NorfiPC
NorfiPC » Virus y malware » Usar Windows Defender

Como identificar procesos desconocidos y sospechosos en Windows



Como conocer si algún proceso puede ser un virus o programa peligroso. Como comprobarlo en internet y obtener información de cualquier aplicación desconocida ejecutándose en el equipo. Lista de los procesos comunes en Windows 7 y 8 y con cuales debemos tener precaución. Aplicaciones gratis para obtener más información de los procesos de Windows.
Como identificar procesos desconocidos y sospechosos en Windows 7 y 8
Cualquier equipo cuyo funcionamiento se torne inestable o lento, puede indicar la presencia de malware.
Otros signos frecuentes son la aparición de ventanas, barras en el navegador y efectos extraños.
En ocasiones la revisión con el antivirus instalado no indica ninguna infección, pero nunca podemos estar seguros al 100%.
Una de las formas de detectar cualquier infección es revisando regularmente los procesos que se ejecutan en el equipo.
Al detectar cualquiera de estos procesos que resulte sospechoso, podemos comprobarlo accediendo a las bases de datos online y en caso de que dañino, sea eliminarlo manualmente.



¿Qué son los procesos en Windows?


Los procesos son en Windows las tareas que se están ejecutando en el sistema ya sean del propio Windows o de programas o aplicaciones externas.
Cualquier programa, aplicación o software tiene un proceso asignado que es el que lo inicia.
Para que el usuario pueda ver y conocer los procesos ejecutándose, obtener información sobre ellos, detenerlos o cambiar la forma en que se ejecutan, Windows incluye en la herramienta Administrador de tareas la pestaña Procesos.
El Administrador de tareas puede utilizarse para cualquiera de los siguientes propósitos:
• Detener un programa que no responde.
• Detener una aplicación que consume muchos recursos ya se memoria o la CPU.
• Detener aplicaciones instaladas de forma secundaria por programas.
• Detener procesos que consumen mucho ancho de banda y ralentizan la navegación en internet, como son los que usan los programas para actualizarse.
• Detectar virus y malware que ha penetrado en el equipo.
Los que tienen más experiencia en el uso de Windows al detectar cualquier funcionamiento diferente del equipo como puede ser lentitud u otros síntomas extraños, al abrir el Administrador de tareas reconocen cualquier proceso en ejecución que no sea normal.



El Administrador de tareas de Windows 8


En Windows 8 el Administrador de tareas ofrece una interface diferente a la de sistemas operativos anteriores.
Cuenta con más opciones dividiendo los procesos en grupos, mostrándolos con un icono y haciéndolos más fácil de identificar.
No obstante muestra el nombre del proceso en vez del nombre del archivo.
Esto puede hacer más fácil o difícil algunas tareas.
El mismo proceso en el Administrador de tareas de Windows 7 y en el de Windows 8
En otro artículo puedes conocer cómo sustituirlo temporalmente: Como usar en Windows 8 el Administrador de tareas de Windows 7



¿Como detener procesos en el Administrador de tareas?


Para detener cualquier proceso solo tenemos que dar un clic encima con el botón derecho del ratón y escoger: "Finalizar tarea"
Detener un proceso en el Administrador de tareas de Windows 8

¿Cómo detectar e identificar procesos desconocidos?


Gran parte de los procesos se pueden identificar fácilmente porque corresponden al nombre del programa, por ejemplo:
chrome.exe, firefox.exe, winword.exe
Otros su nombre no dice mucho, pero los acompaña una descripción detallada como:
MsMpEng.exe – Antimalware Service Executable (Windows Defender)
Al dar un clic derecho en un proceso podemos explorar la ubicación del ejecutable, pero aun así hay casos que no podemos identificarlos correctamente.



Procesos comunes de Windows 8 y 7


Algunos procesos pueden levantar sospechas pero son propios de Windows como:
explorer.exe - Explorador de Windows

csrss.exe - Cliente de la interface de Windows. Tiene que estar en la ruta C:\Windows\System32, algunos virus crean versiones infestadas en C:\Windows.

svchost.exe - Contenedor de diversos servicios de Windows, generalmente hay varios procesos con el mismo nombre.

MsMpEng.exe – Antimalware Service Executable (Windows Defender)

TaskHost.exe - Es un proceso que ejecuta diversas tareas en segundo plano, que son solicitadas por librerías DLL de programas o de Windows. En Windows 8 se activa al existir conexión a internet para actualizar información de las aplicaciones de la pantalla de inicio (El Tiempo, Deportes, etc.).
Lee mas informacion: Como impedir que TaskHost.exe consuma CPU y la conexión de internet

dwm.exe - Administrador del escritorio.
Ver todos
La mayoría de los virus se enmascaran tomando como nombres, el de procesos comunes de Windows, como Svchost.exe.
Para detectarlos los programas antivirus chequean su versión.
La herramienta System Explorer que se sugiere más abajo, los marca de color rojo.



Procesos que pueden ser peligrosos en Windows


Uno de los procesos más controvertidos de Windows es "wscript.exe" (Windows Script Host).
Es la consola de Windows para ejecutar los archivos escritos en el lenguaje VBscript.
Algunos virus se ejecutan usando dicho proceso por lo que no llama la atención, ejemplos son el virus Recycler o el Mugen.vbs
Este proceso siempre indica que un script se está ejecutándose en el sistema, si no ha sido iniciado por nosotros voluntariamente, entonces indica malware.
¡OJO! Algunas personas usamos los scripts en multitud de tareas.
En caso de encontrar algún proceso misterioso que aparentemente no tiene nada que ver con ninguna aplicación de Windows o nuestra, podemos detenerlo a ver qué sucede.
Si después de reiniciar lo volvemos a encontrar activo, entonces podemos hacer una búsqueda en la red para salir de dudas de cual su función.



Herramientas para detectar e identificar procesos desconocidos


A continuación se recomiendas aplicaciones gratuitas que podemos usar para conocer cualquier proceso sospechoso e identificarlo correctamente.

Process Explorer

Process Explorer es una aplicación de Microsoft que muestra los procesos de forma avanzada con mucha más información de la que ofrece el administrador de tareas.
Por supuesto solo es útil para los que deseen obtener datos adicionales, no para el usuario común y corriente.
Muestra de cada proceso los hilos que lo componen.
La búsqueda online que proporciona es insuficiente.
Identificar y detener procesos desconocidos en Windows con Process Explorer
Descarga la aplicación desde: Process Explorer en Technet

System Explorer

Excelente aplicación gratis para obtener información y administrar las tareas y procesos en Windows.
Similar al Administrador de tareas, pero con opciones adicionales. No lo reemplaza.
Agrega un enlace al lado de cada proceso, que al usarlo abre el navegador con una consulta en la base de datos del servicio.
También da la opción de comprobar cualquiera de los procesos en el servicio de Virus Total.
Identificar y detener procesos desconocidos en Windows con System Explorer
Descarga la aplicación en español desde: http://es.systemexplorer.net/

Servicios de internet donde encontrar información sobre los procesos sospechosos


File.net

File.net es un servicio online donde hacer cualquier consulta sobre un proceso sospechoso.
Muestra bastante información sobre cada consulta.
Para obtener información de un proceso sospechoso, ingresa su nombre en el formulario del servicio.
Resultado de la búsqueda del proceso wscript.exe en la base de datos de File.net
Accede al servicio en: http://www.file.net/

¿Cómo eliminar el archivo que inicia un proceso peligroso?


Después de comprobar que un proceso puede ser dañino para nuestro equipo, para eliminar el archivo que lo inicia es necesario detenerlo.
En caso de tener dificultad se pueden usar aplicaciones como Unlocker o iniciar el equipo en Modo seguro.

Páginas relacionadas



Sígueme en las redes sociales




Buscar en este sitio

 
 
Inicio | Mapa del sitio | Sobre mí | RSS