LiteNet.Ru - Актуально о ПК и ПО. 2006-2019.
СТАТЬИ | НОВОСТИ | ПРОГРАММЫ | ОБРАТНАЯ СВЯЗЬ | КАРТА САЙТА
Сейчас на сайте: 12 пользователей онлайн
Обновления
Материал Смена паролей на компьютерах в сети с помощью AD [04.09.24]
Материал Установил CentOS 7 как корректно настроить кодировку httpd.conf? [14.07.24]
Материал Установил CentOS 7 как легко и просто настроить ssh доступ? [24.03.24]
Комментарии Спасибо... [17.02.24]
Материал Форма ввода php [08.05.23]
Материал Windows 11 LTSC выйдет во второй половине 2024 года [08.05.23]
Материал Microsoft прекратит выпуск обновлений для Windows 10 [29.04.23]
Комментарии Огромный респект и... [04.10.22]
Комментарии не помогло... [10.07.22]
Комментарии не получается войт... [02.11.21]
Комментарии Да нет в редакторе... [05.10.21]
Комментарии Toshiba Tecra s11 ... [21.07.21]
Комментарии Все получилось, сп... [21.07.21]
Комментарии не сработало... [04.06.21]
Комментарии Доброго времени! У... [27.03.21]
Комментарии У меня этот метод ... [19.03.21]
Комментарии всё испробовал,не ... [17.03.21]
Материал Представлена настоящая зарядка по воздуху Xiaomi Mi Air Charge [31.01.21]
Материал Отныне для запуска WhatsApp на ПК и в браузере требуется биометрия [31.01.21]
Материал Google Chrome 88.0.4324.104 [31.01.21]
Материал Avast Free Antivirus 20.10.5824 [31.01.21]
Материал Яндекс.Браузер 20.12.3.138 [31.01.21]
Материал Maxthon 6.1.1.1000 [31.01.21]
Комментарии Самый лучший брауз... [17.11.20]

RSS

Последние добавленные статьи

Процесс SVCHOST.EXE. Что это такое?
21.02.2013

Решаем вопросОчень часто у пользователей возникает вопрос - что это за приложение "svchost.exe", наблюдаемое ими в списке процессов, и почему оно загружено в нескольких экземплярах?

SVCHOST.EXE - это главный системный процесс для тех служб, которые запускаются из динамически загружаемых библиотек (DLL-файлов).

И действительно несколько экземпляров процесса svchost.exe могут быть запущены одновременно (но с разными PID*). Так как каждый из таких экземпляров представляет собой определенную преимущественно системную службу или же группу служб.

Эти группы определены в следующем разделе реестра:

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SvcHost

Каждый параметр этого раздела представляет собой отдельную Svchost-группу и отображается при просмотре активных процессов, как отдельный экземпляр svchost.exe.

Также, чтобы просмотреть список служб, выполняющихся в каком-либо процессе svchost.exe, можно сделать следующее:

  1.  Start > Run (Пуск > Выполнить)
  2.  Вписываем: CMD
  3.  Нажимаем ОК или клавишу ENTER.
  4.  В появившемся приложении вводим команду: tasklist /SVC
  5.  Нажимаем на клавишу ENTER.

Получим вот такое окно:

SVCHOST в Windows

Список служб Windows XP, запускаемых с помощью svchost.exe (т.е. эти службы не являются вирусами!):

Английское названиеРусское название
Alerter Оповещатель
Application Management Управление приложениями
Automatic Updates Автоматическое обновление
Background Intelligent Transfer Service Фоновая интеллектуальная служба передачи
Bluetooth Support Service  
COM+ Event System Система событий COM+
Computer Browser Обозреватель компьютеров
Cryptographic Services Службы криптографии
DCOM Server Process Launcher  
DHCP Client DHCP-клиент
Distributed Link Tracking Client Клиент отслеживания изменившихся связей
DNS Client DNS-клиент
Error Reporting Service Служба регистрации ошибок
Fast User Switching Compatibility Совместимость быстрого переключения пользователей
Help and Support Справка и поддержка
HTTP SSL  
Human Interface Device Access Доступ к HID-устройствам
Logical Disk Manager Диспетчер логических дисков
Messenger Служба сообщений
Network Connections Сетевые подключения
Network Location Awareness (NLA) Служба сетевого расположения (NLA)
Network Provisioning Service  
Portable Media Serial Number Service Серийный номер переносного медиа-устройства
Remote Access Auto Connection Manager Диспетчер авто-подключений удаленного доступа
Remote Access Connection Manager Диспетчер подключений удаленного доступа
Remote Procedure Call (RPC) Удаленный вызов процедур (RPC)
Remote Registry Удаленный реестр
Removable Storage Съемные ЗУ
Routing and Remote Access Маршрутизация и удаленный доступ
Secondary Logon Вторичный вход в систему
Security Center Центр обеспечения безопасности
Server Сервер
Shell Hardware Detection Определение оборудования оболочки
SSDP Discovery Service Служба обнаружения SSDP
System Event Notification Уведомление о системных событиях
System Restore Service Служба восстановления системы
Task Scheduler Планировщик заданий
TCP/IP NetBIOS Helper Модуль поддержки NetBIOS через TCP/IP
Telephony Телефония
Terminal Services Службы терминалов
Themes Темы
Universal Plug and Play Device Host Узел универсальных PnP-устройств
Upload Manager Диспетчер отгрузки
WebClient Веб-клиент
Windows Audio Windows Audio
Windows Firewall/Internet Connection Sharing (ICS) Брандмауэр Интернета (ICF)/Общий доступ к Интернету (ICS)
Windows Image Acquisition (WIA) Служба загрузки изображений (WIA)
Windows Management Instrumentation Инструментарий управления Windows
Windows Management Instrumentation Driver Extensions Расширения драйверов WMI
Windows Time Служба времени Windows
Wireless Zero Configuration Беспроводная настройка
Workstation Рабочая станция

Список "левых" служб, ссылающихся на svchost.exe (т.е. эти службы были созданы вирусами!):

Название службыКомандная строка
AppMgmt svchost.exe -k AppMgmt
Browser svchost.exe -k Browser
COM Message Transfer (mscommt) svchost.exe -k mscommt
Disk Monitor Services (DiskMon32) svchost.exe -k dmon
dmserver svchost.exe -k
DNS Server (DNS Server) svchost.exe
FastUserSwitchingCompatibil (Fast User Switching Compatibil) svchost.exe
Generic Host Process For Win32 Services (Generic Host Process) svchost.exe
generic host process (svchost) svchost.exe
Hardware Detection (Serv-U) svchost.exe
Host Services (Host Services) svhosts.exe
IPRIP (IPRIP) svchost.exe -k netsvcs
kdc svchost.exe -k kdc
LmHosts svchost.exe -k LmHosts
Messenger svchost.exe -k Messenger
MS Internet Countermeasures Framework (ICF) \System32:svchost.exe
NetLogon svchost.exe -k
Network Connections Sharing (RpcTftpd) svchost.exe
Network DDE DSMA (NetDDEdsma) svchost.exe
ntmssvc svchost.exe -k ntmssvc
NVIDIA Driver ServiceЎЎ (NVSv) svchost.exe
RasAt (Remote Connection) svchost.exe
Policy Agent svchost.exe -k Policy Agent
Power Manager (PowerManager) svchost.exe
ProtectedStorage svchost.exe -k ProtectedStorage
Server Management Service svchost.exe
SVC Module (SVC Module) svchost.exe
svchost SVCHOST.EXE
svchost.exe (moto) svchost.exe
svchost.exe (moto) любое название из 18-ти знаков
svchost.exe (svchost.exe) svchost.exe
System Event Messaging svchost.exe
taskmng (svchost) svchost.exe
TrkSvr svchost.exe -k TrkSvr
TrkWks svchost.exe -k TrkWks
W32Time svchost.exe -k W32Time
Windows Configuration Backup Service (CfgBackupSvc) svchost.exe
Windows Configuration Loader (Windows Configuration Loader) SVCHOST.EXE
Windows Configuration Manager (ConfigMgr) svchost.exe
Windows Kernel (Windows Kernel) svchost.exe
Windows Management (Windows Management) svchost.exe
Windows Network Mapping Service (NetMap) svchost.exe
Windows Security Drivers (csrs) svchost.exe
Windows Smrss Service svchost.exe
.NET Framework Service svchost.exe
.NET Framework Service (.NET Connection Service) svchost.exe

Обязательно нужно иметь в виду, что системный файл svchost.exe должен находиться в папке:

C:\WINDOWS\system32 (касается только Windows XP/NT/2000)

Если он находится в папке WINDOWS и/или файлов с таким названием в вашей системе несколько, то, скорее всего, у вас живет вирус. Я сказала именно "скорее всего", так как несколько копий файла svchost.exe - это всё-таки еще не гарантия заражения.

Например, вас ни в коем случае не должны пугать копии файла svchost.exe в таких папках, как:

C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\Prefetch

а также некоторых других. Или, к примеру, файл с названием svchost.exe создается при установке антивируса BullGuard:

C:\Program Files\BullGuard Software\svchost.exe

который также к вирусам никакого отношения не имеет. Поэтому еще раз замечу, что в первую очередь, обращать внимание нужно именно на папку WINDOWS, т.к. она наиболее часто используется в целях маскировки под настоящий файл svchost.exe.

Наиболее распространенные местоположения вирусов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами)

  • C:\WINDOWS\svchost.exe
  • C:\WINDOWS\system\svchost.exe (касается только Windows XP/NT/2000)
  • C:\WINDOWS\config\svchost.exe
  • C:\WINDOWS\inet20000\svchost.exe
  • C:\WINDOWS\inetsponsor\svchost.exe

Помимо этого очень многие вирусы пытаются себя замаскировать, используя имена и названия, которые очень похожи на название "svchost" (в этом случае местоположение файлов уже может быть абсолютно любое, в том числе достаточно часто используется и папка WINDOWS\system32).

Наиболее распространенные названия файлов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами)

  • svсhost.exe (вместо английской "c" используется русская "с")
  • svcchost.exe (2 "c")
  • svhost.exe (пропущено "c")
  • svch0st.exe (вместо "o" используется ноль)
  • svchos1.exe (вместо "t" используется единица)
  • svchosl.exe (вместо "t" используется "l")
  • svchosts.exe (в конец добавлено "s")
  • svchoste.exe (в конец добавлено "e")
  • svchostt.exe (2 "t" на конце)
  • svchost32.exe (в конец добавлено "32")
  • svchosts32.exe (в конец добавлено "s32")
  • svchosthlp.exe (в конец добавлено "hlp")
  • svdhost32.exe (вместо "c" используется "d" + в конец добавлено "32")
  • svshost.exe (вместо "c" используется "s")
  • svehost.exe (вместо "c" используется "e")
  • svrhost.exe (вместо "c" используется "r")
  • svchest.exe (вместо "o" используется "e")
  • svschost.exe (после "v" добавлено лишнее "s")
  • svcshost.exe (после "c" добавлено лишнее "s")
  • svxhost.exe (вместо "c" используется "x")
  • syshost.exe (вместо "vc" используется "ys")
  • svchoes.exe (вместо "st" используется "es")
  • svhostes.exe (пропущено "c" + в конец добавлено "es")
  • svho0st98.exe
  • ssvvcchhoosst.exe

Также обязательно должно насторожить, если svchost.exe (или что-либо похожее) каким-либо образом пытается записать себя в обычную автозагрузку (т.е. помимо запуска в качестве системной службы, использует Windows StartUp или ini-файлы). Реальные примеры подобных вирусов из логов HijackThis:

  • F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\config\svchost.exe
  • F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\config\svchost.exe
  • F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
  • F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe
  • O4 - HKLM\..\Run: [Win32 Update] svchosts.exe
  • O4 - HKLM\..\RunOnce: [Win32 Update] svchosts.exe
  • O4 - HKLM\..\RunServices: [Win32 Update] svchosts.exe
  • O4 - HKCU\..\Run: [Win32 Update] svchosts.exe
  • O4 - HKCU\..\RunOnce: [Win32 Update] svchosts.exe
  • O4 - HKLM\..\Run: [GNP Generic Host Process] C:\WINDOWS\system\svchost.exe
  • O4 - HKLM\..\Run: [WinService32] C:\Program Files\System32\svchost.exe
  • O4 - HKLM\..\Run: [svc] C:\WINDOWS\svchost.exe
  • O4 - HKLM\..\Run: [Microsoft ® Windows Configuration Backup Service] C:\WINDOWS\config\svchost.exe
  • O4 - HKLM\..\Run: [Microsoft ® Windows Configuration Manager] C:\WINDOWS\system\svchost.exe
  • O4 - Startup: svchost.exe
  • O4 - Global Startup: svchost.exe
Что еще почитать?


Оставленные комментарии:


Всего 0 комментариев


Введите Ваше имя:


Не используйте HTML и ВВ-коды - не работает. Пользуйтесь смайликами :)
Very HappySmileLaughingCoolWinkSurprised
RazzSleepSadShockedEvil or Very MadRolling Eyes

В этом поле Вы можете ввести текст комментария:


До конца всего осталось символов

Код на БОТливость: Код на БОТливость:
Введите код: