Подозрительный Свчост

830
darthvader

Я нахожу много экземпляров, подключенных через целых 7 портов в моей системе, когда я открыл TCPView (Sysinternals). Может ли это быть из-за вредоносного ПО? Как это выяснить без антивирусных инструментов.

4

2 ответа на вопрос

4
nik

Не паникуйте! (пока) Svchost может иметь несколько экземпляров .

При запуске Svchost.exe проверяет служебную часть реестра, чтобы создать список служб, которые он должен загрузить. Несколько экземпляров Svchost.exe могут работать одновременно. Каждый сеанс Svchost.exe может содержать группу служб. Поэтому отдельные службы могут работать в зависимости от того, как и где запускается Svchost.exe. Эта группировка сервисов обеспечивает лучший контроль и упрощает отладку.

Вы можете прочитать больше на странице HowToGeek, Svchost Viewer показывает, что конкретно делает
каждый экземпляр svchost.exe

Никаких вредоносных программ, кроме множества служб Windows. darthvader 15 лет назад 0
2
Axxmasterr

Это действительно может быть результатом вредоносных программ. Svchost.exe обычно используется для порождения вредоносных процессов. В некоторых случаях svchost может фактически затруднить поиск программы-нарушителя, не вдаваясь в подробности.

TCPView удобен для наблюдения за процессами, проводящимися по проводам, в Process Explorer есть вкладка истории ввода / вывода, которая также весьма полезна для этого процесса. Я также рекомендовал бы использовать filemon, чтобы определить, какие файлы открыты. Вредоносное ПО во многих случаях пытается помешать вам удалить / изменить его среду выполнения, заблокировав файл.

PID могут быть полезны при определении того, какие процессы породили другие процессы.

Обычно, когда я достигаю этой точки, я уже подозреваю, что существует вредоносное ПО, и я убиваю процессы по одному, пока не найду нарушающую программу. Если программа разговаривает по проводам, то хорошим подтверждением того, что вы остановили нужную программу, будет прекращение подозрительного сетевого трафика. Некоторые вредоносные программы спроектированы так, чтобы вести себя очень плохо, поэтому в этих случаях их нетрудно обнаружить. Процессы, которые не потребляют всех системных ресурсов и не «звонят домой» по Интернету, являются наиболее сложными для обнаружения в дикой природе.

Да, я слышал ужасающие истории о вредоносных программах, работающих от имени svchost. Я думал, что нашел один, пока не проверил, какой инструмент упоминал в первом ответе. darthvader 15 лет назад 0