21.02.2013
 Очень часто у пользователей возникает вопрос - что это за приложение "svchost.exe", наблюдаемое ими в списке процессов, и почему оно загружено в нескольких экземплярах?
SVCHOST.EXE - это главный системный процесс для тех служб, которые запускаются из динамически загружаемых библиотек (DLL-файлов).
И действительно несколько экземпляров процесса svchost.exe могут быть запущены одновременно (но с разными PID*). Так как каждый из таких экземпляров представляет собой определенную преимущественно системную службу или же группу служб.
Эти группы определены в следующем разделе реестра:
- HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SvcHost
Каждый параметр этого раздела представляет собой отдельную Svchost-группу и отображается при просмотре активных процессов, как отдельный экземпляр svchost.exe.
Также, чтобы просмотреть список служб, выполняющихся в каком-либо процессе svchost.exe, можно сделать следующее:
- Start > Run (Пуск > Выполнить)
- Вписываем: CMD
- Нажимаем ОК или клавишу ENTER.
- В появившемся приложении вводим команду: tasklist /SVC
- Нажимаем на клавишу ENTER.
Получим вот такое окно:
Список служб Windows XP, запускаемых с помощью svchost.exe (т.е. эти службы не являются вирусами!):
| Английское название | Русское название |
|---|
| Alerter |
Оповещатель |
| Application Management |
Управление приложениями |
| Automatic Updates |
Автоматическое обновление |
| Background Intelligent Transfer Service |
Фоновая интеллектуальная служба передачи |
| Bluetooth Support Service |
|
| COM+ Event System |
Система событий COM+ |
| Computer Browser |
Обозреватель компьютеров |
| Cryptographic Services |
Службы криптографии |
| DCOM Server Process Launcher |
|
| DHCP Client |
DHCP-клиент |
| Distributed Link Tracking Client |
Клиент отслеживания изменившихся связей |
| DNS Client |
DNS-клиент |
| Error Reporting Service |
Служба регистрации ошибок |
| Fast User Switching Compatibility |
Совместимость быстрого переключения пользователей |
| Help and Support |
Справка и поддержка |
| HTTP SSL |
|
| Human Interface Device Access |
Доступ к HID-устройствам |
| Logical Disk Manager |
Диспетчер логических дисков |
| Messenger |
Служба сообщений |
| Network Connections |
Сетевые подключения |
| Network Location Awareness (NLA) |
Служба сетевого расположения (NLA) |
| Network Provisioning Service |
|
| Portable Media Serial Number Service |
Серийный номер переносного медиа-устройства |
| Remote Access Auto Connection Manager |
Диспетчер авто-подключений удаленного доступа |
| Remote Access Connection Manager |
Диспетчер подключений удаленного доступа |
| Remote Procedure Call (RPC) |
Удаленный вызов процедур (RPC) |
| Remote Registry |
Удаленный реестр |
| Removable Storage |
Съемные ЗУ |
| Routing and Remote Access |
Маршрутизация и удаленный доступ |
| Secondary Logon |
Вторичный вход в систему |
| Security Center |
Центр обеспечения безопасности |
| Server |
Сервер |
| Shell Hardware Detection |
Определение оборудования оболочки |
| SSDP Discovery Service |
Служба обнаружения SSDP |
| System Event Notification |
Уведомление о системных событиях |
| System Restore Service |
Служба восстановления системы |
| Task Scheduler |
Планировщик заданий |
| TCP/IP NetBIOS Helper |
Модуль поддержки NetBIOS через TCP/IP |
| Telephony |
Телефония |
| Terminal Services |
Службы терминалов |
| Themes |
Темы |
| Universal Plug and Play Device Host |
Узел универсальных PnP-устройств |
| Upload Manager |
Диспетчер отгрузки |
| WebClient |
Веб-клиент |
| Windows Audio |
Windows Audio |
| Windows Firewall/Internet Connection Sharing (ICS) |
Брандмауэр Интернета (ICF)/Общий доступ к Интернету (ICS) |
| Windows Image Acquisition (WIA) |
Служба загрузки изображений (WIA) |
| Windows Management Instrumentation |
Инструментарий управления Windows |
| Windows Management Instrumentation Driver Extensions |
Расширения драйверов WMI |
| Windows Time |
Служба времени Windows |
| Wireless Zero Configuration |
Беспроводная настройка |
| Workstation |
Рабочая станция |
Список "левых" служб, ссылающихся на svchost.exe (т.е. эти службы были созданы вирусами!):
| Название службы | Командная строка |
|---|
| AppMgmt |
svchost.exe -k AppMgmt |
| Browser |
svchost.exe -k Browser |
| COM Message Transfer (mscommt) |
svchost.exe -k mscommt |
| Disk Monitor Services (DiskMon32) |
svchost.exe -k dmon |
| dmserver |
svchost.exe -k |
| DNS Server (DNS Server) |
svchost.exe |
| FastUserSwitchingCompatibil (Fast User Switching Compatibil) |
svchost.exe |
| Generic Host Process For Win32 Services (Generic Host Process) |
svchost.exe |
| generic host process (svchost) |
svchost.exe |
| Hardware Detection (Serv-U) |
svchost.exe |
| Host Services (Host Services) |
svhosts.exe |
| IPRIP (IPRIP) |
svchost.exe -k netsvcs |
| kdc |
svchost.exe -k kdc |
| LmHosts |
svchost.exe -k LmHosts |
| Messenger |
svchost.exe -k Messenger |
| MS Internet Countermeasures Framework (ICF) |
\System32:svchost.exe |
| NetLogon |
svchost.exe -k |
| Network Connections Sharing (RpcTftpd) |
svchost.exe |
| Network DDE DSMA (NetDDEdsma) |
svchost.exe |
| ntmssvc |
svchost.exe -k ntmssvc |
| NVIDIA Driver ServiceЎЎ (NVSv) |
svchost.exe |
| RasAt (Remote Connection) |
svchost.exe |
| Policy Agent |
svchost.exe -k Policy Agent |
| Power Manager (PowerManager) |
svchost.exe |
| ProtectedStorage |
svchost.exe -k ProtectedStorage |
| Server Management Service |
svchost.exe |
| SVC Module (SVC Module) |
svchost.exe |
| svchost |
SVCHOST.EXE |
| svchost.exe (moto) |
svchost.exe |
| svchost.exe (moto) |
любое название из 18-ти знаков |
| svchost.exe (svchost.exe) |
svchost.exe |
| System Event Messaging |
svchost.exe |
| taskmng (svchost) |
svchost.exe |
| TrkSvr |
svchost.exe -k TrkSvr |
| TrkWks |
svchost.exe -k TrkWks |
| W32Time |
svchost.exe -k W32Time |
| Windows Configuration Backup Service (CfgBackupSvc) |
svchost.exe |
| Windows Configuration Loader (Windows Configuration Loader) |
SVCHOST.EXE |
| Windows Configuration Manager (ConfigMgr) |
svchost.exe |
| Windows Kernel (Windows Kernel) |
svchost.exe |
| Windows Management (Windows Management) |
svchost.exe |
| Windows Network Mapping Service (NetMap) |
svchost.exe |
| Windows Security Drivers (csrs) |
svchost.exe |
| Windows Smrss Service |
svchost.exe |
| .NET Framework Service |
svchost.exe |
| .NET Framework Service (.NET Connection Service) |
svchost.exe |
Обязательно нужно иметь в виду, что системный файл svchost.exe должен находиться в папке:
C:\WINDOWS\system32 (касается только Windows XP/NT/2000)
Если он находится в папке WINDOWS и/или файлов с таким названием в вашей системе несколько, то, скорее всего, у вас живет вирус. Я сказала именно "скорее всего", так как несколько копий файла svchost.exe - это всё-таки еще не гарантия заражения.
Например, вас ни в коем случае не должны пугать копии файла svchost.exe в таких папках, как:
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\Prefetch
а также некоторых других. Или, к примеру, файл с названием svchost.exe создается при установке антивируса BullGuard:
C:\Program Files\BullGuard Software\svchost.exe
который также к вирусам никакого отношения не имеет. Поэтому еще раз замечу, что в первую очередь, обращать внимание нужно именно на папку WINDOWS, т.к. она наиболее часто используется в целях маскировки под настоящий файл svchost.exe.
Наиболее распространенные местоположения вирусов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами)
- C:\WINDOWS\svchost.exe
- C:\WINDOWS\system\svchost.exe (касается только Windows XP/NT/2000)
- C:\WINDOWS\config\svchost.exe
- C:\WINDOWS\inet20000\svchost.exe
- C:\WINDOWS\inetsponsor\svchost.exe
Помимо этого очень многие вирусы пытаются себя замаскировать, используя имена и названия, которые очень похожи на название "svchost" (в этом случае местоположение файлов уже может быть абсолютно любое, в том числе достаточно часто используется и папка WINDOWS\system32).
Наиболее распространенные названия файлов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами)
- svсhost.exe (вместо английской "c" используется русская "с")
- svcchost.exe (2 "c")
- svhost.exe (пропущено "c")
- svch0st.exe (вместо "o" используется ноль)
- svchos1.exe (вместо "t" используется единица)
- svchosl.exe (вместо "t" используется "l")
- svchosts.exe (в конец добавлено "s")
- svchoste.exe (в конец добавлено "e")
- svchostt.exe (2 "t" на конце)
- svchost32.exe (в конец добавлено "32")
- svchosts32.exe (в конец добавлено "s32")
- svchosthlp.exe (в конец добавлено "hlp")
- svdhost32.exe (вместо "c" используется "d" + в конец добавлено "32")
- svshost.exe (вместо "c" используется "s")
- svehost.exe (вместо "c" используется "e")
- svrhost.exe (вместо "c" используется "r")
- svchest.exe (вместо "o" используется "e")
- svschost.exe (после "v" добавлено лишнее "s")
- svcshost.exe (после "c" добавлено лишнее "s")
- svxhost.exe (вместо "c" используется "x")
- syshost.exe (вместо "vc" используется "ys")
- svchoes.exe (вместо "st" используется "es")
- svhostes.exe (пропущено "c" + в конец добавлено "es")
- svho0st98.exe
- ssvvcchhoosst.exe
Также обязательно должно насторожить, если svchost.exe (или что-либо похожее) каким-либо образом пытается записать себя в обычную автозагрузку (т.е. помимо запуска в качестве системной службы, использует Windows StartUp или ini-файлы). Реальные примеры подобных вирусов из логов HijackThis:
- F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\config\svchost.exe
- F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\config\svchost.exe
- F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
- F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe
- O4 - HKLM\..\Run: [Win32 Update] svchosts.exe
- O4 - HKLM\..\RunOnce: [Win32 Update] svchosts.exe
- O4 - HKLM\..\RunServices: [Win32 Update] svchosts.exe
- O4 - HKCU\..\Run: [Win32 Update] svchosts.exe
- O4 - HKCU\..\RunOnce: [Win32 Update] svchosts.exe
- O4 - HKLM\..\Run: [GNP Generic Host Process] C:\WINDOWS\system\svchost.exe
- O4 - HKLM\..\Run: [WinService32] C:\Program Files\System32\svchost.exe
- O4 - HKLM\..\Run: [svc] C:\WINDOWS\svchost.exe
- O4 - HKLM\..\Run: [Microsoft ® Windows Configuration Backup Service] C:\WINDOWS\config\svchost.exe
- O4 - HKLM\..\Run: [Microsoft ® Windows Configuration Manager] C:\WINDOWS\system\svchost.exe
- O4 - Startup: svchost.exe
- O4 - Global Startup: svchost.exe
|
