Saule Опубликовано 15 января, 2007 Жалоба Поделиться Опубликовано 15 января, 2007 (изменено) SVCHOST.EXE (Generic Host Process for Win32 Services) Очень часто у пользователей возникает вопрос - что это за приложение "svchost.exe", наблюдаемое ими в списке процессов, и почему оно загружено в нескольких экземплярах?.. SVCHOST.EXE - это главный системный процесс для тех служб, которые запускаются из динамически загружаемых библиотек (DLL-файлов). И действительно несколько экземпляров процесса svchost.exe могут быть запущены одновременно (но с разными PID*). Так как каждый из таких экземпляров представляет собой определенную преимущественно системную службу или же группу служб. Эти группы определены в следующем разделе реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost Каждый параметр этого раздела представляет собой отдельную Svchost-группу и отображается при просмотре активных процессов, как отдельный экземпляр svchost.exe. Также, чтобы просмотреть список служб, выполняющихся в каком-либо процессе svchost.exe, можно сделать следующее: Start > Run (Пуск > Выполнить) Вписываем: CMD Нажимаем ОК или клавишу ENTER. В появившемся приложении вводим команду: tasklist /SVC И нажимаем на клавишу ENTER. Список служб Windows XP, запускаемых с помощью svchost.exe: (т.е. эти службы не являются вирусами!) Alerter / Оповещатель Application Management / Управление приложениями Automatic Updates / Автоматическое обновление Background Intelligent Transfer Service / Фоновая интеллектуальная служба передачи Bluetooth Support Service COM+ Event System / Система событий COM+ Computer Browser / Обозреватель компьютеров Cryptographic Services / Службы криптографии DCOM Server Process Launcher DHCP Client / DHCP-клиент Distributed Link Tracking Client / Клиент отслеживания изменившихся связей DNS Client / DNS-клиент Error Reporting Service / Служба регистрации ошибок Fast User Switching Compatibility / Совместимость быстрого переключения пользователей Help and Support / Справка и поддержка HTTP SSL Human Interface Device Access / Доступ к HID-устройствам Logical Disk Manager / Диспетчер логических дисков Messenger / Служба сообщений Network Connections / Сетевые подключения Network Location Awareness (NLA) / Служба сетевого расположения (NLA) Network Provisioning Service Portable Media Serial Number Service / Серийный номер переносного медиа-устройства Remote Access Auto Connection Manager / Диспетчер авто-подключений удаленного доступа Remote Access Connection Manager / Диспетчер подключений удаленного доступа Remote Procedure Call (RPC) / Удаленный вызов процедур (RPC) Remote Registry / Удаленный реестр Removable Storage / Съемные ЗУ Routing and Remote Access / Маршрутизация и удаленный доступ Secondary Logon / Вторичный вход в систему Security Center / Центр обеспечения безопасности Server / Сервер Shell Hardware Detection / Определение оборудования оболочки SSDP Discovery Service / Служба обнаружения SSDP System Event Notification / Уведомление о системных событиях System Restore Service / Служба восстановления системы Task Scheduler / Планировщик заданий TCP/IP NetBIOS Helper / Модуль поддержки NetBIOS через TCP/IP Telephony / Телефония Terminal Services / Службы терминалов Themes / Темы Universal Plug and Play Device Host / Узел универсальных PnP-устройств Upload Manager / Диспетчер отгрузки WebClient / Веб-клиент Windows Audio / Windows Audio Windows Firewall/Internet Connection Sharing (ICS) / Брандмауэр Интернета (ICF)/Общий доступ к Интернету (ICS) Windows Image Acquisition (WIA) / Служба загрузки изображений (WIA) Windows Management Instrumentation / Инструментарий управления Windows Windows Management Instrumentation Driver Extensions / Расширения драйверов WMI Windows Time / Служба времени Windows Wireless Zero Configuration / Беспроводная настройка Workstation / Рабочая станция Список "левых" служб, ссылающихся на svchost.exe: (т.е. эти службы были созданы вирусами!) (слева: название службы, справа: её команда) AppMgmt - svchost.exe -k AppMgmt Browser - svchost.exe -k Browser COM Message Transfer (mscommt) - svchost.exe -k mscommt Disk Monitor Services (DiskMon32) - svchost.exe -k dmon dmserver - svchost.exe -k DNS Server (DNS Server) - svchost.exe FastUserSwitchingCompatibil (Fast User Switching Compatibil) - svchost.exe Generic Host Process For Win32 Services (Generic Host Process) - svchost.exe generic host process (svchost) - svchost.exe Hardware Detection (Serv-U) - svchost.exe Host Services (Host Services) - svhosts.exe IPRIP (IPRIP) - svchost.exe -k netsvcs kdc - svchost.exe -k kdc LmHosts - svchost.exe -k LmHosts Messenger - svchost.exe -k Messenger MS Internet Countermeasures Framework (ICF) - \System32:svchost.exe NetLogon - svchost.exe -k Network Connections Sharing (RpcTftpd) - svchost.exe Network DDE DSMA (NetDDEdsma) - svchost.exe ntmssvc - svchost.exe -k ntmssvc NVIDIA Driver ServiceЎЎ (NVSv ) - svchost.exe RasAt (Remote Connection) - svchost.exe Policy Agent - svchost.exe -k Policy Agent Power Manager (PowerManager) - svchost.exe ProtectedStorage - svchost.exe -k ProtectedStorage Server Management Service - svchost.exe SVC Module (SVC Module) - svchost.exe svchost - SVCHOST.EXE svchost.exe (moto) - svchost.exe svchost.exe (moto) - любое название из 18-ти знаков svchost.exe (svchost.exe) - svchost.exe System Event Messaging - svchost.exe taskmng (svchost) - svchost.exe TrkSvr - svchost.exe -k TrkSvr TrkWks - svchost.exe -k TrkWks W32Time - svchost.exe -k W32Time Windows Configuration Backup Service (CfgBackupSvc) - svchost.exe Windows Configuration Loader (Windows Configuration Loader) - SVCHOST.EXE Windows Configuration Manager (ConfigMgr) - svchost.exe Windows Kernel (Windows Kernel) - svchost.exe Windows Management (Windows Management) - svchost.exe Windows Network Mapping Service (NetMap) - svchost.exe Windows Security Drivers (csrs) - svchost.exe Windows Smrss Service - svchost.exe .NET Framework Service - svchost.exe .NET Framework Service (.NET Connection Service) - svchost.exe ______________ Обязательно нужно иметь в виду, что системный файл svchost.exe должен находиться в папке: C:\WINDOWS\system32 (касается только Windows XP/NT/2000) Если он находится в папке WINDOWS и/или файлов с таким названием в вашей системе несколько, то, скорее всего, у вас живет вирус. Я сказала именно "скорее всего", так как несколько копий файла svchost.exe - это всё-таки еще не гарантия заражения. Например, вас ни в коем случае не должны пугать копии файла svchost.exe в таких папках, как: C:\WINDOWS\ServicePackFiles\i386 C:\WINDOWS\Prefetch а также некоторых других. Или, к примеру, файл с названием svchost.exe создается при установке антивируса BullGuard: C:\Program Files\BullGuard Software\svchost.exe который также к вирусам никакого отношения не имеет. Поэтому еще раз замечу, что впервую очередь, обращать внимание нужно именно на папку WINDOWS, т.к. она наиболее часто используется в целях маскировки под настоящий файл svchost.exe. Наиболее распространенные местоположения вирусов, маскирующихся под svchost.exe: (т.е. эти файлы на 99% были созданы вирусами) C:\WINDOWS\svchost.exe C:\WINDOWS\system\svchost.exe (касается только Windows XP/NT/2000) C:\WINDOWS\config\svchost.exe C:\WINDOWS\inet20000\svchost.exe C:\WINDOWS\inetsponsor\svchost.exe Помимо этого очень многие вирусы пытаются себя замаскировать, используя имена и названия, которые очень похожи на название "svchost" (в этом случае местоположение файлов уже может быть абсолютно любое, в том числе достаточно часто используется и папка WINDOWS\system32). Наиболее распространенные названия файлов, маскирующихся под svchost.exe: (т.е. эти файлы на 99% были созданы вирусами) svсhost.exe (вместо английской "c" используется русская "с") svcchost.exe (2 "c") svhost.exe (пропущено "c") svch0st.exe (вместо "o" используется ноль) svchos1.exe (вместо "t" используется единица) svchosl.exe (вместо "t" используется "l") svchosts.exe (в конец добавлено "s") svchoste.exe (в конец добавлено "e") svchostt.exe (2 "t" на конце) svchost32.exe (в конец добавлено "32") svchosts32.exe (в конец добавлено "s32") svchosthlp.exe (в конец добавлено "hlp") svdhost32.exe (вместо "c" используется "d" + в конец добавлено "32") svshost.exe (вместо "c" используется "s") svehost.exe (вместо "c" используется "e") svrhost.exe (вместо "c" используется "r") svchest.exe (вместо "o" используется "e") svschost.exe (после "v" добавлено лишнее "s") svcshost.exe (после "c" добавлено лишнее "s") svxhost.exe (вместо "c" используется "x") syshost.exe (вместо "vc" используется "ys") svchoes.exe (вместо "st" используется "es") svhostes.exe (пропущено "c" + в конец добавлено "es") svho0st98.exe ssvvcchhoosst.exe Также обязательно должно насторожить, если svchost.exe (или что-либо похожее) каким-либо образом пытается записать себя в обычную автозагрузку (т.е. помимо запуска в качестве системной службы, использует Windows StartUp или ini-файлы). Реальные примеры подобных вирусов из логов HijackThis: F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\config\svchost.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\config\svchost.exe F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [Win32 Update] svchosts.exe O4 - HKLM\..\RunOnce: [Win32 Update] svchosts.exe O4 - HKLM\..\RunServices: [Win32 Update] svchosts.exe O4 - HKCU\..\Run: [Win32 Update] svchosts.exe O4 - HKCU\..\RunOnce: [Win32 Update] svchosts.exe O4 - HKLM\..\Run: [GNP Generic Host Process] C:\WINDOWS\system\svchost.exe O4 - HKLM\..\Run: [WinService32] C:\Program Files\System32\svchost.exe O4 - HKLM\..\Run: [svc] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [Microsoft ® Windows Configuration Backup Service] C:\WINDOWS\config\svchost.exe O4 - HKLM\..\Run: [Microsoft ® Windows Configuration Manager] C:\WINDOWS\system\svchost.exe O4 - Startup: svchost.exe O4 - Global Startup: svchost.exe В лечении подобных случаев может быть очень полезен: SDFix ______________ * PID - идентификатор процесса. Изменено 23 мая, 2008 пользователем akoK 2 Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения