Описание процесса Svchost.exe в Windows
Svchost.exe — название главного процесса для служб, запускаемых из динамически загружаемых библиотек (DLL).
Файл Svchost.exe расположен в папке %SystemRoot%\System32. В процессе загрузки на основании записей в реестре Svchost.exe составляет список служб, которые необходимо запустить. Одновременно могут быть запущены несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe содержит группировку служб, следовательно, отдельные службы могут выполняться в зависимости от того, как и когда был запущен Svchost.exe. Таким образом улучшается контроль и упрощается отладка.
Группы Svchost.exe определены в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
Каждый параметр этого раздела представляет собой отдельную Svchost-группу и отображается на экране как отдельный экземпляр при просмотре активных процессов. Каждый параметр имеет тип «REG_MULTI_SZ» и содержит службы, выполняющиеся в составе Svchost-группы. Каждая Svchost-группа содержит имена одной или более служб, взятых из следующего раздела реестра, при условии, что в ее подразделе Parameters содержится параметр ServiceDLL.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Служба
Чтобы просмотреть список служб, выполняющихся в Svchost, выполните следующие действия.
1. Нажмите кнопку Пуск на панели задач Windows и выберите команду Выполнить.
2. В поле Открыть введите команду CMD и нажмите клавишу ENTER.
3. Введите Tasklist /SVC и нажмите клавишу ENTER.
Будет показан список активных процессов. Параметра /SVC служит для отображения списка активных служб для каждого процесса. Для получения дополнительных сведений о процессе введите следующую команду и нажмите клавишу ENTER.
Tasklist /FI «PID eq идентификатор_процесса» (включая кавычки) В случае возникновения подозрений рекомендуем проверить следующие варианты:
1) Команда msconfig, закладка Автозагрузка: оригинальный процесс Svchost.exe не использует автозагрузку для старта. Если данный файл указан как файл автозапуска, он не является тем, за кого себя выдает.
2) Произвести поиск файла svchost.exe на системном диске. Оригинальное месторасположение файла — \WINDOWS\system32\. В других случаях этот файл также не является оригинальным.
3) Внимательно перечитайте имя подозрительного файла. Некоторые вирусы копируют себя в папку оригинального файла с другим, но очень похожим именем (например, swchost.exe). Источник: Google.ru SVCHOST.EXE (Generic Host Process for Win32 Services) вполне «законна». Это приём извлечения и запуска разнообразных системных сервисов из различных DLL. Каждый раз при запуске определённой службы вызывается svchost.exe с различными параметрами, что и позволяет управлять запуском различных служб унифицированным методом. Управлять загрузкой сервисов можно через вкладку Панель Управления — Администрирование — Сервисы. Вот список сервисов (служб), запускаемых с помощью svchost.exe: Русское название сужбы Английское название сужбы Описание
Оповещатель Alerter Посылает выбранным пользователям и компьютерам административные оповещения
Управление приложениями Application Management Обеспечивает службы установки программного обеспечения, такие, как назначение, публикация и удаление
Система событий COM+ COM+ Event System Поддержка службы уведомления о системных событиях (SENS), обеспечивающей автоматическое распространение событий подписавшимся компонентам COM
Обозреватель компьютеров Computer Browser Обслуживает список компьютеров в сети и выдает его программам по запросу
Сервер Server Обеспечивает поддержку общего доступа к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение
DHCP-клиент DHCP Client Управляет конфигурацией сети посредством регистрации и обновления IP-адресов и DNS-имен
Клиент отслеживания изменившихся связей Distributed Link Tracking Client Поддерживает связи NTFS-файлов, перемещаемых в пределах компьютера или между компьютерами в домене
DNS-клиент DNS Client Разрешает для данного компьютера DNS-имена в адреса и помещает их в кэш
Диспетчер логических дисков Logical Disk Manager Обнаружение и наблюдение за новыми жесткими дисками и передача информации о томах жестких дисков службе управления диспетчера логических дисков
Служба сообщений Messenger Посылает и получает сообщения, переданные администраторами или службой оповещений
Диспетчер авто-подключений удаленного доступа Remote Access Auto Connection Manager Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS- имени или адресу
Удаленный вызов процедур (RPC) Remote Procedure Call (RPC) Обеспечивает сопоставление конечных точек и иных служб RPC
Диспетчер подключений удаленного доступа Remote Access Connection Manager Создает сетевое подключение
Удаленный реестр Remote Registry Service Позволяет удаленным пользователям изменять параметры реестра на этом компьютере
Удаленный реестр Remote Registry Service Позволяет удаленным пользователям изменять параметры реестра на этом компьютере
Съемные ЗУ Removable Storage Обеспечивает корректное распознавание и подключение съемных ОЗУ
Маршрутизация и удаленный доступ Routing & Remote Access Предлагает услуги маршрутизации организациям в локальной и глобальной сетях
Уведомление о системных событиях System Event Notification Протоколирует системные события, такие как регистрация в Windows, в сети и изменения в подаче электропитания
Планировщик заданий Task Scheduler Позволяет настраивать расписание автоматического выполнения задач на этом компьютере
Телефония Telephony Обеспечивает поддержку Telephony API (TAPI) для программ, управляющих телефонным оборудованием и голосовыми IP-подключениями на этом компьютере, а также через ЛВС — на серверах, где запущена соответствующая служба
Служба времени Windows Windows Time Управляет синхронизацией даты и времени на всех клиентах и серверах в сети
Источник: http://jesuschrist.ru/forum/646450
|
Главная 
