Сегодня наш разговор пойдет о том,что
такое вирус SVCHOST.EXE и как определить вирус это или исполняемый файл
библиотек dll В наше
время ничем и никого не удивишь разработками стороннего программного
обеспечения для различных компьютерных систем.
Начнем
с того, что же за такой файл Generic
Host Process for Win32 Services(«svchost.exe»).
«svchost.exe» в
семействе операционных систем Microsoft Windows (2000, XP, Vista,
Seven, Windows 8) — главный процесс (англ. Host
process) для служб, загружаемых из динамических библиотек.
Использование
единого процесса для работы нескольких сервисов позволяет существенно уменьшить
затраты оперативной памяти и процессорного времени.
Но не
смотря на это некоторые компьютерные вирусы и трояны маскируются под имя
svchost.exe, помещая исполняемый файл в отличный от system32 каталог, например,Net-Worm.Win32.Welchia.a,
Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn. Верным признаком наличия такого вируса является
запущенный от имени пользователя «svchost.exe». Системный «svchost.exe» никогда
не запускается от имени пользователя, а только от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Также системный «svchost.exe» запускается только посредством
механизма системных сервисов, никогда — из раздела Run реестра (таким образом,
он не должен присутствовать на вкладке Автозагрузка msconfig). Также возможно
создание службы, использующей настоящий Svchost, но выполняющей вредные
действия, например, так делает вирус Kido.
Но как же нам
определить вирус это или не вирус?
Этих
самых «svchost.exe» действительно может быть в системе
очень много, ведь службам и программам довольно затруднительно вместе
использовать и маяться с одним процессом (их то, служб, много, а бедный
беззащитный svchost совсем один), а поэтому обычно системой запускаются несколько
экземпляров этого счастья, но с разными номерами (идентификаторами процесса,
если быть точным). Соответственно, каждый «svchost.exe» обслуживает
свой набор служб и программ, а поэтому, в зависимости от количества их в
Windows, число этих самых процессов svchost может колебаться от одного до
нескольких десятков. Еще раз напоминаю: это процессы системы и трогать их не
надо.
Но
действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще
раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам
процесс является вредоносным). Давайте разбираться как их вычислить и что с
ними делать.
Как
распознать вирус svchost, а точнее гадости под него маскирующиеся
Начнем
с того, что системный «svchost.exe» обитает
исключительно в папке:
- C:\WINDOWS\system32
- C:\WINDOWS\ServicePackFiles\i386
- C:\WINDOWS\Prefetch
- С:\WINDOWS\winsxs\*
Где C:\ –
диск куда установлена система, а * – длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be
Если
он находится в любом другом месте, а особенно каким-то чудом поселился в самой
папке WINDOWS, то наиболее вероятно (почти 95,5%), что это
вирус (за редким исключением). Теперь
приведу несколько самых известных путей маскировки вирусами под этот процесс:
- C:\WINDOWS\svchost.exe
- C:\WINDOWS\system\svchost.exe
- C:\WINDOWS\config\svchost.exe
- C:\WINDOWS\inet20000\svchost.exe
- C:\WINDOWS\inetsponsor\svchost.exe
- C:\WINDOWS\sistem\svchost.exe
- C:\WINDOWS\windows\svchost.exe
- C:\WINDOWS\drivers\svchost.exe
И
несколько самых часто используемых названий файлов, вирусами маскирующимися под «svchost.exe» :
- svсhost.exe (вместо
английской "c” используется русская "с”)
- svch0st.exe (вместо "o”
используется ноль)
- svchos1.exe (вместо "t”
используется единица)
- svcchost.exe (2 "c”)
- svhost.exe (пропущено "c”)
- svchosl.exe (вместо "t”
используется "l”)
- svchost32.exe (в конец
добавлено "32″)
- svchosts32.exe (в конец
добавлено "s32″)
- svchosts.exe (в конец
добавлено "s”)
- svchoste.exe (в конец
добавлено "e”)
- svchostt.exe (2 "t” на
конце)
- svchosthlp.exe (в конец
добавлено "hlp”)
- svehost.exe (вместо "c”
используется "e”)
- svrhost.exe (вместо "c”
используется "r”)
- svdhost32.exe (вместо "c”
используется "d” + в конец добавлено "32″)
- svshost.exe (вместо "c”
используется "s”)
- svhostes.exe (пропущено "c”
+ в конец добавлено "es”)
- svschost.exe (после "v”
добавлено лишнее "s”)
- svcshost.exe (после "c”
добавлено лишнее "s”)
- svxhost.exe (вместо "c”
используется "x”)
- syshost.exe (вместо "vc”
используется "ys”)
- svchest.exe (вместо "o”
используется "e”)
- svchoes.exe (вместо "st”
используется "es”)
- svho0st98.exe
- ssvvcchhoosst.exe
Посмотреть
название файла можно в диспетчере задач
Как
удалить вирус «svchost.exe»?
В
удалении этого вируса нам поможет AVZ.
Что
делаем:
Скачиваем
архив AVZ4, распаковываем архив, запускаем avz.exe
В окне
программы выбираем "Файл” – "Выполнить скрипт".
Вставляем
в появившееся окно скрипт:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('сюда вставлять путь к файлу (главное не перепутать
кавычки)',''); DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Где,
как Вы понимаете, под словами "сюда вставлять путь к файлу (главное не
перепутать кавычки)” нужно, собственно, вставить этот путь, т.е, например:C:\WINDOWS\system\syshost.exe прямо
между ”, т.е получиться строки должны так:
QuarantineFile('C:\WINDOWS\system\syshost.exe',''); DeleteFile('C:\WINDOWS\system\syshost.exe');
Жмем
"Запустить", предварительно закрыв все программы.
Ждем
перезагрузки системы
Проверяем
наличие файла
Проводим
полноценную проверку на вирусы и spyware.
Все
наша операционная система вылечена от этого вируса
|