Határozzuk meg a vírus maszkolás folyamatban
Mi határozza meg maszkolás a vírus az svchost.exe folyamat
Kezdjük azzal, hogy Generic Host Process for Win32 Services (nevezetesen az igen svchost) egy olyan rendszer folyamat, az Ökumenikus fontos a létezését a Windows, és ezek azok a szolgáltatások, programok és rendszer szolgáltatások használatát az úgynevezett, DLL könyvtárban.
Ugyanezek svchost.exe, sőt lehet, hogy már erősen sokat, mert a szolgáltatások és alkalmazások együtt elég nehéz használni, és vozyukatsya egy folyamat (nekik, milyen szolgáltatások sok, de a szegény, védtelen svchost egyedül), ezért általában több példányát futtatja, a rendszer ez a boldogság, de különböző számú (azonosítók folyamat, hogy pontos legyek). Ennek megfelelően minden svchost.exe megtartja saját szolgáltatásokat és programokat, ezért számától függően ezek a Windows, ezek száma azonos folyamatok svchost változhat darab több tucat. Ismét azok számára, akik nem értik: feldolgozza a rendszert, és nem érheti őket.
De tényleg, vannak olyan helyzetek, ahol ez a folyamat elfedi vírusok (egyszer szeretnék koncentrálni: az álcázott, ez egy vírus, nem maga a folyamat rosszindulatú). Nézzük megérteni, hogyan kell kiszámítani, hogy mit kell csinálni velük.
Tisztában vagyunk azzal, svchost vírus meglehetősen csúnya dolgokat alatta maszkolást
Kezdjük azzal, hogy a rendszer svchost.exe tartózkodik kizárólag a mappában:
C: \ WINDOWS \ system32
C: \ WINDOWS \ ServicePackFiles \ i386
C: \ WINDOWS \ Prefetch
C: \ WINDOWS \ winsxs \ *
Ahol a C: \ - vezetni, ahol a rendszer van telepítve, a * - hosszú mappa nevet, mint amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ ru-ru_f65efa35122fa5be
Ha ez bárhol máshol, különösen valami csoda-ben telepedett le a legtöbb Windows mappában, akkor a legvalószínűbb (csaknem 95,5%), ami egy vírus (ritka kivételtől eltekintve).
Itt van néhány módja leplezése vírusok alatt ezt a folyamatot:
És néhány a leggyakrabban használt fájl nevét, vírus álcázva svchost.exe:
svshost.exe (az angol helyett a „c” használják orosz „c”)
svch0st.exe (helyett „o” használják nulla)
svchos1.exe (helyett a „t” egységet használjuk)
svcchost.exe (2 "c")
svhost.exe (hiányzó "c")
svchosl.exe (ahelyett, hogy a "T" használt "l")
svchost32.exe ( „32” adunk a vége)
svchosts32.exe (adunk a vége „S32”)
svchosts.exe ( „s” hozzá, hogy a végén)
svchoste.exe ( „e” adunk a vége)
svchostt.exe (2 "t" a végén)
svchosthlp.exe (adunk a végén a „HLP”)
svehost.exe (ahelyett, hogy "c" által használt "e")
svrhost.exe (ahelyett, hogy "c" használt "R")
svdhost32.exe (ahelyett, hogy „c” használt „d” + hozzá, hogy a végén „32”)
svshost.exe (ahelyett, hogy "c" használt "s")
svhostes.exe (átugorja „c” + „ES” adunk a végén)
svschost.exe (miután "v" hez hozzáadunk felesleges mennyiségű "s")
svcshost.exe (miután "c" hozzáadott plusz "s")
svxhost.exe (ahelyett, hogy "c" által használt "x")
syshost.exe (helyett "vc" használt "YS")
svchest.exe (helyett "o" használt "e")
svchoes.exe (ahelyett, hogy "st" használt "es")
svho0st98.exe
ssvvcchhoosst.exe
Tekintse meg a fájl nevét lehet a feladatkezelő, bár azt ajánlom azonnali használatra Process Explorer javára használja, akkor azonnal látni az utat, és egyéb információk egyszerűen duplán kattintva a lista folyamatot.