Здравствуйте, Хиврич Сергей Алексеевич.
Для определения вредности процесса/программы, можно попробовать воспользоваться несколькими способами. Я определяю примерно так:
1. Для начала запускаю программу
Process Explorer.
Выбираю нужный мне процесс. Смотрю его свойства(Properties) и если я помню, что эта программа должна находится в папке Windows, а она запускается из другой папки, то вероятность, что это вредоносный процесс высока. Там же можно увидеть описание процесса(description), которое добавил программист.
2. Смотрю в свойствах(в Process Explorer), во вкладке Strings, нет ли перечислений имен файлов антивирусов. Обычно, имена файлов антивирусов присутствуют в троянах отключающих антивирусы. Тут нужно иметь в виду, что в обычных программах, тоже могут быть перечисления имен, например в других антивирусах. Также если присутствуют имена различных асек, FTP, "почтовиков" , то возможно, что это вредоносный процесс, который ворует пароли. Естественно, есть специальные программы, для "вспоминания паролей" - их мы не трогаем.
3. Убить процес можно попробовать в том-же Process Explorer (Kill Process). Либо воспользоваться антируткитами: Gmer, Rootkit UnHooker. Но для работы с ними, нужен опыт и понимание, что делаешь, т.к. если "убить" важный процесс windows, можно получить BSOD (синий экран смерти).
4. Для определения, что загружается вместе с windows, можно воспользоваться программой
AutoRuns от тех же авторов. В настройках программы, можно включить "проверять цифроваю подпись" (Verify Code Signatures). AutoRuns начнет проверять подпись через интернет. Что это нам дает? Например, если в Publisher будет написано :"(Verified) Microsoft Windows Publisher" , то мы можем быть уверены, что файл подписан компанией Microsoft. Но нужно иметь в виду, множество компаний и программистов не подписывают свои программы цифровой подписью, поэтому не стоит удалять все программы подряд, если они не имеют подписи. Также, не на всех библиотеках/программах microsoft ставит цифровую подпись. С чем это связано - не в курсе.
Основные принципы я привел, остальное приходит с опытом :-)