SVCHOST.EXE вирус или не вирус

13
Апр
0

svchostЕсли у нас есть подозрение что система заражена вирусами, то мы как правило лезем в диспетчер задач, чтобы проверить список запущенных процессов и убедиться, что среди них нет лишних или подозрительных. Обнаружив в списке запущенных процессов несколько с именем SVCHOST.EXE, некоторые пользователи делают поспешные выводы о заражении системы, хотя на самом деле это может быть не так. Итак, что же такое SVCHOST.EXE и почему его так много…

Полное название этого процесса – Generic Host Process for Win32 Services и представляет он из себя системный процесс, который жизненно необходим для существования Windows, а точнее для тех служб и программ, которые используют, так называемые, динамические или DLL-библиотеки. И наличие в списке запущенных процессов нескольких копий SVCHOST – это абсолютно нормальное явление, поскольку в системе у нас много запущенных служб и программ и в зависимости от их количества, число этих SVCHOST может изменяться от одного до нескольких десятков.

Можно столкнуться с тем, что svchost загружает процессор и систему в целом. Скорее всего это связано с тем, что в системе присутствуют вирусы, которые, например, рассылают спам или генерируют другой трафик, из-за чего процесс svchost действительно активно использует системные ресурсы, но сам svchost в этом случае вирусом не является, он используется вирусом в своих целях и удалять нужно не svchost, а сам вирус. Как правило такая ситуация исправляется сканированием на вирусы, лечением их и последующей установкой брандмауэра для того чтобы избежать таких бед в дальнейшем.

Но действительно, бывают такие ситуации, когда в системе появляются “подделки” под SVCHOST, вирусы которые пытаются маскироваться под этот процесс. Каким образом можно распознать вирус который маскируется под SVCHOST ? Во-первых, системный процесс svchost.exe может быть расположен в папках:

C:\WINDOWS\system32

C:\WINDOWS\ServicePackFiles\i386

C:\WINDOWS\Prefetch

С:\WINDOWS\winsxs\*

Где C:\ – диск куда установлена система, а * – длинное название папки вроде x86_microsoft-windows-s..s-svchost.resources и еще много букв и цифр…

Если же процесс с таким именем находится в любой другой папке, а особенно, если вы обнаружили его в самой папке WINDOWS, то скорее всего ваши подозрения оправданы и вы нашли вирус. Вот несколько вариантов расположения вируса маскирующегося под svchost:

C:\WINDOWS\svchost.exe

C:\WINDOWS\windows\svchost.exe

C:\WINDOWS\drivers\svchost.exe

C:\WINDOWS\config\svchost.exe

C:\WINDOWS\system\svchost.exe

C:\WINDOWS\sistem\svchost.exe

Кроме того возможен еще один вариант маскировки, когда имя файла не соответствует оригинальному svchost, например: в имени процесса вместо английской “c” используется русская “с”, вместо “o” используется ноль, svcchost.exe (2 “c”), svhost.exe (пропущена буква “c”, svchost32.exe (в конец имени добавлено “32″, svchosts.exe (добавлено “s”), svchoste.exe (добавлено “e”) и еще масса вариантов с изменением букв. Так что внимательно прочитайте имя процесса, возможно он только похож названием на оригинальный svchost.

В том случае когда подозрения на заражение системы становятся все сильнее – стоит обновить свой антивирус и провести полную проверку системы. Если мы хотим удалить подозрительный файл, то скорее всего нам придется или перезагрузиться в безопасном режиме или загрузиться с диск с LiveCD или ERD Commander. Рекомендую не удалять подозрительный файл сразу, а перенести его в какою-то временную папку, он может вам пригодиться если ваши подозрения ошибочны и у вас после перемещения файла перестала работать нужная вам программа.

Еще один хороший вариант проверки и лечения зараженной системы – это загрузка с диска Kaspersky Rescue Disk и запуск антивируса с этого диска.

Рубрика: Вирусы
Нет комментариев

Отзывов нет

Комментариев пока нет.

Ваш отзыв

RSS-лента комментариев