Процесс svchost.exe

Svchost.exe – в семействе ОС MS Windows 2000, XP, Vista, , Seven является главным процессом (хост-процессом) для служб, которые загружаются из динамических библиотек (DLL).С помощью этого процесса, работающего для нескольких сервисов одновременно, удается существенно экономить на загрузке процессора и оперативной памяти. 

Файл Svchost.exe после инсталляции операционной системы располагается в директории %SystemRoot%\System32. Во время загрузки Svchost.exe составляет список служб необходимых для запуска, которые он отбирает на основании соответствующих записей в реестре.

 

Процесс Svchost.exe одновременно может быть запущен в нескольких экземплярах. Каждый из сеансов Svchost.exe способен содержать сразу несколько служб. В итоге выполняться одновременно могут сразу несколько отдельных служб, все зависит от того, где и как был запущен процесс Svchost.exe.

 

Таким образом, с помощью такой группировки служб Svchost.exe обеспечивается более легкая отладка процесса и повышается уровень контроля над ним. Все копии процесса Svchost.exe запускаются с помощью другого системного процесса Services.exe.

 

Все группы Svchost.exe содержаться в определенном разделе реестра (HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost). В нем каждое значение представляет собой определенную группу Svchost.exe и отображается в виде отдельного экземпляра при просмотре активных процессов.

 

Каждому из этих значений принадлежит тип REG_MULTI_SZ и службы, которые выполняются в данной группе Svchost.exe. В каждой группе Svchost.exe содержится одно и более имен служб, извлекаемых из раздела реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Служба, где подраздел Parameters содержит в себе значение Service Dll.

 

Для того чтобы увидеть список служб, которые работают в процессе Svchost.exe, необходимо выполнить ряд действий. Сначала необходимо в меню «Пуск», расположенном на панели задач Windows выбрать пункт «Выполнить», затем ввести в поле «Открыть» команду CMD и нажать клавишу Enter или «OK».

 

Затем в появившемся DOS-окне нужно ввести команду Tasklist /SVC и нажать клавишу «Enter».

 

После этих действий команда Tasklist выведет список всех активных процессов. А параметр /SVC в свою очередь необходим для формирования списка активных служб в каждом из этих процессов. Так же о каждом процессе можно получить дополнительную информацию с помощью ввода команды Tasklist /FI "PID eq идентификатор_процесса", кавычки при этом ставить обязательно. 

 

Довольно часто под именем хост-процесса Svchost.exe маскируются вредоносные программы, трояны и компьютерные вирусы. Алгоритм их действий довольно примитивен, но при этом является вполне эффективным. Все эти вирусы и программы помещают исполняемый exe-файл в директорию, отличную от каталога system32, например, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn, Net-Worm.Win32.Welchia.a и т.д. если такой вирус присутствует на жестком диске компьютера, то найти его можно с помощью просмотра списка запущенных служб Svchost.exe.

 

Если этот процесс запущен от имени пользователя, то это явный признак вируса или трояна, так как системный процесс Svchost.exe от пользователя никогда запущенным быть не может. Svchost.exe запускается только от SYSTEM, NETWORK SERVIC и LOCAL SERVICE.

 

Помимо этого процесс Svchost.exe никогда не может быть запущен с помощью раздела реестра «Run», запускается он только с помощью системных сервисных механизмов. Поэтому Svchost.exe во вкладке меню Автозагрузка msconfig присутствовать не должен.

 

Также существует вероятность создания службы, которая будет использовать оригинальный Svchost-процесс, при этом будет выполнять вредные для компьютера действия. Ярким тому примером является вирус Kido, который поразил в 2009 году более чем 12 миллионов компьютеров по всему миру.

 

Используя уязвимости некоторых системных служб, к числу которых относится и Svchost.exe, вирус сам скачивал себя из интернета и отключал важные службы и доступ к сайтам-производителям антивирусного ПО, без которых компьютер становился беззащитным или его нормальное функционирование было и вовсе невозможным.