SVCHOST.EXE

(Generic Host Process for Win32 Services)

Очень часто у пользователей возникает вопрос - что это за приложение "svchost.exe", наблюдаемое ими в списке процессов, и почему оно загружено в нескольких экземплярах?..


SVCHOST.EXE - это главный системный процесс для тех служб, которые запускаются из динамически загружаемых библиотек (DLL-файлов).
И действительно несколько экземпляров процесса svchost.exe могут быть запущены одновременно (но с разными PID*). Так как каждый из таких экземпляров представляет собой определенную преимущественно системную службу или же группу служб. Эти группы определены в следующем разделе реестра:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SvcHost
Каждый параметр этого раздела представляет собой отдельную Svchost-группу и отображается при просмотре активных процессов, как отдельный экземпляр svchost.exe.
Также, чтобы просмотреть список служб, выполняющихся в каком-либо процессе svchost.exe, можно сделать следующее:
Start > Run (Пуск > Выполнить)
Вписываем: CMD
Нажимаем ОК или клавишу ENTER.
В появившемся приложении вводим команду: tasklist /SVC
И нажимаем на клавишу ENTER.

tasklist


Список служб Windows XP, запускаемых с помощью svchost.exe:
(т.е. эти службы не являются вирусами!)
Английское названиеРусское название
AlerterОповещатель
Application ManagementУправление приложениями
Automatic UpdatesАвтоматическое обновление
Background Intelligent Transfer ServiceФоновая интеллектуальная служба передачи
Bluetooth Support Service 
COM+ Event SystemСистема событий COM+
Computer BrowserОбозреватель компьютеров
Cryptographic ServicesСлужбы криптографии
DCOM Server Process Launcher 
DHCP ClientDHCP-клиент
Distributed Link Tracking ClientКлиент отслеживания изменившихся связей
DNS ClientDNS-клиент
Error Reporting ServiceСлужба регистрации ошибок
Fast User Switching CompatibilityСовместимость быстрого переключения пользователей
Help and SupportСправка и поддержка
HTTP SSL 
Human Interface Device AccessДоступ к HID-устройствам
Logical Disk ManagerДиспетчер логических дисков
MessengerСлужба сообщений
Network ConnectionsСетевые подключения
Network Location Awareness (NLA)Служба сетевого расположения (NLA)
Network Provisioning Service 
Portable Media Serial Number ServiceСерийный номер переносного медиа-устройства
Remote Access Auto Connection ManagerДиспетчер авто-подключений удаленного доступа
Remote Access Connection ManagerДиспетчер подключений удаленного доступа
Remote Procedure Call (RPC)Удаленный вызов процедур (RPC)
Remote RegistryУдаленный реестр
Removable StorageСъемные ЗУ
Routing and Remote AccessМаршрутизация и удаленный доступ
Secondary LogonВторичный вход в систему
Security CenterЦентр обеспечения безопасности
ServerСервер
Shell Hardware DetectionОпределение оборудования оболочки
SSDP Discovery ServiceСлужба обнаружения SSDP
System Event NotificationУведомление о системных событиях
System Restore ServiceСлужба восстановления системы
Task SchedulerПланировщик заданий
TCP/IP NetBIOS HelperМодуль поддержки NetBIOS через TCP/IP
TelephonyТелефония
Terminal ServicesСлужбы терминалов
ThemesТемы
Universal Plug and Play Device HostУзел универсальных PnP-устройств
Upload ManagerДиспетчер отгрузки
WebClientВеб-клиент
Windows AudioWindows Audio
Windows Firewall/Internet Connection Sharing (ICS)Брандмауэр Интернета (ICF)/Общий доступ к Интернету (ICS)
Windows Image Acquisition (WIA)Служба загрузки изображений (WIA)
Windows Management InstrumentationИнструментарий управления Windows
Windows Management Instrumentation Driver ExtensionsРасширения драйверов WMI
Windows TimeСлужба времени Windows
Wireless Zero ConfigurationБеспроводная настройка
WorkstationРабочая станция
Список "левых" служб, ссылающихся на svchost.exe:
(т.е. эти службы были созданы вирусами!)
Название службыКомандная строка
AppMgmtsvchost.exe -k AppMgmt
Browsersvchost.exe -k Browser
COM Message Transfer (mscommt)svchost.exe -k mscommt
Disk Monitor Services (DiskMon32)svchost.exe -k dmon
dmserversvchost.exe -k
DNS Server (DNS Server)svchost.exe
FastUserSwitchingCompatibil (Fast User Switching Compatibil)svchost.exe
Generic Host Process For Win32 Services (Generic Host Process)svchost.exe
generic host process (svchost)svchost.exe
Hardware Detection (Serv-U)svchost.exe
Host Services (Host Services)svhosts.exe
IPRIP (IPRIP)svchost.exe -k netsvcs
kdcsvchost.exe -k kdc
LmHostssvchost.exe -k LmHosts
Messengersvchost.exe -k Messenger
MS Internet Countermeasures Framework (ICF)\System32:svchost.exe
NetLogonsvchost.exe -k
Network Connections Sharing (RpcTftpd)svchost.exe
Network DDE DSMA (NetDDEdsma)svchost.exe
ntmssvcsvchost.exe -k ntmssvc
NVIDIA Driver ServiceЎЎ (NVSv)svchost.exe
RasAt (Remote Connection)svchost.exe
Policy Agentsvchost.exe -k Policy Agent
Power Manager (PowerManager)svchost.exe
ProtectedStoragesvchost.exe -k ProtectedStorage
Server Management Servicesvchost.exe
SVC Module (SVC Module)svchost.exe
svchostSVCHOST.EXE
svchost.exe (moto)svchost.exe
svchost.exe (moto)любое название из 18-ти знаков
svchost.exe (svchost.exe)svchost.exe
System Event Messagingsvchost.exe
taskmng (svchost)svchost.exe
TrkSvrsvchost.exe -k TrkSvr
TrkWkssvchost.exe -k TrkWks
W32Timesvchost.exe -k W32Time
Windows Configuration Backup Service (CfgBackupSvc)svchost.exe
Windows Configuration Loader (Windows Configuration Loader)SVCHOST.EXE
Windows Configuration Manager (ConfigMgr)svchost.exe
Windows Kernel (Windows Kernel)svchost.exe
Windows Management (Windows Management)svchost.exe
Windows Network Mapping Service (NetMap)svchost.exe
Windows Security Drivers (csrs)svchost.exe
Windows Smrss Servicesvchost.exe
.NET Framework Servicesvchost.exe
.NET Framework Service (.NET Connection Service)svchost.exe
__________________


Обязательно нужно иметь в виду, что системный файл svchost.exe должен находиться в папке:
C:\WINDOWS\system32 (касается только Windows XP/NT/2000)
Если он находится в папке WINDOWS и/или файлов с таким названием в вашей системе несколько, то, скорее всего, у вас живет вирус.
Я сказала именно "скорее всего", так как несколько копий файла svchost.exe - это всё-таки еще не гарантия заражения.
Например, вас ни в коем случае не должны пугать копии файла svchost.exe в таких папках, как:
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\Prefetch
а также некоторых других.
Или, к примеру, файл с названием svchost.exe создается при установке антивируса BullGuard:
C:\Program Files\BullGuard Software\svchost.exe
который также к вирусам никакого отношения не имеет.
Поэтому еще раз замечу, что впервую очередь, обращать внимание нужно именно на папку WINDOWS, т.к. она наиболее часто используется в целях маскировки под настоящий файл svchost.exe.


Наиболее распространенные местоположения вирусов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами)
C:\WINDOWS\svchost.exe
C:\WINDOWS\system\svchost.exe (касается только Windows XP/NT/2000)
C:\WINDOWS\config\svchost.exe
C:\WINDOWS\inet20000\svchost.exe
C:\WINDOWS\inetsponsor\svchost.exe

Помимо этого очень многие вирусы пытаются себя замаскировать, используя имена и названия, которые очень похожи на название "svchost" (в этом случае местоположение файлов уже может быть абсолютно любое, в том числе достаточно часто используется и папка WINDOWS\system32).


Наиболее распространенные названия файлов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами)
svсhost.exe (вместо английской "c" используется русская "с")
svcchost.exe (2 "c")
svhost.exe (пропущено "c")
svch0st.exe (вместо "o" используется ноль)
svchos1.exe (вместо "t" используется единица)
svchosl.exe (вместо "t" используется "l")
svchosts.exe (в конец добавлено "s")
svchoste.exe (в конец добавлено "e")
svchostt.exe (2 "t" на конце)
svchost32.exe (в конец добавлено "32")
svchosts32.exe (в конец добавлено "s32")
svchosthlp.exe (в конец добавлено "hlp")
svdhost32.exe (вместо "c" используется "d" + в конец добавлено "32")
svshost.exe (вместо "c" используется "s")
svehost.exe (вместо "c" используется "e")
svrhost.exe (вместо "c" используется "r")
svchest.exe (вместо "o" используется "e")
svschost.exe (после "v" добавлено лишнее "s")
svcshost.exe (после "c" добавлено лишнее "s")
svxhost.exe (вместо "c" используется "x")
syshost.exe (вместо "vc" используется "ys")
svchoes.exe (вместо "st" используется "es")
svhostes.exe (пропущено "c" + в конец добавлено "es")
svho0st98.exe
ssvvcchhoosst.exe


Также обязательно должно насторожить, если svchost.exe (или что-либо похожее) каким-либо образом пытается записать себя в обычную автозагрузку (т.е. помимо запуска в качестве системной службы, использует Windows StartUp или ini-файлы). Реальные примеры подобных вирусов из логов HijackThis:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\config\svchost.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\config\svchost.exe
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Win32 Update] svchosts.exe
O4 - HKLM\..\RunOnce: [Win32 Update] svchosts.exe
O4 - HKLM\..\RunServices: [Win32 Update] svchosts.exe
O4 - HKCU\..\Run: [Win32 Update] svchosts.exe
O4 - HKCU\..\RunOnce: [Win32 Update] svchosts.exe
O4 - HKLM\..\Run: [GNP Generic Host Process] C:\WINDOWS\system\svchost.exe
O4 - HKLM\..\Run: [WinService32] C:\Program Files\System32\svchost.exe
O4 - HKLM\..\Run: [svc] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Microsoft ® Windows Configuration Backup Service] C:\WINDOWS\config\svchost.exe
O4 - HKLM\..\Run: [Microsoft ® Windows Configuration Manager] C:\WINDOWS\system\svchost.exe
O4 - Startup: svchost.exe
O4 - Global Startup: svchost.exe


В лечении подобных случаев может быть очень полезен: SDFix.
______________
* PID - идентификатор процесса.

Автор: Saule
2007

         Вернуться к списку статей | На главную