كيف تعرف إذا جهازك مصاب بفيروس (2026)
الإجابة المختصرة: افتح مدير المهام بـ Ctrl+Shift+Esc ورتب حسب CPU. إذا الاستخدام عند 80-100% بدون شيء يعمل ظاهرياً، تحقق — معدّنو العملات يختبئون خلف أسماء مزيفة مثل WindowsUpdateService.exe (العملية الحقيقية هي svchost.exe). تحقق من تبويب بدء التشغيل والإدخالات غير المألوفة في تبويب التفاصيل ثم تأكد بفحص Malwarebytes بدلاً من افتراض أن العتاد يحتضر.
افتح مدير المهام بـ Ctrl+Shift+Esc وانقر عمود CPU للترتيب حسب الاستخدام. إذا المعالج عند 80-100% بدون شيء يعمل ظاهرياً فيستحق التحقيق. عميل اتصل لأن Dell عمره ثلاث سنوات أصبح “غير قابل للاستخدام من البطء” — طلب بالفعل SSD جديد مقتنعاً أن القرص يحتضر. فتحنا مدير المهام ووجدنا “WindowsUpdateService.exe” يستخدم 94% من المعالج. هذه ليست عملية ويندوز حقيقية. Windows Update يعمل عبر svchost.exe وليس ملفاً تنفيذياً مستقلاً بذلك الاسم. كان معدّن عملات يعمل منذ أربعة أشهر. أوقفناه وشغّلنا Malwarebytes ووجدنا سبعة ملفات مصابة أخرى ونظفناها. الكمبيوتر عمل كالجديد. ألغى طلب SSD.
حوالي 35% من الأجهزة المصابة التي ننظفها بها معدّنو عملات. معظم أصحابها ظنوا الكمبيوتر يتقادم.
مدير المهام
معظم العمليات في مدير المهام غير ضارة. “System” و”System Idle Process” مفترض وجودهما. “Antimalware Service Executable” هو Windows Defender يفحص. عدة نسخ svchost.exe طبيعي. إذا Chrome يستخدم 3 جيجابايت عبر 40 تبويب فذلك Chrome وليس برمجيات خبيثة.
ما يجب أن يقلقك أي شيء يحاكي عملية ويندوز حقيقية لكن بخطأ طفيف في الاسم. رأيت شخصياً “svch0st.exe” بصفر بدلاً من O. “csrrs.exe” بحرفين R والحقيقي بواحد. “lsas.exe” يتظاهر بأنه lsass.exe. مؤلفو البرمجيات الخبيثة يعرفون أن لا أحد يحفظ أسماء العمليات.
انقر بزر الفأرة الأيمن على أي عملية مشبوهة → فتح موقع الملف. عمليات ويندوز الشرعية تعيش في C:\Windows\System32. إذا الملف في AppData أو مجلد Temp أو مجلد مرقم عشوائي — هذا غير صحيح. تحقق أيضاً من الخصائص → تبويب التوقيعات الرقمية. عمليات ويندوز الحقيقية موقعة بـ “Microsoft Windows”. لا توقيع أصلاً على عملية تستخدم معالجاً كبيراً إنذار أحمر.
إذا مدير المهام يظهر معالج مرتفع لكن لا شيء واضح يأكله فذلك الدليل يغطي سيناريوهات svchost وWMI. وإذا البطء تدريجي على أشهر ومدير المهام يبدو طبيعياً فتقريباً ليس فيروساً — دليل التسريع يعالج ذلك.
ثلاثة فحوصات
تشغيل Windows Defender وحده والإعلان عن النظافة كفحص غرفة واحدة وإعلان أن المنزل نظيف. هذا النهج الذي أستخدمه على كل جهاز.
Microsoft Defender Offline أولاً — مدمج في ويندوز. Windowsالأمان → الحماية من الفيروسات → خيارات الفحص → Microsoft Defender Offline Scan → فحص الآن. الكمبيوتر يعيد التشغيل في بيئة مجردة ويفحص قبل تحميل النظام. يستغرق حوالي 15 دقيقة.
Malwarebytes مجاني من malwarebytes.com بعد ذلك. فحص نظام كامل وليس سريع. السبب لإقرانه بـ Defender أن Malwarebytes يكتشف ما مايكروسوفت تتجاهل عمداً — مختطفو المتصفح وحزم الأدوير والبرامج غير المرغوبة. اذهب مباشرة لـ malwarebytes.com للتحميل — نتيجة Google الأولى كانت إعلاناً لنسخة مزيفة أكثر من مرة.
HitmanPro من hitmanpro.com الفحص الثالث. لا يثبت حتى — يعمل كملف محمول باستخدام تحليل سلوكي سحابي. يلتقط التهديدات الأحدث التي الأخريان لم تفهرسها بعد.
إذا الثلاثة نظيفة فالجهاز نظيف. إذا أي واحد وجد شيئاً أزله وشغّل الثلاثة مرة أخرى للتأكيد.
إذا الفحوصات لقت شيء
معظم الوقت الفاحص يعزل تلقائياً — الملف ينحبس في مكان ما يقدر يشتغل منه. خلّه معزول لأسبوع. إذا ما شيء تعطل احذفه. إذا برنامج توقف عن العمل فالملف “المصاب” ممكن يكون إنذار كاذب. تقدر تتحقق بنسخ اسم الملف والبحث عنه في virustotal.com — يفحصه مقابل أكثر من 70 محرك مضاد فيروسات ويخبرك إذا كان فعلاً ضار أو لا.
للإصابات العنيدة اللي تنجو أو تعود باستمرار أقلع في الوضع الآمن وافحص مرة ثانية. اضغط Shift أثناء النقر على إعادة التشغيل → استكشاف الأخطاء → إعدادات بدء التشغيل → اضغط 4. الوضع الآمن يحمّل الحد الأدنى من البرامج فخطاطيف بدء تشغيل البرمجيات الخبيثة ما تقدر تشتغل. هذا يخلي الفاحصات توصل لملفات كانت محمية أثناء تشغيل ويندوز العادي لأن البرمجية الخبيثة كانت قافلة عليها.
إذا الإصابة ما زالت تعود بعد فحص الوضع الآمن فعندك شيء مدمج أعمق مما الفاحصات الاستهلاكية توصله — عند هذه النقطة تثبيت ويندوز نظيف هو الحل الواقعي، أو دليل إزالة البرمجيات الخبيثة الكامل يغطي التنظيف اليدوي للسجل وجدولة المهام للإصابات العنيدة.
التأكد أنه زال
افتح مدير المهام مرة أخرى → تبويب الأداء. في الخمول بدون تطبيقات المعالج يجب أن يكون 2-10%. تحقق من تبويب بدء التشغيل عن أي شيء جديد. افتح سجل الأحداث وابحث عن أخطاء متكررة من نفس المصدر في نفس الوقت يومياً — علامة على برمجيات خبيثة تتصل بجدول زمني.
أعطِه ثلاثة أيام كاملة قبل إعلان النصر. بعض الإصابات تتصل بخادمها كل 24-48 ساعة لإعادة تحميل نفسها. إذا الجهاز بقي نظيفاً لعطلة نهاية أسبوع طويلة فأنت فعلاً نظيف. إذا كان لديك سارق معلومات — أو غير متأكد من النوع — غيّر كلمات المرور من جهاز مختلف وتحقق من كشوفات البنك.
إذا الإصابة تعود باستمرار أو الثلاثة يقولون نظيف لكن الجهاز ما زال يتصرف بشكل غريب، يمكننا تشغيل أدوات مؤسسية عن بُعد تكتشف ما تفوته الأدوات المجانية.
الأسئلة الشائعة
كيف أعرف إذا جهازي فيه فيروس أو بس بطيء؟
افتح مدير المهام وتحقق من تبويب الأداء. إذا المعالج عند 80-100% بدون شيء يعمل ظاهرياً فهذا مريب — خاصة إذا وجدت عمليات بأسماء تحاكي ملفات نظام ويندوز لكن مختلفة قليلاً (مثل svch0st.exe بصفر بدلاً من O). إذا البطء تدريجي على أشهر ومدير المهام يبدو طبيعياً فتقريباً ليس فيروساً — العمر أو برامج بدء تشغيل كثيرة أو قرص يحتضر.
هل Windows Defender كافٍ لاكتشاف كل الفيروسات؟
Defender يكتشف حوالي 95% من التهديدات المعروفة لكنه يتجاهل عمداً مختطفي المتصفح والأدوير والبرامج غير المرغوبة (PUPs). للفحص الشامل شغّل ثلاثة فحوصات: Microsoft Defender Offline وMalwarebytes Free (يكتشف PUPs التي يتجاوزها Defender) وHitmanPro (تحليل سلوكي سحابي). كلها مجانية والعملية تستغرق حوالي 45 دقيقة.
ما أنواع البرمجيات الخبيثة الأكثر شيوعاً في 2026؟
ثلاثة أنواع الأكثر إزالةً: معدّنو العملات (حوالي 35% من الإصابات — يخطفون المعالج للتعدين)، مختطفو المتصفح (يغيرون الصفحة الرئيسية ومحرك البحث)، وسارقو المعلومات (يعملون بصمت تام ويلتقطون كلمات المرور). معدّنو العملات والمختطفون سهل اكتشافهم؛ سارقو المعلومات بلا أعراض ويُكتشفون فقط بأدوات متخصصة.
كيف أتأكد أن الفيروس زال فعلاً بعد الإزالة؟
تحقق من مدير المهام — المعالج يجب أن يكون 2-10% في الخمول وليس 80%. تحقق من تبويب بدء التشغيل عن إدخالات مشبوهة جديدة. افتح سجل الأحداث وابحث عن أخطاء متكررة في نفس الوقت يومياً. ثم راقب 72 ساعة — بعض الإصابات تتصل كل 24-48 ساعة لإعادة تثبيت نفسها.
متى أتصل بمتخصص بدلاً من محاولة إزالة البرمجيات الخبيثة بنفسي؟
اتصل بمتخصص إذا: نفس الإصابة تعود بعد فحص الوضع الآمن، أو مضاد الفيروسات يُقتل كلما فعّلته، أو ترى تهديدات مستوى rootkit (MBR أو قطاع الإقلاع)، أو الفاحصون الثلاثة يقولون الجهاز نظيف لكنه ما زال يتصرف بغرابة. أيضاً إذا قضيت أكثر من ثلاث ساعات — عند تلك النقطة DIY يكلفك وقتاً أكثر مما تكلفه الإزالة الاحترافية مالياً.