Процесс svchost.exe — вирус или нет?

Безопасность 08.08.2012

Если вы читаете эту заметку, значит в Диспетчере задач вы обратили внимание на один или несколько процессов с названием svchost.exe.  То, что процесс svchost запущен многократно, для несведущего человека выглядит подозрительно, а потому способно заставить поволноваться за чистоту своего компьютера. В действительности, svchost не опасен и более того, является важной частью операционной системы Windows. С его помощью выполняется запуск различных системных служб, необходимых для работы сервисов системы. При этом каждая запущенная копия представляет собой одну или несколько служб, поэтому количество процессов не всегда одинаково. Этим обстоятельством пользуются некоторые вирусы, маскируясь под похожее или полностью аналогичное название. В данной статье мы научимся определять, что именно стоит за svchost.

Первый случай. Проще всего обнаружить вирусы, которые имеют схожие названия. В них изменяют или меняют местами одну — две буквы. При беглом просмотре списка в Диспетчере задач такие процессы не сильно выделяются, но при внимательном сравнении их несложно отличить. Примеры процессов маскирующихся под svchost:

svchosts.exe, svch0st.exe, svchos1.exe, svcchost.exe, svchoes.exe, svhost.exe, svchost32.exe, svchosts32.exe, svrhost.exe, svshost.exe, svchest.exe, и т.п.

Второй случай. А вот выявить вирусы, имеющие полное соответствие в названии, уже так не получится. Но сделать это все еще не трудно. Для начала определимся с тем, что настоящий svchost.exe располагается в папке:

В Windows 32bit это — C:\Windows\System32\

В Windows 64bit это — C:\Windows\SysWOW64\

(буква диска «С:» может отличаться, в зависимости от того, куда установлена система)

Именно из этой папки система запускает данный процесс.

Еще могут быть копии файла (а могут и не быть) в папках:

C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\Prefetch
С:\WINDOWS\winsxs\[длинное_название_папки]

Таким образом, все svchost.exe находящиеся НЕ в папке C:\Windows\System32\ (или C:\Windows\SysWOW64\ для 64-битных систем) имеют повышенный (стремящийся к 96%) уровень угрозы. Чтобы узнать из какой папки был запущен процесс, можно воспользоваться программой Process Explorer. Запустив программу кликните правой кнопкой мышки по процессу svchost.exe, а в выпадающем меню выберите пункт «Properties». Откроется окошко свойств процесса. В ячейке «Path» («Путь») для 32-разрядных систем должно быть указано: C:\Windows\System32\svchost.exe, а для 64-разрядных путь будет таким: C:\Windows\SysWOW64\svchost.exe

Если папка, в которой находится процесс другая, запомните ее и нажмите кнопку «Kill process». Этим действием вы выгрузите процесс из памяти. Затем перейдите в его папку и удалите файл svchost.exe. После этого обязательно проверьте систему антивирусом.

Кстати, в Диспетчере задач системы Windows 7 можно узнать путь файла без использования дополнительных программ. Для этого можно нажать правой кнопкой мыши по процессу и выбрать пункт «Открыть место хранения файла». А лучше настроить Диспетчер задач таким образом, чтобы в нем сразу отображались пути файлов. Для этого щелкните меню «Вид» и выберите пункт «Выбрать столбцы», далее установите галочку для «Путь к образу». Этим вы добавите дополнительный столбец, в котором будет показано расположение процессов на жестком диске.

Третий случай. Самый сложный, но к счастью встречается реже — когда вирус модифицирует svchost.exe. То есть «вшивается» в системный файл. Обычно это приводит к критическим ошибкам, с указанием в них файла svchost. В этом случае понадобится его восстановить из резервной копии или переписать с установочного диска.