Показать сообщение отдельно
Старый 14.07.2009, 11:18   #3 (permalink)
Endrew
Member
 
Аватар для Endrew
 
Регистрация: 01.04.2009
Сообщений: 12,028
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 446
По умолчанию

Все копии svchost.exe запускаются системным процессом services.exe. Вызовы svchost.exe для сервисов указаны в ключе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\<Service> (где <Service> имя сервиса) в поле ImagePath; например, сервис ComputerBrowser (имя сервиса Browser) вызывается как %SystemRoot%\system32\svchost.exe -k netsvcs. При этом группировка процессов осуществляется на основании данных ветви реестра HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Svchost, где каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов относящихся к группе.

[править] Вирусная активность

Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог, например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn [1]. Верным признаком наличия такого вируса является запущенный от имени пользователя "svchost.exe". Системный "svchost.exe" никогда не запускается от имени пользователя, а только от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Также системный "svchost.exe" запускается только посредством механизма системных сервисом, никогда - из раздела Run реестра (таким образом, он не должен присутствовать на вкладке Автозагрузка msconfig).Также возможно создание службы, использующей настоящий Svchost, но выполняющей вредные действия, например, так делает вирус kido

cmaks,Вам сюда внимательно читаем и выполняем
http://pchelpforum.ru/f26/t6442/#post37758 потом ждем заключения 01pump
Endrew вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070