svchost.exe

Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе, заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами 🙂

Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще).Поехали.

Что такое svchost.exe. Вирус? Куда бежать?!

Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.

svchost

Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным). Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.

Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.

Как распознать вирус svchost, а точнее гадости под него маскирующиеся

Начнем с того, что системный svchost.exe обитает исключительно в папке:

C:\WINDOWS\system32
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\Prefetch
С:\WINDOWS\winsxs\*

Где C:\ — диск куда установлена система, а * — длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be или подобное.

Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).

Привожу несколько самых путей маскировки вирусами под этот процесс:

C:\WINDOWS\svchost.exe
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\config\svchost.exe
C:\WINDOWS\inet20000\svchost.exe
C:\WINDOWS\inetsponsor\svchost.exe
C:\WINDOWS\sistem\svchost.exe
C:\WINDOWS\windows\svchost.exe
C:\WINDOWS\drivers\svchost.exe

И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:

svсhost.exe (вместо английской «c» используется русская «с»)
svch0st.exe (вместо «o» используется ноль)
svchos1.exe (вместо «t» используется единица)
svcchost.exe (2 «c»)
svhost.exe (пропущено «c»)
svchosl.exe (вместо «t» используется «l»)
svchost32.exe (в конец добавлено «32»)
svchosts32.exe (в конец добавлено «s32»)
svchosts.exe (в конец добавлено «s»)
svchoste.exe (в конец добавлено «e»)
svchostt.exe (2 «t» на конце)
svchosthlp.exe (в конец добавлено «hlp»)
svehost.exe (вместо «c» используется «e»)
svrhost.exe (вместо «c» используется «r»)
svdhost32.exe (вместо «c» используется «d» + в конец добавлено «32»)
svshost.exe (вместо «c» используется «s»)
svhostes.exe (пропущено «c» + в конец добавлено «es»)
svschost.exe (после «v» добавлено лишнее «s»)
svcshost.exe (после «c» добавлено лишнее «s»)
svxhost.exe (вместо «c» используется «x»)
syshost.exe (вместо «vc» используется «ys»)
svchest.exe (вместо «o» используется «e»)
svchoes.exe (вместо «st» используется «es»)
svho0st98.exe
ssvvcchhoosst.exe

Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны. Потому что увидев однажды svchоst.exe (где латинская o была заменена на кирилическую о) мой внутренний админ запаниковал но холодный рассудок решил что мне показалось. проблему я нашёл спустя только 2 дня..

Для меня на данный момент лучшим способом найти данную проблему является process explorer и подобные ему..

а исправляю я либо руками либо позволяю загрузочному диску от eset сделать это за меня.