Svchost.exe (generic host process for win32 services)
Дуже часто у користувачів виникає питання - що це за додаток "svchost.exe", Що спостерігається ними в списку процесів, і чому воно завантажено в декількох примірниках?
SVCHOST.EXE - це головний системний процес для тих служб, які запускаються з динамічно завантажуваних бібліотек (DLL-файлів).
І дійсно кілька примірників процесу svchost.exe можуть бути запущені одночасно (але з різними PID *). Так як кожен з таких екземплярів є певною переважно системну службу або ж групу служб. Ці групи визначені в наступному розділі реєстру:
HKLM SOFTWARE Microsoft WindowsNT CurrentVersion SvcHost
Кожен параметр цього розділу є окремою Svchost-групу і відображається при перегляді активних процесів, як окремий екземпляр svchost.exe.
Також, щоб переглянути список служб, що виконуються в будь-якому процесі svchost.exe, можна зробити наступне:
Start gt; Run (Пуск gt; виконати)
вписуємо: CMD
Натискаємо ОК або клавішу ENTER.
У який з`явився додатку вводимо команду: tasklist / SVC
І натискаємо на клавішу ENTER.
Список служб Windows XP, що запускаються за допомогою svchost.exe:
(Тобто ці служби не є вірусами!)
| англійська назва | Російська назва |
|---|---|
| Alerter | оповіщувач |
| Application Management | управління додатками |
| Automatic Updates | автоматичне оновлення |
| Background Intelligent Transfer Service | Фонова інтелектуальна служба передачі |
| Bluetooth Support Service | |
| COM + Event System | Система подій COM + |
| Computer Browser | оглядач комп`ютерів |
| Cryptographic Services | служби криптографії |
| DCOM Server Process Launcher | |
| DHCP Client | DHCP-клієнт |
| Distributed Link Tracking Client | Клієнт відстеження зв`язків, що змінилися |
| DNS Client | DNS-клієнт |
| Error Reporting Service | Служба реєстрації помилок |
| Fast User Switching Compatibility | Сумісність швидкого перемикання користувачів |
| Help and Support | Довідка та підтримка |
| HTTP SSL | |
| Human Interface Device Access | Доступ до HID-пристроїв |
| Logical Disk Manager | Диспетчер логічних дисків |
| Messenger | служба повідомлень |
| Network Connections | Мережеві підключення |
| Network Location Awareness (NLA) | Служба мережевого розташування (NLA) |
| Network Provisioning Service | |
| Portable Media Serial Number Service | Серійний номер переносного медіа-пристрою |
| Remote Access Auto Connection Manager | Диспетчер авто-підключень віддаленого доступу |
| Remote Access Connection Manager | Диспетчер підключень віддаленого доступу |
| Remote Procedure Call (RPC) | Віддалений виклик процедур (RPC) |
| Remote Registry | віддалений реєстр |
| Removable Storage | знімні ЗУ |
| Routing and Remote Access | Маршрутизація та віддалений доступ |
| Secondary Logon | Вторинний вхід в систему |
| Security Center | Центр забезпечення безпеки |
| Server | сервер |
| Shell Hardware Detection | Визначення устаткування оболонки |
| SSDP Discovery Service | Служба виявлення SSDP |
| System Event Notification | Повідомлення про системні події |
| System Restore Service | Служба відновлення системи |
| Task Scheduler | Планувальник завдань |
| TCP / IP NetBIOS Helper | Модуль підтримки NetBIOS через TCP / IP |
| Telephony | телефонія |
| Terminal Services | служби терміналів |
| Themes | теми |
| Universal Plug and Play Device Host | Вузол універсальних PnP-пристроїв |
| Upload Manager | Диспетчер відвантаження |
| WebClient | Веб-клієнт |
| Windows Audio | Windows Audio |
| Windows Firewall / Internet Connection Sharing (ICS) | Брандмауер Інтернету (ICF) / Загальний доступ до Інтернету (ICS) |
| Windows Image Acquisition (WIA) | Служба завантаження зображень (WIA) |
| Windows Management Instrumentation | Інструментарій управління Windows |
| Windows Management Instrumentation Driver Extensions | Розширення драйверів WMI |
| Windows Time | Служба часу Windows |
| Wireless Zero Configuration | Бездротова настройка |
| Workstation | Робоча станція |
Список "лівих" служб, що посилаються на svchost.exe:
(Тобто ці служби були створені вірусами!)
| Назва служби | Командна строка |
|---|---|
| AppMgmt | svchost.exe -k AppMgmt |
| Browser | svchost.exe -k Browser |
| COM Message Transfer (mscommt) | svchost.exe -k mscommt |
| Disk Monitor Services (DiskMon32) | svchost.exe -k dmon |
| dmserver | svchost.exe -k |
| DNS Server (DNS Server) | svchost.exe |
| FastUserSwitchingCompatibil (Fast User Switching Compatibil) | svchost.exe |
| Generic Host Process For Win32 Services (Generic Host Process) | svchost.exe |
| generic host process (svchost) | svchost.exe |
| Hardware Detection (Serv-U) | svchost.exe |
| Host Services (Host Services) | svhosts.exe |
| IPRIP (IPRIP) | svchost.exe -k netsvcs |
| kdc | svchost.exe -k kdc |
| LmHosts | svchost.exe -k LmHosts |
| Messenger | svchost.exe -k Messenger |
| MS Internet Countermeasures Framework (ICF) | System32: svchost.exe |
| NetLogon | svchost.exe -k |
| Network Connections Sharing (RpcTftpd) | svchost.exe |
| Network DDE DSMA (NetDDEdsma) | svchost.exe |
| ntmssvc | svchost.exe -k ntmssvc |
| NVIDIA Driver ServiceЎЎ (NVSv) | svchost.exe |
| RasAt (Remote Connection) | svchost.exe |
| Policy Agent | svchost.exe -k Policy Agent |
| Power Manager (PowerManager) | svchost.exe |
| ProtectedStorage | svchost.exe -k ProtectedStorage |
| Server Management Service | svchost.exe |
| SVC Module (SVC Module) | svchost.exe |
| svchost | SVCHOST.EXE |
| svchost.exe (moto) | svchost.exe |
| svchost.exe (moto) | будь-яка назва з 18-ти знаків |
| svchost.exe (svchost.exe) | svchost.exe |
| System Event Messaging | svchost.exe |
| taskmng (svchost) | svchost.exe |
| TrkSvr | svchost.exe -k TrkSvr |
| TrkWks | svchost.exe -k TrkWks |
| W32Time | svchost.exe -k W32Time |
| Windows Configuration Backup Service (CfgBackupSvc) | svchost.exe |
| Windows Configuration Loader (Windows Configuration Loader) | SVCHOST.EXE |
| Windows Configuration Manager (ConfigMgr) | svchost.exe |
| Windows Kernel (Windows Kernel) | svchost.exe |
| Windows Management (Windows Management) | svchost.exe |
| Windows Network Mapping Service (NetMap) | svchost.exe |
| Windows Security Drivers (csrs) | svchost.exe |
| Windows Smrss Service | svchost.exe |
| .NET Framework Service | svchost.exe |
| .NET Framework Service (.NET Connection Service) | svchost.exe |
Обов`язково потрібно мати на увазі, що системний файл svchost.exe повинен знаходитися в папці:
C: WINDOWS system32 (Стосується тільки Windows XP / NT / 2000)
Якщо він знаходиться в папці WINDOWS і / або файлів з такою назвою у вашій системі декілька, то, швидше за все, у вас живе вірус. Я сказала саме "швидше за все", так як кілька копій файлу svchost.exe - це все-таки ще не гарантія зараження.
Наприклад, вас ні в якому разі не повинні лякати копії файлу svchost.exe в таких папках, як:
C: WINDOWS ServicePackFiles i386
C: WINDOWS Prefetch
а також деяких інших. Або, наприклад, файл з назвою svchost.exe створюється при установці антивіруса BullGuard:
C: Program Files BullGuard Software svchost.exe
Відео: Generic Host Process For Win32 Services [Fixed] 100% Working
який також до вірусів ніякого відношення не має. Тому ще раз зауважу, що в першу чергу, звертати увагу потрібно саме на папку WINDOWS, тому вона найбільш часто використовується в цілях маскування під справжнє файл svchost.exe.
Найбільш поширені місця розташування вірусів, що маскуються під svchost.exe:
(Тобто ці файли на 99% були створені вірусами)
C: WINDOWS svchost.exe
C: WINDOWS system Svchost.exe (стосується тільки Windows XP / NT / 2000)
C: WINDOWS config svchost.exe
C: WINDOWS inet20000 svchost.exe
C: WINDOWS inetsponsor svchost.exe
Крім цього дуже багато вірусів намагаються себе замаскувати, використовуючи імена і назви, які дуже схожі на назву "svchost"(В цьому випадку місце розташування файлів вже може бути абсолютно будь-який, в тому числі досить часто використовується і папка WINDOWS system32)
Найбільш поширені назви файлів, що маскуються під svchost.exe:
(Тобто ці файли на 99% були створені вірусами)
svзhost.exe (замість англійської "c" використовується російська "з")
svcchost.exe (2 "c")
svhost.exe (пропущено "c")
svch0st.exe (замість "o" використовується нуль)
svchos1.exe (замість "t" використовується одиниця)
svchosl.exe (замість "t" використовується "l")
svchosts.exe (до кінця додано "s")
svchoste.exe (до кінця додано "e")
svchostt.exe (2 "t" на кінці)
svchost32.exe (до кінця додано "32")
svchosts32.exe (до кінця додано "s32")
svchosthlp.exe (до кінця додано "hlp")
svdhost32.exe (замість "c" використовується "d" + в кінець додано "32")
svshost.exe (замість "c" використовується "s")
svehost.exe (замість "c" використовується "e")
svrhost.exe (замість "c" використовується "r")
svchest.exe (замість "o" використовується "e")
svschost.exe (після "v" додано зайве "s")
svcshost.exe (після "c" додано зайве "s")
svxhost.exe (замість "c" використовується "x")
syshost.exe (замість "vc" використовується "ys")
svchoes.exe (замість "st" використовується "es")
svhostes.exe (пропущено "c" + в кінець додано "es")
svho0st98.exe
ssvvcchhoosst.exe
Також обов`язково повинно насторожити, якщо svchost.exe (або що-небудь схоже) будь-яким чином намагається записати себе в звичайну автозагрузку (тобто крім запуску в якості системної служби, використовує Windows StartUp або ini-файли). Реальні приклади подібних вірусів з логів HijackThis:
F2 - REG: system.ini: UserInit = C: WINDOWS System32 userinit.exe, C: WINDOWS config svchost.exe
F2 - REG: system.ini: Shell = Explorer.exe C: WINDOWS config svchost.exe
F2 - REG: system.ini: Shell = Explorer.exe scvhost.exe
F3 - REG: win.ini: run = C: WINDOWS scvhost.exe
O4 - HKLM .. Run: [Win32 Update] svchosts.exe
O4 - HKLM .. RunOnce: [Win32 Update] svchosts.exe
O4 - HKLM .. RunServices: [Win32 Update] svchosts.exe
O4 - HKCU .. Run: [Win32 Update] svchosts.exe
O4 - HKCU .. RunOnce: [Win32 Update] svchosts.exe
O4 - HKLM .. Run: [GNP Generic Host Process] C: WINDOWS system svchost.exe
O4 - HKLM .. Run: [WinService32] C: Program Files System32 svchost.exe
O4 - HKLM .. Run: [svc] C: WINDOWS svchost.exe
O4 - HKLM .. Run: [Microsoft ® Windows Configuration Backup Service] C: WINDOWS config svchost.exe O4 - HKLM .. Run: [Microsoft ® Windows Configuration Manager] C: WINDOWS system svchost.exe
O4 - Startup: svchost.exe
O4 - Global Startup: svchost.exe
Відео: Resolvendo o erro Generic Host Process for Win32 services
Команда qprocess - відобразити інформацію про процеси в windows- Служби в windows xp. Відключаємо невикористовувані служби
- Програми автоматично запускаються при завантаженні системи
- Усуваємо "глюки" в windows xp
- Як запустити службу брандмауера windows в windows xp
- Служби в windows xp. Відключаємо невикористовувані служби
- Проблема повільного виключення комп`ютера при встановленій windows xp sp2
Монітор ресурсів
Як знайти вірус у списку процесів windows
Новий диспетчер задач windows 8
Прокачуємо диспетчер задач windows xp
Процес svchost.exe вантажить систему windows 7
Редагуємо автозагрузку в windows 7
Процеси windows. Як знайти і видалити вірусний процес?
Налаштування автозавантаження додатків в операційних системах windows
Процес lsass.exe і чому він вантажить процесор?
Процес svchost.exe є вірусом, як це виявити?
Підозрілі процеси в диспетчері завдань і що з ними робити?
Що таке процес svchost.exe?- Команда query - відображення інформації про сеанси користувачів.
- Команда tasklist - відобразити список завдань на локальному або віддаленому комп`ютері.
Монітор ресурсів
Новий диспетчер задач windows 8
Налаштування автозавантаження додатків в операційних системах windows
Процес svchost.exe є вірусом, як це виявити?