Home > Dicas

Descubra o que está em execução

Como determinar quais programas estão em execução em seu computador

23/09/2005 às 19h13

Foto:

malware_passo2Agora, você está preparado para determinar quais programas e serviços estão executando atualmente em seu computador. O Gerenciador de Tarefas do Windows não autentica cada um dos aplicativos que estão rodando. Portanto, baixe uma cópia da ferramenta gratuita Process Explorer, da Sysinternals (www.sysinternals.com).

Descompacte o arquivo procexpnt.zip e dê um duplo clique no arquivo procexp.exe. O Process Explorer é o lutador de sumô entre os substitutos do Gerenciador de Tarefas. Ele pode não ser bonito, mas é confiável e muito eficaz – e, ao contrário dos lutadores profissionais, trabalha de graça.

Algumas das informações mais úteis do Process Explorer são ocultas por padrão. Para vê-las, clique com o botão direito do mouse no nome de uma coluna e escolha Select Columns. Tanto Process Name quanto Description já devem estar selecionados, mas não se esqueça de selecionar Company Name e Command Line também. Clique na guia DLL, marque Path e clique em OK. Em seguida, clique em View e certifique-se de que a opção Show Lower Pane esteja marcada. Por fim, clique em View/Lower Pane View/DLLs.

Com essas opções do Process Explorer ativadas, você pode selecionar e ver listadas no painel inferior as DLLs que o programa usa. A coluna Command Line mostra a localização da unidade de disco rígido de cada programa em execução ou, no caso de serviços (que, às vezes, são executados sob svchost. exe), identifica qual instância de svchost.exe o invocou.

Quaisquer processos em execução da pasta Temp devem levantar uma bandeira vermelha. Spyware tende a instalar a si mesmo e rodar a partir de esconderijos como a pasta Temp. Da mesma forma, se um processo em execução apontar para uma DLL na pasta Temp, fique atento. A única ocasião em que algo deve estar em execução da pasta Temp é durante a instalação de um aplicativo que use um programa instalador como o InstallShield. Além do Explorer.exe, usuários do Windows XP provavelmente vão encontrar outros processos em execução, como smss.exe, winlogon.exe, services.exe, alg.exe e lsass.exe. Todos eles são arquivos críticos do Windows. Não se livre de nenhum deles.

Um arquivo do Windows legítimo que merece um exame mais minucioso quando encontrado na lista de processos em execução é o rundll32.exe. Algumas formas de pragas virtuais, distribuídas como arquivos DLL, ocultam-se ao usar este programa como uma plataforma de lançamento. O Gerenciador de Tarefas do sistema operacional indica apenas que o programa rundll32 está rodando, mas o campo Command Line do Process Explorer mostra a qual DLL o rundll32 está associado. Lembre-se, porém, de que alguns drivers usam rundll32 para fins legítimos. Portanto, antes de encerrar esse processo, certifique-se de que ele esteja realmente causando algum estrago. O nome da pasta no fim do caminho do arquivo deve dar uma pista da legitimidade do processo.

Próximos passos:

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail