Проверка на вирусы и куда подключается ваш компьютер
Проверка на вирусы и куда подключается ваш компьютер
Операционная система, как и программы на компьютере, создают очень много различных соединений, о которых мы не знаем. Windows постоянно отправляет различные диагностические данные, синхронизирует часы, получает новые обновления. Запущенные программы также могут «общаться» с серверами разработчиков. Данные процессы протекают в фоне и пользователь об этом не знает. Это нормально и отслеживать такое в принципе не нужно.
Но есть нюанс — подавляющее большинство компьютерных вирусов также соединяется с удаленными компьютерами для разных причин: использование ПК в роли прокси-шлюза, сбора данных или же для того, чтобы подкинуть нам рекламу. А это уже ненормально. Да, большинство вирусов не пропустит встроенная защита в Windows или сторонний антивирус, но в моей практике были ситуации, когда я лично у себя находил незнакомые процессы, которые были на моем ПК явно с вредоносными целями.
Итак, как узнать куда соединяется компьютер и распознать в процессе вредоносную программу?
Для этого нам нужно посмотреть все соединения, которые создает наш компьютер. Загружаем с официального сайта Microsoft программу TCPView*, запускаем и наслаждаемся.
Отобразятся все текущие процессы, а также информация о соединениях:
Но для объективного просмотра соединений вам нужно знать за что отвечает тот или иной процесс. Как вариант, лучше отключить программы из автозагрузки и перезагрузить компьютер — в этом случае эксперимент будет максимально чистым.
Что здесь мы можем проанализировать?
Жмем на «Remote address» для того, чтобы отсортировать список по удаленным соединениям. Если в данной строке * (звездочка), - (прочерк), 0.0.0.0 или 127.0.0.1 — то это внутренние соединения. Они нас не интересуют. Нас интересуют только те процессы, у которых в данном столбике есть цифры IP адреса. По IP адресам сложно понять, что открыто, зато можно нажать на кнопку «Resolve Address» и тогда некоторые IP будут отображены как хосты, что даст нам некоторую информацию.
Но больше всего нас, конечно, интересует столбик «Process Name» — имя текущего процесса, ID которого совпадает с ID в диспетчере задач. В случае, если процесс вам не знаком, это уже должно навести на мысли о том, что возможно какой-то процесс делает свои дела без вашего ведома. В любом случае, можно вбить в поисковую систему название процесса и прочитать описание, чтобы принять решение что с ним делать.
Для получение более детальной информации можно посмотреть свойства процесса, кликнув по нему дважды (покажет путь до файла), а также завершить процесс нажав на «Kill Process»:
Помимо этого можно закрыть процесс («Close Connection») и проверить информацию об IP адресе (какой стране он принадлежит), нажав на «Whois».
Если во время работы с программой вам мешает постоянная подсветка (создаются и удаляются новые соединения), то есть возможность нажать на паузу:
С помощью программы TCPView можно проанализировать все соединения, которые создаются в компьютере и найти как вредоносные процессы, так и те процессы, которые расходуют трафик, если у вас лимитное подключение к сети. Также программа будет интересна начинающим пользователям для понимания процесса работы компьютера в интернете — достаточно запустить какой-либо сайт и посмотреть на создаваемые соединения. Плюс она может помочь в том случае, если сильно тормозит интернет — был случай, когда безобидная программа создавала несколько сотен соединений, но найти их помогла именно TCPView.
* — Загрузить программу можно с официального сайта Microsoft.
Программа бесплатная и рекомендуется разработчиками Windows для анализа соединений в системе.