Содержание
- Что такое процесс svchost
- Почему Svchost работает от имени пользователя
- Проверка файлов svchost.exe и DLL
- Вопросы и ответы
Как и в предыдущих версиях системы, svchost.exe в Windows 10 является основным процессом, отвечающим за запуск хранящихся в файлах DLL служб, в том числе критически важных и необходимых для работы операционной системы. Также svchost является родительским для процессов диспетчеров сетевых подключений, устройств Plug and Play и HID, «Центра обновления», «Защитника Windows» и других важных компонентов. В «Диспетчере задач» эти процессы имеют название svchost.exe.
Как и большинство критически важных процессов, svchost работает от имени системы, также его владельцем могут быть сервисы LOCAL SERVICE и NETWORK SERVICE. Однако нельзя исключать, что вам встретится процесс svchost, запущенный от имени пользователя. Последнее может насторожить, поскольку работа этого процесса от имени пользователя не является для него характерной. В связи с этим у многих начинающих пользователей нередко возникают опасения по поводу возможного заражения компьютера вирусом, маскирующимся под процесс svchost.
Почему Svchost работает от имени пользователя
Сама по себе работа процесса svchost от имени пользователя не является признаком присутствия в системе вредоносного программного обеспечения. Так, процесс svchost может запускать так называемые пользовательские службы, например отвечающую за обмен с сервером Microsoft зашифрованными данными службу «Connected Devices Platform User Service». Чтобы убедиться в безопасности запущенного от имени пользователя процесса svchost, выполните следующие действия.
- Кликните в «Диспетчере задач» по процессу «svchost» правой кнопкой мыши и выберите из контекстного меню опцию «Открыть расположение файла».
- При этом в «Проводнике» должно открыться расположение
C:\Windows\System32с выделенным файлом svchost.exe. Если вдруг вы обнаружите svchost.exe в другой папке кроме «System32» и «SysWOW64», скорее всего, это вредоносный поддельный файл.
Читайте также: Борьба с компьютерными вирусами
Проверка файлов svchost.exe и DLL
Дополнительно вы можете проверить процесс svchost.exe и связанные с ним динамические библиотеки на предмет вирусной активности. Лучше всего для этих целей использовать стороннюю бесплатную утилиту Process Explorer.
Скачать Process Explorer с официального сайта
- Скачайте архив с утилитой с сайта разработчика, распакуйте и запустите исполняемый файл procexp.exe от имени администратора.
- Перейдите в меню пункт «View» → «Select Columns», чтобы открыть окошко выбора колонок.
- Отметьте флажками пункты «User Name» и «Virus Total» и нажмите «OK».
- Отыщите в главном окне утилиты работающий от имени пользователя процесс «svchost», кликните по нему правой кнопкой мыши и выберите из контекстного меню функцию «Check Virus Total».
- Результат проверки будет указан в колонке «Virus Total». Первой цифрой в результате должна быть 0, то есть ни один из антивирусных движков не должен идентифицировать файл svchost.exe как вредоносный.
Дополнительно можно изучить список связанных с процессом динамических библиотек. Чтобы его получить, нажмите комбинацию клавиш Ctrl + D. При желании и наличии времени вы можете проверить DLL на предмет заражения тем же способом, которым проверяли файл procexp.exe.
Еще статьи по данной теме:
Помогла ли Вам статья?
Слышал, что вроде не должен от имени пользователя или от админки запущен быть
antmutant
01.01.2022
Закрой. В чем беда?
MvC
01.01.2022
Прога антивир таск менеджер скачай и ей сможешь закррыть все подозрительные службы + там отображается опасность службы для твоего пк
vasyan pro
01.01.2022
Может, надо смотреть в процесс эксплорере детально, если так волнуешься.
Евгейний Ватрушкин
01.01.2022
Так а в чём проблема?
Dura4ok
01.01.2022
Есть вирусы, которые маскируются под процесс svchost.exe. Если есть подозрения, что это вирус, качай антивирус и сканируй. Скажу сразу: от такого вируса трудно избавиться, мне помогла лишь переустановка Windows. Чтобы обнаружить вирус, мне помог этот антивирус — https://ru.malwarebytes.com/
- При установке виндовс 10 проверка наличия обновлений. Очень очень долго так и должно быть или что-то не то? Windows 7 3 При установке виндовс 10 проверка наличия обновлений. Очень очень долго так и должно быть или что-то не то? (windows 7 3
- Я купил новый компьютер и установил туда Windows 10 64bit. И Windows 10 64bit весит 64.7Gb. Так и должно быть? RAM 8GB Я купил новый компьютер и установил туда Windows 10 64bit. И Windows 10 64 bit весит 64.7Gb. Так и должно быть? 8Gb оперативки DDR3 Что делать?
- Майнер или какой еще вирус? Процесс svchost запущен от имени Services .еще он находиться в папках: c:/windows Майнер или какой еще вирус? Процесс svchost запущен от имени «Services».еще он находиться в папках: c:/windows
- Svchost.exe запущен от имени пользователя, windows 10 Процесс Svchost.exe может, на сколько я знаю, запускаться от SYSTEM, LOCAL SERVICE или NETWORK SERVICE, а у меня несколько процессов запущены от имени пользователя. При этом исполняемый файл расположен в папке system32 И тогда вопрос, может это быть вирус или нет?
Добавить комментарий
Время чтение: 4 минуты
2015-04-01
Какое количество процессов «svchost.exe» должно быть запущенно? На этот вопрос ответить невозможно, так как, в каждом случаи количество запущенных процессов «svchost.exe» разное. Это зависит не только от версии вашей операционной системы, но и от её сборки!
Так как, точного количества процессов узнать невозможно, то этим моментом ни могли воспользоваться создатели вредоносного ПО!
Огромное количество вирусов, троянских программ и прочие вредоносные программы облюбовали процесс «svchost.exe» и, чтобы замаскировать себя в системе, маскируются под этот процесс.
То есть, вредоносные программы запускаются с именем «svchost.exe» и теряются на фоне множества системных процессах с таким же именем. Это приводит к тому, что шансы остаться не замеченным в системе возрастают в несколько раз.
Как вычислить вредоносный процесс svchost.exe
Естественно, если у пользователя возникают подозрения на то, что процесс «svchost.exe» является вредоносным, то первым делом, пользователем будет проскандирован компьютер на наличие вирусов и прочего.
Но, если после проверки антивирусная программа сообщает, что система чистая и вредоносных программ не обнаружено – это может быть не совсем так!
В этом случаи стоит проверить процесс «svchost.exe» вручную. Делается это довольно просто, все что нужно – это знать некоторые моменты о процессе svchost.exe.
1) Процесс всегда запускается из системной папки «System32» Если это ни так, то скорей всего файл с именем svchost.exe является вредоносным.
2) Процесс svchost.exe никогда не запустится от имени пользователя – это нужно помнить. Процесс всегда запускается от «Local Service, Система, Network Service».
Как вы понимаете, если процесс svchost.exe был, запущен от текущего имени пользователя или не из системной папки, то стоит принять меры по проверки подозрительного файла.
Чтобы убедится в том, что запущен оригинальный файл, запустите диспетчер задач и найдите на вкладке «Подробности» список процессов «svchost.exe».
На этом скриншоте все процессы запущены самой же системой, это говорит о том, что, скорее всего среди данного списка вредоносного файла с именем «svchost.exe» нет. Обратите внимание на скриншот ниже…
На этом скриншоте мы видим процесс svchost.exe запущенный от пользователя с именем «SuperUser» Это говорит о том, что данный процесс является с большей степенью вредоносным.
Нужно нажать «ПКМ» где из контекстного меню выбрать «Открыть расположение» откроется проводник Windowsи Вы узнаете полный путь до подозрительного файла! Что делать с ним дальше, думаю это ясно, как день!
Важно знать: Некоторые вирусы непросто используют имя «svchost.exe» для того чтобы скрыть своё присутствие в системе, но и также могут использовать оригинальный файл svchost.exe в своих корыстных целях.
В связи с этим ручная проверка тут результат не даст! Так же выше уже было сказано, что и антивирус может ни дать результата в поиске вируса! Возникает логичный вопрос, что же делать?
Как вариант использовать бесплатный «firewall» среди которых лично я выделяю «comodo firewall» как он может нам помочь? Все просто! Если вирус использующий процесс svchost.exe вдруг задумает проявить сетевую активность, то пользователь будет об этом осведомлён!
Со скриншота хорошо видно, что файл svchost пытается подключиться к серверу по 80-тому порту, оригинальный файл этого никогда делать не будет, соответственно svchost заражён!
Вы можете оперативно заблокировать доступ в сеть для файла svchost, что будет вполне разумно! Так как в данном случае, есть вероятность передачи конфиденциальных данных, например паролей из браузера на «Gate»
Утечка такой информации сами понимаете, чем может закончиться для Вас!
Что делать с заражённым файлом svchost.exe? Так как, от текущего антивируса и ручной проверки толку ровно нуль, то, откройте сайт «virustotal.com» и проверти файл. Кстати, сделайте это, прямя сейчас!
Мой результат такой. Все чистенько! Если бы какой-нибудь антивирус среагировал бы, например «Avast» то, я бы удалил текущий антивирус и установил бы Avast и вылечил бы svchost.exe.
|
0 / 0 / 0 Регистрация: 11.08.2018 Сообщений: 92 |
|
|
1 |
|
|
24.08.2018, 20:08. Показов 13047. Ответов 11
На винде десятке несколько из процессов запущен от имени пользователя — user. C windows 7 и 8 все понятно — там такого быть не должно и если они запущены от пользователя, то скорее всего вирус. А вот на windows 10 могут ли быть процессы svchost.exe от имени юзера?
0 |
|
4800 / 3381 / 199 Регистрация: 29.11.2011 Сообщений: 5,590 |
|
|
24.08.2018, 22:37 |
2 |
|
А вот на windows 10 могут ли быть процессы svchost.exe от имени юзера? могут, только проверь месторасположение файла должен располагаться С windows system 32
0 |
|
Нарушитель 8766 / 4737 / 1101 Регистрация: 12.03.2015 Сообщений: 22,336 |
|
|
25.08.2018, 05:08 |
3 |
|
А вот на windows 10 могут ли быть процессы svchost.exe от имени юзера? У меня (ща посмотрел) только один.
Показывай, чо там у тебя.
0 |
|
0 / 0 / 0 Регистрация: 11.08.2018 Сообщений: 92 |
|
|
25.08.2018, 11:44 [ТС] |
4 |
|
У меня (ща посмотрел) только один. Вложение 961051 Показывай, чо там у тебя. Да, у меня в систем32. При том у меня их реально удалено, но от юзера только 2 Миниатюры
0 |
|
0 / 0 / 0 Регистрация: 11.08.2018 Сообщений: 92 |
|
|
25.08.2018, 11:45 [ТС] |
5 |
|
могут, только проверь месторасположение файла должен располагаться С windows system 32 Да, в систем32 находится
0 |
|
Нарушитель 8766 / 4737 / 1101 Регистрация: 12.03.2015 Сообщений: 22,336 |
|
|
25.08.2018, 11:56 |
6 |
|
Да, у меня в систем32. При том у меня их реально удалено, но от юзера только 2 Мои глаза!!!
А чтоб не напрягало количество, есть один хитрый твик реестра.
Почитай description внимательно.
0 |
|
0 / 0 / 0 Регистрация: 11.08.2018 Сообщений: 92 |
|
|
25.08.2018, 12:03 [ТС] |
7 |
|
Сори, пишу с компа, фотал с ноута)) Кол-во не напрягает — читал что для десятки — это норма, для экономия оперативы. Волнует что несколько запущенно от имени админа, как я понял, такого быть не должно
0 |
|
Нарушитель 8766 / 4737 / 1101 Регистрация: 12.03.2015 Сообщений: 22,336 |
|
|
25.08.2018, 12:08 |
8 |
|
пишу с компа, фотал с ноута)) А на ноуте запрещено скриншоты делать?
Кол-во не напрягает — читал что для десятки — это норма, для экономия оперативы. Волнует что несколько запущенно от имени админа, как я понял, такого быть не должно Почитай description внимательно. Ещё пару раз.
0 |
|
Модератор
15832 / 7867 / 742 Регистрация: 03.01.2012 Сообщений: 32,597 |
|
|
25.08.2018, 12:17 |
9 |
|
burjui, Брр! Попробуйте загрузить Process Explorer и в нём уже посмотрите свойства подозрительного процесса, там найдите путь к исполняемому файлу. Если есть вопросы по происхождению файла, можно воспользоваться кнопкой Verify, а можно скопировать исполняемый файл и отправить его для проверки на https://www.virustotal.com/ru/
0 |
|
0 / 0 / 0 Регистрация: 11.08.2018 Сообщений: 92 |
|
|
25.08.2018, 12:34 [ТС] |
10 |
|
То ли я тупой, то ли там ничего не написано про запуск от имени юзера Добавлено через 1 минуту
А на ноуте запрещено скриншоты делать? Почитай description внимательно. Ещё пару раз. То ли я тупой, то ли там ничего не написано про запуск от имени юзера
0 |
|
Нарушитель 8766 / 4737 / 1101 Регистрация: 12.03.2015 Сообщений: 22,336 |
|
|
25.08.2018, 13:09 |
11 |
|
То ли я тупой, то ли там ничего не написано про запуск от имени юзера Всё, не надо больше читать. Просто нажми на длинную кнопку «Set above RAM…».
1 |
|
4800 / 3381 / 199 Регистрация: 29.11.2011 Сообщений: 5,590 |
|
|
25.08.2018, 14:30 |
12 |
|
Решение
Да, в систем32 находится работай спокойно, для уверенности можешь посмотреть инфу о файле(этого достаточно остальное лишние тело движения)пр.кн.м. по файлу и идём в свойства Миниатюры
1 |
Сообщение было отмечено burjui как решение
|
IT_Exp Эксперт 87844 / 49110 / 22898 Регистрация: 17.06.2006 Сообщений: 92,604 |
25.08.2018, 14:30 |
|
12 |
Пользуюсь антивирусом Касперского, базы самые свежие.
Пару дней назад Веб-Антивирус начал блокировать переход по вредоносной ссылке http://185.38.111.1/wpad.dat. Сообщение о блокировке появляется с периодичностью 5-20 минут, сообщение о блокировке всплывает даже на рабочем столе, т.е. когда все браузеры закрыты.
Выполнял полную проверку на вирусы самим антивирусом, а также Kaspersky Virus Removal Tool и Dr.Web CureIt!, в итоге ни один из них вирусов не нашел.
Интернет подключен через роутер.
Сообщение о блокировке:
Событие : Переход остановлен
Пользователь : user-ПК\user
Тип пользователя : Активный пользователь
Имя программы : svchost.exe
Путь к программе : C:\Windows\System32
Компонент : Веб-Антивирус
Описание результата : Запрещено
Тип : Вредоносная ссылка
Название : http://185.38.111.1/wpad.dat
Точность : Точно
Степень угрозы : Высокая
Тип объекта : Веб-страница
Имя объекта : wpad.dat
Путь к объекту : http://185.38.111.1
Причина : Базы
Дата выпуска баз : Сегодня, 24.03.2021 4:32:00
Пробовал подключить интернет напрямую, переход по той вредоносной ссылке пропадал, но антивирус стал детектить и блокировать сетевую атаку.
Пользователь : user-ПК\user
Тип пользователя : Активный пользователь
Компонент : Защита от сетевых атак
Описание результата : Запрещено
Название : Intrusion.Win.MS17-010.o
Объект : TCP от 100.80.240.164 на 100.80.ххх.ххх:445
Дополнительно : 100.80.ххх.ххх
Дата выпуска баз : Вчера, 23.03.2021 4:19:00
Через 25 минут сетевая атака повторилась, но уже с другого IP.
После этого я заблокировал входящие соединения TCP через 445 порт в брандмауэре, сообщения о сетевых атаках прекратились.
Попробовав разные варианты, остановился пока на данном подключении интернета, но т.к. это не решение проблемы, а костыль, то прошу помощи в поиске и устранении уязвимости.
Также пробовал подключать интернет с телефона, сетевые атаки возобновились, каждая атака на разные порты, при чем эти атаки касперский почему-то не заблокировал.
CollectionLog-2021.03.24-15.43.zip