Процесс svchost и как отличить его от маскирующегося под него вируса

neformat / Дек.11.2015. / Нет комментариев

svhost

Проникнув на компьютер, вирусы обычно стараются не афишировать своё присутствие, пряча свои процессы от глаз пользователя или маскируя их под безобидные системные процессы из коих больше всего достаётся svchost.exe. И это вполне понятно. Обнаружив в Диспетчере задач дюжину экземпляров этого процесса, пользователи начинают подозревать неладное, связывая svchost.exe с какими-нибудь неполадками, которые могут и не иметь к нему никакого отношения. Некоторые новички даже пытаются удалить его, что, конечно, ни к чему хорошему не приводит.

Итак, что же такое этот самый svchost.exe и почему от так часто дублируется? Ну, во-первых, svchost.exe не является вирусом, хотя примеры маскировки вредоносных программ под этот крайне важный и необходимый для работы Windows процесс всё же имеются. Как изобличать прикрывающиеся им вирусы мы поведаем немного ниже, а пока позвольте сказать пару слов о назначении svchost.exe. Так вот, процесс этот также именуемый Generic Host Process for Win32 Services принимает самое непосредственное участие в работе программ, служб и сервисов, использующих динамические библиотеки (DLL), составляющие значительную часть системных файлов Windows и прикладных программ.

4430966_1

Поскольку svchost.exe приходится обслуживать множество программ и служб, для обеспечения стабильности он запускается в нескольких экземплярах число которых в некоторых случаях может достигать нескольких десятков. В общем, трогать svchost.exe крайне не рекомендуется, но как мы уже сказали, под него могут маскироваться вирусы. Как же их распознать? Начнём с того, что настоящий файл svchost.exe должен находиться в одной из этих папок:

  • C:/WINDOWS/system32
  • C:/Windows/SysWOW64
  • C:/WINDOWSPrefetch
  • С:/WINDOWS/winsxs/*

Примечание: звёздочка в конце пути четвёртого варианта подразумевает, что после слеша может располагаться ещё папка, обычно имеющая длинное имя, представляющее собой набор символов. За редким исключением svchost.exe может встречаться в каталогах некоторых программ, например, Malwarebytes Anti-Malware.

Если же этот файл находится в корневом каталоге Windows или пользовательских папках, то скорее всего, это вирус. Проявляя избирательность, маскирующиеся под системны процесс svchost вредоносные файлы могут прятаться в самых неожиданных местах. Для их поиска можно использовать Диспетчер задач или утилиту Process Explorer, выявляя пути по процессам, для поиска по имени файла сгодится MasterSeeker или аналогичная программа.

Кроме места расположения пристальное внимание следует обращать на имя файла. Мало кто из начинающих пользователей обращает на это внимание, а зря. С первого взгляда можно и не заметить, чем отличаются друг от друга файлы svchost.exe и svhost.exe (во втором пропущена «с»). А ещё в названии файла латинские буквы могут быть заменены кириллическими. Идентифицировать его труднее, так как он может располагаться в «правильной» папке, при этом видеть разницу в имени будет только Windows, вам же для его выявления придётся проверять символы в имени по таблице кодов (внешне одинаковые кириллические и латинские буквы имеют разный код).

Что делать, если обнаружили «неправильный» или находящийся в неположенном месте svchost? Для начала отправьте его на сканирование в VirusTotal, если в нём что-то есть, хотя бы одни из пятидесяти антивирусов даст сигнал. Настоящий файл svchost должен быть безупречно чист. Для удаления подделывающегося под svchost файла, читай вируса, используем Dr.Web CureIt!, Dr.Web LiveDisk или утилиту AVZ. Для работы в AVZ вам также понадобиться скрипт.

4430966_2

А вот и сам скрипт. Создаем файл *.txt и в него вставляем и сохраняем следующее.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile(‘полный путь к вредоносному файлу’,”);
DeleteFile(‘полный путь к вредоносному файлу’);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard(‘TSW’,2,3,true);
BC_Activate;
RebootWindows(true);
end.

В скобках напротив команд QuarantineFile и DeleteFile нужно указать полный путь к вредоносному файлу. Например: (‘C:\Windows\system\syshost.exe‘,”);

4430966_3

Запускаем AVZ, выбираем в меню Файл, затем выбираем Выполнить скрипт, вставляем в открывшееся окошко код предварительно отредактированного скрипта (что нужно сделать, указано в самом скрипте) и жмём кнопку «Запустить». После перезагрузки компьютера проверяем удалён ли вредоносный файл после чего выполняем полное сканирование системного диска любыми антивирусными и антишпионскими инструментами.

 



Оставить комментарий

Войти с помощью: 


<------------->