Як дізнатися чи немає вірусу в системі і куди підключається ваш комп’ютер

Операційна система, як і програми на комп’ютері, створюють дуже багато різних з’єднань, про які ми не знаємо. Windows постійно надсилає різні діагностичні дані, синхронізує годинник, отримує нові оновлення. Запущені програми також можуть спілкуватися з серверами розробників. Ці процеси протікають на фоні і користувач про це не знає. Це нормально і відслідковувати таке, в принципі, не потрібно.

Але є нюанс — переважна більшість комп’ютерних вірусів також з’єднується з віддаленими комп’ютерами для різних завдань: використання ПК у ролі проксі-шлюзу, збору даних або для того, щоб підкинути нам рекламу. І це вже ненормально. Так, більшість вірусів не пропустить вбудований захист у Windows або сторонній антивірус, але в нашій практиці були ситуації, коли ми особисто знаходили у себе незнайомі процеси, які були на нашому ПК відверто з шкідливими цілями.

Отже, як дізнатися, з чим з’єднується комп’ютер і розпізнати в процесі шкідливу програму?

Для цього нам потрібно переглянути всі з’єднання, які створює наш комп’ютер. Завантажуємо з офіційного сайту Microsoft програму TCPView, запускаємо та насолоджуємося.

Відобразяться всі поточні процеси, а також інформація про з’єднання:

Але для об’єктивного перегляду з’єднань вам потрібно знати, за що відповідає той чи інший процес. Як варіант, краще відключити програми з автозавантаження та перезавантажити комп’ютер – у цьому випадку експеримент буде максимально чистим.

Що ми можемо проаналізувати?

Тиснемо на “Remote address” для того, щоб відсортувати список за віддаленими з’єднаннями. Якщо в даному рядку * (зірочка), – (прочерк), 0.0.0.0 або 127.0.0.1 – це внутрішні з’єднання. Вони нас не цікавлять. Нас цікавлять ті процеси, у яких у цьому стовпчику є цифри IP адреси.

За IP адресами складно зрозуміти, що відкрито, зате можна натиснути кнопку «Resolve Address» і тоді деякі IP будуть відображені як хости, що дасть нам деяку інформацію.

 

Але найбільше нас, звичайно, цікавить стовпчик “Process Name” – ім’я поточного процесу, ID якого збігається з ID в диспетчері завдань. У випадку, якщо процес вам не знайомий, це вже має навести на думку про те, що, можливо, якийсь процес робить свої справи без вашого відома. У будь-якому випадку, можна вбити в пошукову систему назву процесу і прочитати опис, щоб прийняти рішення, що з ним робити.

Для отримання більш детальної інформації можна переглянути властивості процесу, клацнувши по ньому двічі (покаже шлях до файлу), а також завершити процес, натиснувши на «Kill Process».

 

Крім цього, можна закрити процес (“Close Connection”) і перевірити інформацію про IP адресу (якій країні вона належить), натиснувши на “Whois”.

Якщо під час роботи з програмою вам заважає постійне підсвічування (створюються та видаляються нові з’єднання), то є можливість натиснути на паузу.

 

Висновок

За допомогою програми TCPView можна проаналізувати всі з’єднання, які створюються на комп’ютері і знайти як шкідливі процеси, так і ті процеси, які витрачають трафік, якщо у вас лімітне підключення до мережі. Також програма буде цікава початківцям для розуміння процесу роботи комп’ютера в інтернеті – достатньо запустити який-небудь сайт і подивитися на з’єднання, що створюються. Плюс вона може допомогти в тому випадку, якщо сильно гальмує інтернет – був випадок, коли нешкідлива програма створювала кілька сотень з’єднань, але і тут допомогла саме TCPView.

Завантажити програму можна з офіційного сайту Microsoft https://docs.microsoft.com/ru-ru/sysinternals/downloads/tcpview. Програма безкоштовна та рекомендується розробниками Windows для аналізу з’єднань у системі.