Вопросы и Ответы    Программы    Обзоры
Поиск  
     

Процесс Svchost.exe - вирус или нет? Как не ошибиться?

Опубликовано: 30 января 2012,  Издатель: ©

Одним из первых процессов, который обращает на себя внимание любого новичка, открывшего Диспетчер задач Windows, становится svсhost.exe. Здесь играет свою роль и то, что пользователь мог слышать о вирусах, маскирующихся под этот процесс, и то, что данный процесс даже в норме может быть запущен многократно, и то, что траффик через него идет вполне серьезный, и ресурсов ПК он может потреблять значимое количество. А вообще, я помню настоящую истерию, когда любой процесс с таким именем воспринимался многими, как вирус в ста случаях из ста – вот, что делала с людской психикой эпидемия Kido.

Как видите, процессов svchost.exe в этой системе довольно много

Что такое svchost.exe

В действительности же, svchost.exe – это один из важнейших процессов ОС Windows, являющийся главным для служб, которые загружаются из динамических библиотек. Встречается он, на момент написания статьи, в следующих официально выпущенных ОС семейства Microsoft Windows: 2000, XP, Vista, 7. С помощью данного процесса выполняется запуск многих системных служб, которые участвуют в работе сервисов операционной системы. Почему запускается так много копий svchost.exe? Дело в том, что каждая из них может отвечать за одну или несколько служб. Группирование служб определяется по данным ветки реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost. Оттого и количество процессов с этим именем варьируется в достаточно широких пределах. Именно из-за этого маскировка вирусов под этот системный процесс достаточно популярна и по сей день. Давайте попробуем разобраться, как отличить реальный процесс svchost.exe от вируса, который самым беспардонным образом маскируется под него.

Схожие названия должны вас насторожить

Некоторые вирусы имеют не полностью аналогичные, а просто схожие названия с системным процессом svchost. Обнаружить их проще всего. Вирусописатели изменяют 1-2 буквы или меняют их местами, как китайские умельцы, подделывающие кроссовки Adidas, но "не знающие" как пишется название этого бренда. Так появляются различные svhost.exe, svchosts.exe или svshost.exe. Вариантов довольно много. Лично мне в моей практике встречалось более десятка. Их достаточно непросто обнаружить при беглом просмотре списка процессов в стандартном диспетчере задач Windows, однако если пользователь знает, что искать, то это вполне реально. Обнаружив такого гостя в своей системе, можно с вероятностью 99,9% быть уверенным, что данный процесс – вирус. Поэтому можно смело его убить.

Настоящий svchost.exe имеет четкую прописку

Файл Svchost.exe имеет четкое положение на диске в системе. В 32-битных ОС он располагается в папке %SystemRoot%\System32. В случае, если у вас установлена 64-битная Windows искать данный файл следует в %SystemRoot%\SysWOW64. Не хочется путать читателей, но необходимо отметить, что копии данного файла также могут содержаться в следующих директориях:

  • C:\WINDOWS\Prefetch
  • C:\WINDOWS\ServicePackFiles\i386
  • С:\WINDOWS\winsxs\[длинное_имя_папки]

В стандартном диспетчере задач Windows нет возможности определить файл, из которого запущен тот или иной процесс. Только в Диспетчер задач ОС Windows 7 встроена возможность отображать путь к файлу без дополнительного программного обеспечения. Здесь можно настроить показ дополнительной колонки, которая называется «Путь к образу» (делается через меню «Вид») или через контекстное меню, появляющеся при клике правой кнопкой мыши на интересующем процессе (нужно выбрать пункт «Открыть место хранения файла»).

Process Explorer

Тем у кого на ПК стоит более старая версия Windows не стоит расстраиваться. Воспользуйтесь для проверки пути к файлу svchost.exe дополнительными инструментами. Самый распространенный из тех, что я бы предложил вам попробовать – Process Explorer. Однако есть приложения не хуже. Например, AnVir Task Manager, который покажет не только путь к файлу запущенного процесса, но и даже завязанные на каждую копию svchost.exe сервисы. Оба бесплатны, поэтому выбирайте любой.

AnVir Task Manager

В том случае, если процесс запущен не из перечисленных выше папок, то это с высокой степенью вероятности будет вирус. Есть ряд приложений, которые используют копии данного файла, находящиеся в других директориях, но это, скорее, казуистика.

Автора! Автора!

Многое о процессе svchost.exe может сказать имя его родителя – того, кто его запустил. Нужно помнить, что настоящий системный svchost.exe не запускается от имени пользователя. Он может быть запущен от имени SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Эти данные видны в столбце «Имя пользователя» в Диспетчере задач.

Кроме того, «правильный» svchost.exe запускается исключительно с помощью механизма системных сервисов. Он не запускается из раздела Run системного реестра и никоим образом не может оказаться в списке автозагрузки системной утилиты msconfig.

Тяжелый случай или если друг оказался вдруг…

Большинство вирусописателей отнюдь не дураки. Поэтому все вышеописанные способы маскировки вирусов под системный процесс svchost.exe, сравнительно легко распознаваемые даже не самыми опытными пользователями, не являются апофеозом искусства изготовления вредоносного ПО. Ряд вирусов заражают непосредственно сам системный файл svchost.exe, модифицируя его. Вирусное тело включается в этот файл, что часто приводит к различным ошибкам, которые указывают на файл svchost.exe. Часто такие измененные файлы начинают потреблять подозрительно много системных ресурсов (та ситуация, когда svchost грузит процессор - до 100% его ресурсов и т.п.) или сетевого трафика (легко спутать с различными автоматическими обновлениями). С абсолютной уверенностью опознать в таких файлах вирус может только антивирусная проверка.

Лечение

Из-за большого разнообразия вредоносных программ, которые используют данный системный файл, универсального лечения не существует. Процессы, которые однозначно идентифицированы нами, как вирусы, - должны быть завершены, а файлы, которые их запускали, помещены в карантин или удалены. Это может быть сделано с помощью упомянутых выше AnVir Task Manager и Process Explorer. Наилучшим лечением будет адекватная и полная проверка системы антивирусом с актуальной базой. Не стоит также забывать про резидентную защиту от вирусов.

 Статью написал Павел Данилов - специально для портала www.cdmail.ru

***

Рейтинг и отзывы о статье:

Текущая оценка статьи: 5 из 5 баллов  

Читать комментарии (6) / Оценить. Написать комментарий

***

Сервис  |  Карта сайта  |  RSS  |  Контакты  |  Реклама      Copyright © cdmail.ru
Яндекс.Метрика