Главная | Пиротехника

Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Процес Svchost.exe - вірус чи ні? Як не помилитися?

  1. Що таке svchost.exe
  2. Схожі назви повинні вас насторожити
  3. Справжній svchost.exe має чітку прописку
  4. Автора! Автора!
  5. Важкий випадок або якщо друг оказался вдруг ...
  6. лікування

30 січня 2012, Павло Данилов

Одним з перших процесів, який звертає на себе увагу будь-якого новачка, який відкрив Диспетчер завдань Windows, стає svсhost.exe. Тут грає свою роль і те, що користувач міг чути про віруси, що маскуються під цей процес, і те, що даний процес навіть в нормі може бути запущений багаторазово, і те, що трафік через нього йде цілком серйозний, і ресурсів ПК він може споживати значуще кількість. А взагалі, я пам'ятаю справжню істерію, коли будь-який процес з таким ім'ям сприймався багатьма, як вірус в ста випадках зі ста - ось, що робила з людською психікою епідемія Kido.

Що таке svchost.exe

Насправді ж, svchost.exe - це один з найважливіших процесів ОС Windows, який є головним для служб, які завантажуються з динамічних бібліотек. Зустрічається він, на момент написання статті, в наступних офіційно випущених ОС сімейства Microsoft Windows: 2000, XP, Vista, 7. За допомогою даного процесу виконується запуск багатьох системних служб, які беруть участь в роботі сервісів операційної системи. Чому запускається так багато копій svchost.exe? Справа в тому, що кожна з них може відповідати за одну або кілька служб. Групування служб визначається за даними гілки реєстру: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \ Svchost. Тому й кількість процесів з цим ім'ям варіюється в досить широких межах. Саме через це маскування вірусів під цей системний процес досить популярна і донині. Давайте спробуємо розібратися, як відрізнити реальний процес svchost.exe від вірусу, який найбезпардоннішим чином маскується під нього.

Схожі назви повинні вас насторожити

Деякі віруси мають не повністю аналогічні, а просто схожі назви з системним процесом svchost. Виявити їх найпростіше. Вірусописьменники змінюють 1-2 букви або міняють їх місцями, як китайські умільці, які підробляють кросівки Adidas, але "не знають" як пишеться назва цього бренду. Так з'являються різні svhost.exe, svchosts.exe або svshost.exe. Варіантів досить багато. Особисто мені в моїй практиці зустрічалося більше десятка. Їх досить непросто виявити при побіжному перегляді списку процесів в стандартному диспетчері завдань Windows, проте якщо користувач знає, що шукати, то це цілком реально. Виявивши такого гостя у своїй системі, можна з ймовірністю 99,9% бути впевненим, що даний процес - вірус. Тому можна сміливо його вбити.

Справжній svchost.exe має чітку прописку

Файл Svchost.exe має чітке положення на диску в системі. У 32-бітних ОС він розташовується в папці% SystemRoot% \ System32. У разі, якщо у вас встановлена ​​64-бітна Windows шукати даний файл слід в% SystemRoot% \ SysWOW64. Не хочеться плутати читачів, але необхідно зазначити, що копії даного файлу також можуть міститися в наступних директоріях:

  • C: \ WINDOWS \ Prefetch
  • C: \ WINDOWS \ ServicePackFiles \ i386
  • З: \ WINDOWS \ winsxs \ [длінное_імя_папкі]

У стандартному диспетчері завдань Windows немає можливості визначити файл, з якого запущений той чи інший процес. Тільки в Диспетчер завдань ОС Windows 7 вбудована можливість відображати шлях до файлу без додаткового програмного забезпечення. Тут можна налаштувати показ додаткової колонки, яка називається «Шлях до образу» (робиться через меню «Вид») або через контекстне меню, появляющеся при натисканні правою кнопкою миші на сюжеті процесі (потрібно вибрати пункт «Відкрити місце зберігання файлу»).

Тим у кого на ПК варто старіша версія Windows не варто засмучуватися. Скористайтеся для перевірки шляху до файлу svchost.exe додатковими інструментами. Найпоширеніший з тих, що я б запропонував вам спробувати - Process Explorer . Однак є програми не гірше. наприклад, AnVir Task Manager , Який покаже не тільки шлях до файлу запущеного процесу, а й навіть зав'язані на кожну копію svchost.exe сервіси. Обидва безкоштовні, тому вибирайте будь-який.

У тому випадку, якщо процес запущений не з перерахованих вище папок, то це з високим ступенем ймовірності буде вірус. Є ряд додатків, які використовують копії даного файлу, що знаходяться в інших директоріях, але це, скоріше, казуїстика.

Автора! Автора!

Багато що про процес svchost.exe може сказати ім'я його батька - того, хто його запустив. Потрібно пам'ятати, що справжній системний svchost.exe не починається від імені користувача. Він може бути запущений від імені SYSTEM, LOCAL SERVICE або NETWORK SERVICE. Ці дані видно в стовпці «Ім'я користувача» в диспетчері завдань.

Крім того, «правильний» svchost.exe запускається виключно за допомогою механізму системних сервісів. Він не запускається з розділу Run системного реєстру і жодним чином не може опинитися в списку автозавантаження системної утиліти msconfig.

Важкий випадок або якщо друг оказался вдруг ...

Більшість вірусів аж ніяк не дурні. Тому всі вищеописані способи маскування вірусів під системний процес svchost.exe, порівняно легко розпізнаються навіть не найбільш досвідченими користувачами, не є апофеозом мистецтва виготовлення шкідливого ПЗ. Ряд вірусів заражають безпосередньо сам системний файл svchost.exe, модифікуючи його. Вірусне тіло включається в цей файл, що часто призводить до різних помилок, які вказують на файл svchost.exe. Часто такі змінені файли починають споживати підозріло багато системних ресурсів (та ситуація, коли svchost вантажить процесор - до 100% його ресурсів і т.п.) або мережевого трафіку (легко сплутати з різними автоматичними оновленнями). З абсолютною впевненістю впізнати в таких файлах вірус може тільки антивірусна перевірка.

лікування

Через великого розмаїття шкідливих програм, які використовують даний системний файл, універсального лікування не існує. Процеси, які однозначно ідентифіковані нами, як віруси, - повинні бути завершені, а файли, які їх запускали, поміщені в карантин або видалені. Це може бути зроблено за допомогою згаданих вище AnVir Task Manager і Process Explorer. Найкращим лікуванням буде адекватна і повна перевірка системи антивірусом з актуальною базою. Не варто також забувати про резидентную захист від вірусів.

Exe?

Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.