Как вычислить вредоносный процесс svchost.exe
Время чтение: 4 минуты 2015-04-01
Какое количество процессов «svchost.exe» должно быть запущенно? На этот вопрос ответить невозможно, так как, в каждом случаи количество запущенных процессов «svchost.exe» разное. Это зависит не только от версии вашей операционной системы, но и от её сборки!
Так как, точного количества процессов узнать невозможно, то этим моментом ни могли воспользоваться создатели вредоносного ПО!
Огромное количество вирусов, троянских программ и прочие вредоносные программы облюбовали процесс «svchost.exe» и, чтобы замаскировать себя в системе, маскируются под этот процесс.
То есть, вредоносные программы запускаются с именем «svchost.exe» и теряются на фоне множества системных процессах с таким же именем. Это приводит к тому, что шансы остаться не замеченным в системе возрастают в несколько раз.
Естественно, если у пользователя возникают подозрения на то, что процесс «svchost.exe» является вредоносным, то первым делом, пользователем будет проскандирован компьютер на наличие вирусов и прочего.
Но, если после проверки антивирусная программа сообщает, что система чистая и вредоносных программ не обнаружено – это может быть не совсем так!
В этом случаи стоит проверить процесс «svchost.exe» вручную. Делается это довольно просто, все что нужно – это знать некоторые моменты о процессе svchost.exe.
1) Процесс всегда запускается из системной папки «System32» Если это ни так, то скорей всего файл с именем svchost.exe является вредоносным.
2) Процесс svchost.exe никогда не запустится от имени пользователя – это нужно помнить. Процесс всегда запускается от «Local Service, Система, Network Service».
Как вы понимаете, если процесс svchost.exe был, запущен от текущего имени пользователя или не из системной папки, то стоит принять меры по проверки подозрительного файла.
Чтобы убедится в том, что запущен оригинальный файл, запустите диспетчер задач и найдите на вкладке «Подробности» список процессов «svchost.exe».
На этом скриншоте все процессы запущены самой же системой, это говорит о том, что, скорее всего среди данного списка вредоносного файла с именем «svchost.exe» нет. Обратите внимание на скриншот ниже…
На этом скриншоте мы видим процесс svchost.exe запущенный от пользователя с именем «SuperUser» Это говорит о том, что данный процесс является с большей степенью вредоносным.
Нужно нажать «ПКМ» где из контекстного меню выбрать «Открыть расположение» откроется проводник Windowsи Вы узнаете полный путь до подозрительного файла! Что делать с ним дальше, думаю это ясно, как день!
Важно знать: Некоторые вирусы непросто используют имя «svchost.exe» для того чтобы скрыть своё присутствие в системе, но и также могут использовать оригинальный файл svchost.exe в своих корыстных целях.
В связи с этим ручная проверка тут результат не даст! Так же выше уже было сказано, что и антивирус может ни дать результата в поиске вируса! Возникает логичный вопрос, что же делать?
Как вариант использовать бесплатный «firewall» среди которых лично я выделяю «comodo firewall» как он может нам помочь? Все просто! Если вирус использующий процесс svchost.
exe вдруг задумает проявить сетевую активность, то пользователь будет об этом осведомлён!
Со скриншота хорошо видно, что файл svchost пытается подключиться к серверу по 80-тому порту, оригинальный файл этого никогда делать не будет, соответственно svchost заражён!
Вы можете оперативно заблокировать доступ в сеть для файла svchost, что будет вполне разумно! Так как в данном случае, есть вероятность передачи конфиденциальных данных, например паролей из браузера на «Gate»
Утечка такой информации сами понимаете, чем может закончиться для Вас!Что делать с заражённым файлом svchost.exe? Так как, от текущего антивируса и ручной проверки толку ровно нуль, то, откройте сайт «virustotal.com» и проверти файл. Кстати, сделайте это, прямя сейчас!
Мой результат такой. Все чистенько! Если бы какой-нибудь антивирус среагировал бы, например «Avast» то, я бы удалил текущий антивирус и установил бы Avast и вылечил бы svchost.exe.
Процесс Svchost.
exe в Windows — определяем вирусБольшинство пользователей Пк, рано или поздно приходят к тому, чтобы ознакомиться с процессами, происходящими на компьютере.
Напомним, чтобы просмотреть название и количество процессов, которые работают на данный момент на вашем ПК, можно увидеть в диспетчере задач, который в свою очередь можно вызвать комбинацией клавиш: Ctrl+Shift+Esc перейдя на вкладку «процессы».
В этом списке их может быть большое количество, название и предназначение которых в данной статье мы рассматривать не будем, а остановимся на процессе- svchost.exe.
Назначение процесса Svchost.exe
Данный процесс может присутствовать во всех версиях Windows, начиная с Windows XP и заканчивая Windows 10. Он управляет службами, связанными с динамическими библиотеками Windows.
Сам процесс svchost.exe помогает снять нагрузку на оперативную память, а также работу процессора,
В службах Windows, файлы с расширением «dll», управляются как раз процессом svchost.
exe, и таких служб может быть довольно много.
Соответственно, в диспетчере задач процессов svchost.exe, может быть столько же, сколько и этих служб, запущенных на данный момент.
Стоит отметить очень важный момент, что облик процесса svchost.exe, может принять вирус, или вредоносный код, обычный пользователь, который может сразу и не заметить.
Вирус, или нет?
- Во-первых, этот процесс, никогда не может быть запущен от имени пользователя, а работает он только от имен: LOCAL SERVICE, NETWORK SERVICE, а также system.
- Во-вторых, svchost.exe процесса не может быть в автозагрузке, поскольку данный процесс, запускается исключительно службами системы Windows.
- В третьих, процессы svchost.exe, работают только в директории «system32», и если на вашем ПК, данный процесс будет работать под другой директорией, то этот процесс относится к вирусу.
Ко всему вышеизложенному хотелось бы добавить и еще один из вариантов обнаружения вируса, скрывающегося под данным процессом
Есть и такие вредоносные программы, которые создают службу с процессом svchost.
exe, соответственно, различить данное вредоносное ПО уже непросто.
Для просмотра служб, взаимодействующих на данный момент с процессом svchost.exe, нужно попасть в командную строку. (Напомним, нажать клавиши Win+R, в строке редактора ввести cmd и нажать клавишу Enter.
Когда откроется окно с командной строкой, необходимо ввести в ней следующее значение: Tasklist /SVC и нажать на клавишу Enter.
После чего, в окне командной строки будет отображены процессы, запущенные на данный момент.
Таким образом, можно будет отследить сторонние процессы.
В том случае, если вы сомневаетесь в каком либо из процессов, рекомендуется проверить свой компьютер антивирусом, например бесплатной версией программы Dr. Web Cureit.
Все эти нехитрые действия, которые были изложены в данной статье, помогут различить вам процесс svchost.
exe, от вредоносных процессов, которые могут его копировать.
Рефакторинг службы узла службы в Windows 10 версии 1703 — управление приложениями Windows
Обратная связь
Твиттер LinkedIn Фейсбук Эл. адрес
- Статья
- 3 минуты на чтение
Применимо к: Windows 10
Узел службы (svchost.exe) — это процесс общей службы, который служит оболочкой для загрузки служб из файлов DLL. Службы организованы в связанные группы узлов, и каждая группа работает внутри отдельного экземпляра процесса узла служб. Таким образом, проблема в одном экземпляре не влияет на другие экземпляры.
- Местная служба
- Локальная служба Нет сети
- Локальная сеть обслуживания ограничена
- Локальная система
- Локальная системная сеть ограничена
- Сетевая служба
Разделение служб SvcHost
Начиная с Windows 10 Creators Update (версия 1703), службы, которые ранее были сгруппированы, будут разделены — каждая из них будет выполняться в своем собственном процессе SvcHost. Это изменение происходит автоматически для систем с более 3,5 ГБ ОЗУ, на котором запущен SKU клиентского рабочего стола. В системах с 3,5 ГБ ОЗУ или меньше мы продолжим группировать службы в общий процесс SvcHost.
Преимущества этого изменения конструкции включают:
- Повышенная надежность за счет изоляции критически важных сетевых служб от сбоя другой несетевой службы на хосте и добавления возможности плавного восстановления сетевого подключения при сбое сетевых компонентов.
- Сокращение затрат на поддержку за счет устранения накладных расходов на устранение неполадок, связанных с изоляцией некорректно работающих служб на общем хосте.
- Повышение безопасности за счет большей межсервисной изоляции
- Повышенная масштабируемость за счет разрешения настроек и привилегий для каждой службы
- Улучшено управление ресурсами за счет управления ЦП, вводом-выводом и памятью для каждой службы, а также увеличение четких диагностических данных (отчет об использовании ЦП, ввода-вывода и сети для каждой службы).
Попробуйте
Чтобы увидеть поведение рефакторинга, создайте виртуальную машину Windows 10 версии 1703 и настройте параметры памяти следующим образом:
- Чтобы увидеть сгруппированные процессы, установите ОЗУ на 3484 МБ или меньше. Перезапустите виртуальную машину, а затем откройте диспетчер задач.
- Чтобы увидеть разделенные процессы, установите ОЗУ на 3486 МБ или больше.
Перезапустите виртуальную машину, а затем откройте диспетчер задач.Рефакторинг также упрощает просмотр запущенных процессов в диспетчере задач. Вы можете заглянуть в Диспетчер задач и точно узнать, какая служба использует какие ресурсы, без необходимости расширять множество отдельных групп хостов.
Например, вот запущенные процессы, отображаемые в диспетчере задач в Windows 10 версии 1607:
Сравните это с тем же представлением запущенных процессов в Windows 10 версии 1703:
Исключения
Некоторые службы по-прежнему будут группироваться на ПК с оперативной памятью 3,5 ГБ или выше. Например, модуль базовой фильтрации (BFE) и брандмауэр Windows (Mpssvc) будут объединены в одну группу хостов, как и службы сопоставления конечных точек RPC и службы удаленного вызова процедур.
Если вам нужно определить службы, которые по-прежнему будут сгруппированы, в дополнение к их просмотру в диспетчере задач и с помощью инструментов командной строки, вы можете найти Значение SvcHostSplitDisable в соответствующих служебных ключах под
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
Значение по умолчанию 1 предотвращает разделение службы.
Например, конфигурация ключа реестра для BFE:
Объем памяти
Разделение служб увеличивает общее количество экземпляров SvcHost, что увеличивает использование памяти. (Группировка сервисов позволила немного сократить общий ресурс задействованных сервисов.)
Рассмотрим следующий пример:
| Групповые услуги (< 3,5 ГБ) | Раздельные услуги (3,5 ГБ+) |
|---|---|
Примечание
Выше приведены пиковые наблюдаемые значения.
Общее количество экземпляров службы и результирующее использование памяти зависят от активности. Количество экземпляров обычно может варьироваться примерно от 17 до 21 для сгруппированных служб и от 67 до 74 для отдельных служб.
Попробуйте
Чтобы определить влияние разделения размещенных служб на ПК с Windows 10 версии 1703, запустите следующий командлет Windows PowerShell до и после переключения параметров памяти:
Get-процесс SvcHost | Group-Object -Property ProcessName | Имя таблицы формата, количество, @{n='Mem (KB)';e={'{0:N0}' -f (($_.Group|Measure-Object WorkingSet -Sum).Sum / 1KB)} ;a='право'} -Авторазмер
Обратная связь
Отправить и просмотреть отзыв для
Этот продукт Эта страница
Просмотреть все отзывы о странице
Служба профилей пользователей — Служба Windows 10
Служба профилей пользователей Windows 10
Служба профилей пользователей — Служба Windows 10
Эта служба отвечает за загрузку и выгрузку профилей пользователей. Если эта служба остановлена или отключена, пользователи больше не смогут успешно входить в систему или выходить из нее, у приложений могут возникнуть проблемы с доступом к данным пользователей, а компоненты, зарегистрированные для получения уведомлений о событиях профиля, не получат их.
Эта служба также существует в Windows 7, 8 и Vista.
Тип запуска
| 1507 | Автоматический | Автоматический | Автоматическая | Автоматический |
| 1511 | Автоматический | Автоматический | Автоматический | Автоматический |
| 1607 | Автоматический | Автоматический | Автоматический | Автоматический |
| 1703 | Автоматический | Автоматический | Автоматический | Автоматический |
| 1709 | Автоматический | Автоматический | Автоматическая | Автоматический |
| 1803 | Автоматический | Автоматический | Автоматический | Автоматический |
| 1809 | Автоматический | Автоматический | Автоматический | Автоматический |
| 1903 | Автоматический | Автоматический | Автоматический | Автоматический |
| 1909 | Автоматический | Автоматический | Автоматическая | Автоматический |
| 2004 | Автоматический | Автоматический | Автоматический | Автоматический |
| 20х3 | Автоматический | Автоматический | Автоматический | Автоматический |
| 21х2 | Автоматический | Автоматический | Автоматический | Автоматический |
| 21х3 | Автоматический | Автоматический | Автоматическая | Автоматический |
Default Properties
| Display name: | User Profile Service |
| Service name: | ProfSvc |
| Type: | share |
| Path: | %WinDir%\system32\ svchost. exe -k netsvcs -p |
| Файл: | %WinDir%\system32\profsvc.dll |
| Контроль ошибок: | нормальный |
| Группа: | profsvc_group |
| Объект: | Локальная система |
| Привилегии: |
|
Поведение по умолчанию
Служба профилей пользователей работает как LocalSystem в общем процессе svchost.exe. Другие службы могут работать в том же процессе. Если служба профилей пользователей не запускается, ошибка регистрируется. Запуск Windows 10 продолжается, но отображается окно с сообщением о том, что не удалось запустить службу ProfSvc.
Зависимости
Служба профилей пользователей не может быть запущена, если служба удаленного вызова процедур (RPC) остановлена или отключена.
Ваш комментарий будет первым