panoramica Usu di CPU, RAM, discu, GPU è rete per applicazione. Quì pudete facilmente identificà i "grandi attori" (un ghjocu, u navigatore, un editore video...). Ma sè vulete catturà prucessi suspetti, duvete andà un pocu più in là.
Un passu chjave hè di attivà "Mostra i prucessi da tutti l'utilizatori" (nantu à e versioni più vechje di Windows) o assicuratevi chì u Task Manager mostra tuttu ciò chì funziona sottu diversi conti è servizii. Questu vi darà una lista più cumpleta, cumpresi i servizii di sistema chì ponu esse aduprati da malware.
Scheda di dettagli, Monitor di risorse è Analisi di rete
A scheda "Dettagli" di u Task Manager Eccu induve appare a lista cumpleta di i prucessi in esecuzione. Ogni eseguibile hè visualizatu quì, senza esse raggruppatu, aduprendu u so nome internu. Hè a vista a più vicina à ciò chì vede u sistema operativu stessu.
Da sta tabulazione pudete truvà prucessi chì parenu strani. Cercate prucessi chì ùn ricunnoscite micca, chì anu nomi assai generichi, o chì cunsumanu risorse in modu anormale. Sè cliccate cù u dirittu nantu à qualsiasi prucessu, pudete "Apri a locu di u schedariu", chì hè essenziale per sapè da induve vene veramente quellu eseguibile.
Un'altra colonna assai utile hè a colonna "Nome di u percorsu di l'imagine". (In certe traduzioni, questu appare cum'è "Percorsu di l'imagine"). Pudete attivallu clicchendu cù u dirittu nantu à l'intestazioni di e colonne, scegliendu "Selezziunà e colonne" è selezziunendu sta opzione. Questu vi mostrerà u percorsu cumpletu di u schedariu daretu à ogni prucessu.
Per approfondisce u cumpurtamentu di a reteAprite a tabulazione "Prestazioni" è dopu cliccate nant'à "Apri u Monitor di Risorse". In a tabulazione "Rete" di u Monitor di Risorse, viderete quali prucessi stanu stabilendu cunnessione, quantu trafficu mandanu è ricevenu, è à quali indirizzi IP. Sè rilevate una applicazione scunnisciuta chì si cunnette à indirizzi inusuali, hè una forte indicazione chì qualcosa ùn va micca.
Revisione di i prugrammi di avvio è di u software disinstallatu restante
Parechji prucessi piattati si intrufolanu in u prucessu di avviu di Windows.cusì si avvianu automaticamente ogni volta chì accendete u vostru urdinatore. Questu spiega perchè, ancu dopu avè "chjusu tuttu", l'usu di a RAM ferma abbastanza altu o u sistema ci mette assai tempu per diventà utilizabile.
In Task Manager avete a sezione "Avvio" (In Windows 11, appare in u menu laterale cum'è "Applicazioni di avvio", è in Windows 10 cum'è a scheda "Avvio"). Quì viderete tutti i prugrammi chì si lancianu automaticamente quandu vi cunnettate.
Hè nurmale di truvà utilità per a carta grafica (NVIDIA, AMD), a carta sonora, o u mouse.È dinò l'applicazioni chì preferite apre automaticamente perchè l'utilizate ogni ghjornu. Ma s'è vo vede entrate senza nomi chjari, prucessi generichi cum'è "Prugramma", o riferimenti à prugrammi chì avete disinstallatu assai tempu fà, meritanu a vostra attenzione.
Pudete disattivà qualsiasi elementu di avvio clicchendu cù u dirittu. chì ùn vulete micca. Questu ùn cancella micca u prugramma, l'impedisce solu di principià cù Windows. Hè un modu rapidu per verificà se quellu prucessu misteriosu era u culpevule daretu à u ritardu o à l'usu eccessivu di RAM.
Quandu un prugramma hè disinstallatu in modu incorrectuHè cumunu per Windows di lascià tracce in i prugrammi d'avvio, l'attività pianificate, o i servizii chì cuntinueghja à pruvà à lancià ancu s'è l'eseguibile ùn esiste più. Quessi sò chjamati "prucessi fantasma" o "prucessi residuali". Per identificà li currettamente, avete bisognu di un strumentu più specializatu.
Autoruns per Windows: Truvà è sguassà i prucessi fantasma è i materiali rimanenti
Microsoft offre un strumentu assai putente chjamatu Autoruns per Windows gratuitamente.Parte di a cullezzione Sysinternals creata da Mark Russinovich, sta applicazione mostra assolutamente TUTTU ciò chì funziona à l'avviu di u sistema o si cunnetta à i punti chjave in Windows.
Da u situ web ufficiale di Microsoft Sysinternals Pudete scaricà Autoruns in furmatu ZIP. Una volta estrattu, basta à apre "Autoruns.exe" o "Autoruns64.exe" secondu u vostru sistema. Ùn richiede micca installazione; hè un eseguibile portatile.
Quandu hè apertu, Autoruns mostra una lista enorme di entratePrugrammi d'avviu, servizii, estensioni di Explorer, elementi di Office, driver, attività pianificate, ecc. In cima pudete filtrà per categurie (Office, servizii, fornitori di rete, LSA, servizii di stampa...).
Una attenzione particulare deve esse prestata à l'entrate marcate in giallu.Quessi currispondenu spessu à prucessi o percorsi chì ùn esistenu più in u sistema: resti di software disinstallatu in furia, prucessi automatizati chì continuanu à pruvà à eseguisce, o percorsi currutti. Viderete ancu elementi in altri culori chì indicanu cumpunenti critichi o speciali.
Sè truvate un'entrata chjaramente residuale o suspetta (Per esempiu, s'ellu hè un prugramma chì sapete chì avete digià eliminatu o un cumpunente scunnisciutu), pudete cliccà cù u dirittu. U menu cuntestuale offre opzioni cum'è "Elimina" per eliminallu, apre a locu di u schedariu, scansà per i virus, o circà in linea infurmazioni nantu à l'eseguibile.
Autoruns hè assai putente, ma ancu periculosu sè ùn sapete micca ciò chì fate.L'autore stessu ricumanda chì questu sia trattatu da un tecnicu o, almenu, da un utilizatore cun qualchì sperienza. A cancellazione di entrate di sistema essenziali, driver GPU o cumpunenti hardware pò lascià vi senza alcune funzioni o ancu causà un fallimentu di l'avviu currettu di Windows.
U vantaghju hè chì, cù qualchì cura, pudete pulisce u sistema Elimina i resti di l'applicazioni chì ùn avete più, elimina i prucessi di avvio fantasma è rileva l'automatizazioni suspettose chì ùn sò micca cusì chjare in u Task Manager tradiziunale.
Esploratore di prucessi: u "Gestione di attività supercaricatu" di Microsoft
Sè u Task Manager ùn vi cunvene miccaL'alternativa diretta è ufficiale di Microsoft hè Process Explorer, un altru ghjuvellu di a suite Sysinternals. Hè cuncipitu per l'amministratori di sistema è l'utilizatori avanzati chì anu bisognu di cuntrollu cumpletu è di dettagli assai fini nantu à ogni prucessu.
Process Explorer pò esse telecaricatu da u situ web di Sysinternals. Vene in un schedariu cumpressu. Decomprimitelu in una cartella qualsiasi è eseguite "procexp64.exe" se u vostru sistema hè 64-bit (o a versione 32-bit se applicabile). Ùn richiede micca installazione, è hè cunsigliatu di eseguiscelu cum'è amministratore per vede tutti i dettagli.
L'interfaccia mostra un arbre di prucessu gerarchicuinduve pudete vede chjaramente quale prugramma hà lanciatu quale, quali fili hà aperti, quale DLL usa, è assai di più. Ogni prucessu hè culuritu secondu u so tipu, è questi culori sò cunfigurabili da u menu Opzioni > Configurazione di i culori.
Unu di i grandi vantaghji di Process Explorer Vi permette di apre a locu di l'eseguibile, vede e so proprietà di sicurezza, stringhe di testu interne, descrittori d'accessu, è ancu interagisce cun ellu da a linea di cummanda o generà dumps di memoria per analisi avanzate.
In casu chì vulete rimpiazzà cumpletamente u Task ManagerDa u menù Opzioni, pudete selezziunà "Rimpiazzà u Task Manager". Dopu à quessa, quandu aduprate a scurciatoia Ctrl + Shift + Esc, Process Explorer si apre invece di u Task Manager standard di Windows.
Integrazione di Process Explorer cù VirusTotal per rilevà malware
Process Explorer ùn hè micca solu per vede ciò chì hè in esecuzione.Aiuta ancu à determinà s'ellu hè affidabile. Una di e so migliori caratteristiche, incorporata anni fà, hè a so integrazione cù VirusTotal, u serviziu ben cunnisciutu chì analizza i fugliali cù decine di motori antivirus simultaneamente.
Per attivà sta integrazioneAprite Process Explorer è andate à u menu Opzioni > VirusTotal. Attivate l'opzione per mandà hash di prucessu à VirusTotal per l'analisi (in a versione attuale, questu hè fattu in modu sicuru mandendu solu l'impronta digitale di u schedariu).
Fendu cusì aghjunghjerà una nova colonna à a finestra principale. cù u risultatu di l'analisi di ogni prucessu. Viderete qualcosa cum'è "0/70", "1/70", ecc., chì indica quanti motori antivirus u segnalanu cum'è suspettu fora di u totale.
Prucessi chì cumpariscenu in verde o cù 0 rilevazioni Sò generalmente cunsiderati puliti, ancu s'è i falsi negativi sò sempre pussibuli. Sè un prucessu appare in rossu o cù parechje rilevazioni, hè assai prubabile chì sia un malware o, almenu, qualcosa chì vale a pena investigà.
Sè cliccate nant'à u risultatu VirusTotalA pagina d'analisi si apre tandu cù infurmazioni dettagliate: quali motori l'anu rilevatu, à quale famiglia di malware pò appartene, u cumpurtamentu osservatu, ecc. Queste informazioni sò preziose per decide se finisce u prucessu è fà una pulizia più profonda cù u vostru software antivirus.
Cumu aduprà Process Explorer per scopre u percorsu di malware
In ambienti di laburatoriu o macchine virtualiHè cumunu per i studienti è l'analisti di sicurezza aduprà Process Explorer per localizà malware è studià u so cumpurtamentu. Un compitu tipicu hè di truvà u percorsu esattu di l'eseguibile maliziosu per poi caricallu in un disassembler.
Di solitu, basta à localizà u prucessu suspettu. In a lista, cliccate cù u dirittu è aduprate "Proprietà" o "Apri locu di u schedariu" per sapè in quale cartulare si trova u binariu. Da quì, pudete copiallu in un altru ambiente cuntrullatu per analizallu cù strumenti cum'è IDA, Ghidra, o altri disassemblatori.
U prublema nasce quandu u malware senza filu prova à piattà a so stradaQuestu pò accade sia perchè manipula u sistema sia perchè inietta u so codice in prucessi legittimi. In questi casi, Process Explorer pò mustrà vi u prucessu ma micca identificà chjaramente l'eseguibile surghjente, o pò simpricimenti mustrà informazioni incomplete.
Quandu questu accade, hè cunsigliatu di cumminà parechji strumenti.: verificate u registru (chjavi HKCU è HKLM Run è RunOnce), verificate i travaglii pianificati, aduprate Autoruns per vede ciò chì hè lanciatu à l'avviu è, se necessariu, ricorre à strumenti specifichi d'analisi di malware o macchine virtuali cù monitoraghju avanzatu di u sistema.
In ogni casu, sè rilevate un prucessu cù un cumpurtamentu suspettu Sè VirusTotal segnala u schedariu cum'è maliziosu, u primu passu hè di isolà a macchina affettata da a rete, terminà u prucessu se pussibule, è dopu scansà o rimuovere u campione cù una suluzione di sicurezza specializata. Per più infurmazioni nantu à Process Explorer, vede i seguenti: situ web ufficiale di Windows.
Rivela i fugliali è i cartulari nascosti: un esempiu di u mondu reale cù u malware "Streamerdata"
Certi malware ùn si piattanu micca solu cum'è prucessiÙn solu piattanu i so cartulari è i so fugliali per rende a rimuzione più difficiule, ma li nascondenu ancu. Un esempiu tipicu hè l'infezioni chì creanu cartulari nascosti in u cartulare principale di u discu, cum'è "C:\Streamerdata", è replicanu scorciatoie viote in tuttu u sistema.
In questu tipu di scenariu, l'antivirus rileva continuamente a minaccia. (per esempiu, Win64:Malware-gen), u manda à l'archivi è u cancella... ma prestu riappare. Intantu, vi accorgete chì u sistema hè lentu, chì ci sò strane cartelle è scorciatoie, è ancu chì un prucessu cù un nome falsu di "strumentu antivirus" appare in u Task Manager.
Una tecnica chì certi utilizatori anu utilizatu Implica a creazione di un schedariu .bat cù cumandamenti chì eliminanu l'attributi nascosti, di sistema è di sola lettura da tutti i schedarii nantu à un discu. Qualcosa di simile à:
attributu -r -a -h -s U:\*.* /S /D (induve U hè u discu da disinfettà). Questu, quandu hè eseguitu cum'è amministratore, forza tuttu à esse visibile, cumpresa a cartella maligna chì era prima cumpletamente piattata, permettendu a so cancellazione manuale.
L'inconveniente di l'usu eccessivu di sti tipi di script Questu espone ancu assai cartulari è fugliali di sistema chì sò nurmalmente piattati per ragioni di sicurezza: cartulari di cunfigurazione, fugliali desktop.ini, ecc. Sè ùn site micca attenti è sguassate ciò chì ùn duvete micca, pudete rende u vostru sistema instabile.
In l'esempiu "Streamerdata", scoprendu tuttu I fugliali "desktop" (desktop.ini) anu cuminciatu à cumparisce nantu à i desktop è in diverse cartelle, è u sistema stessu hà mustratu errori à l'avviu mentre pruvava à localizà a cartella di malware, chì era digià stata sguassata. Questu hè un esempiu chjaru di cumu a pulizia manuale senza una bona comprensione di ciò chì state fà pò avè cunsequenze impreviste.
Sè vi truvate in una situazione simileL'approcciu cunsigliatu hè di cumminà una bona suite antivirus o antimalware (Malwarebytes, un Windows Defender ben aggiornatu, ecc.), un strumentu di pulizia di avvio cum'è Autoruns, è, sè avete mudificatu assai l'attributi, riconfigurà l'opzioni di e cartelle o aduprà strumenti cum'è Winaero Tweaker per piattà torna i fugliali di sistema critichi chì ùn devenu micca esse visti o tocchi ogni ghjornu.
Cuntrollu di u registru è altre tecniche cumplementari
Prucessi nascosti è malware persistente Spessu si basanu nantu à u registru di Windows per avviassi ripetutamente. Cunnosce e chjave di registru più cumuni aiuta assai à localizà li quandu altri strumenti ùn sò micca conclusivi.
Aduprendu u cumandamentu Win + R è scrivendu "regedit"Dopu accede à l'Editore di u Registru (utilizate stu strumentu cù estrema prudenza). I percorsi più cumuni induve i prugrammi chì cumincianu cù u sistema sò registrati sò:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run y HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Runinduve sò almacenate l'applicazioni chì si lancianu quandu l'utente attuale o qualsiasi utilizatore si cunnetta, rispettivamente. Da nutà dinù RunOnce, chì esegue l'entrate solu una volta à u prossimu avviu.
L'esame di queste chjave pò rivelà entrate scunnisciute cù percorsi inusuali o quelli chì puntanu à cartulari tempuranei, cartulari di prufili d'utilizatori inusuali, o nomi di fugliali aleatorii. In questi casi, hè raghjonevule esse suspettu è, dopu avè fattu una copia di salvezza, sguassà a voce o disattivalla mentre scansionate cù un software antivirus.
Un altru modu assai efficace hè di utilizà a linea di cummandaEseguendu "tasklist" in una finestra di prompt di cumanda cù privilegi d'amministratore, si visualizerà una lista cumpleta di prucessi. Pudete cumminà questu cù filtri (per nome, PID, ecc.) o cù altri strumenti cum'è "wmic" o "powershell" per ottene dettagli supplementari.
Infine, ùn ci scurdemu micca di u rolu di u software antivirus.Mantene lu aggiornatu è eseguisce scansioni cumplette di u sistema aiuta à rilevà i prucessi nascosti travestiti da servizii legittimi. Parechji prudutti attuali monitoranu ancu u cumpurtamentu in tempu reale, bluccendu i prucessi chì si cumportanu cum'è malware ancu s'è u schedariu stessu ùn hè ancu statu firmatu in e basi di dati.
Avè un veru cuntrollu di ciò chì funziona nantu à u vostru PC Implica a cumbinazione di tuttu ciò chì hè statu dettu sopra: aduprà Task Manager in modu efficace, sfruttà Autoruns è Process Explorer, monitorà u registru è affidà si à suluzioni antivirus robuste. Cù questi strumenti, localizà i prucessi nascosti chì ùn sò micca immediatamente evidenti è decide ciò chì fà cun elli cessa di esse un misteru è diventa un compitu chì, cù un pocu di pratica, pudete ammaestrà senza avè bisognu di esse un hacker prufessiunale.
Appassionatu di a tecnulugia da quandu era chjucu. Mi piace à esse aghjurnatu in u settore è, sopratuttu, cumunicà. Hè per quessa chì sò dedicatu à a cumunicazione nantu à i siti di tecnulugia è video games per parechji anni. Puderete truvà mi scrivendu nantu à Android, Windows, MacOS, iOS, Nintendo o qualsiasi altru tema cunnessu chì vene in mente.