» svchost.exe

У меня в процесах видно
svchost.exe - local service
svchost.exe - network service
svchost.exe - system
svchost.exe - system

Четыре одинаковых процеса, может это вирус?

Цитата:

Особенности хост-процесса Svchost

Вопрос:
Почему на моем компьютере оказалось так много копий файла svchost.exe?

Ответ:
Svchost – это хост-процесс, который исполняет службы, когда они запускаются из DLL...

Продолжение здесь: http://www.osp.ru/win2000/worknt/2001/04/425.htm


Добавлено
Насколько я понимаю, через него идет работа с сетью, и наличие в процессах нескольких его экземпляров еще не говорит о зараженности.
Но чем их больше - тем выше вероятность.
Лишняя проверка никогда не помешает.

webdeveloper
все правильно, так и должно быть

Спасибо, успокоили

webdeveloper
я согласен с утверждением что чем их больше тем больше вероятность зараженности...было однажды такое здесь...
еще случалось что некий вирус имел имя запущенного процесся очень похожий на имя нормального процесса, так что с первого взгляда и не разобрать можно было...лишнего внимания тут не помешает...

Цитата:

еще случалось что некий вирус имел имя запущенного процесся очень похожий на имя нормального процесса, так что с первого взгляда и не разобрать можно было...

svchostc.exe
Тоже сталкивался

tumber
да, именно я и с таким сталкивался точно

webdeveloper

Цитата:

все правильно, так и должно быть

Правильно потому что, много сервисов его используют, но с разными ключами :

Remote Procedure Call (RPC)
WINDOWS\system32\svchost -k rpcss

Network Connections
WINDOWS\System32\svchost.exe -k netsvcs
и т.д.

Цитата:

У меня в процесах видно
svchost.exe - local service
svchost.exe - network service
svchost.exe - system
svchost.exe - system

а если у меня 2 раза запушен svchost.exe - network service?! появилось после установки SP2 под WinXP. где-то читал, что чтобы посмотреть от куда запускается слушба нужно ее выделить и нажать F3. не работает. может кто знает как это можно сделать?!

thx

Почитала я тут на форуме много чего про svchost.exe
и поняла,что больше или меньше 4-х таких процессов -ето уже не нормально. У меня их 6.
Один из них у меня еще вчера был 30мгб, но сегодня он 20мгб
что не так!?


а процессов то, процессов, целых 40

Цитата:

Process File: svchost or svchost.exe
Process Name: Microsoft Service Host Process

Description:
svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated.

http://www.liutilities.com/products/wintaskspro/processlibrary/

Добавлено

Цитата:

Почитала я тут на форуме много чего про svchost.exe
и поняла,что больше или меньше 4-х таких процессов -ето уже не нормально. У меня их 6.
Один из них у меня еще вчера был 30мгб, но сегодня он 20мгб
что не так!?

20 метров памяти жрать - это круто... Может и правда что-то не то? Хотя 40 процессов, может какому-то из них как раз svchost и нужен.

Хорошая ссылка pmaker


Цитата:

20 метров памяти жрать - это круто... Может и правда что-то не то? Хотя 40 процессов, может какому-то из них как раз svchost и нужен.

Сеодня уже не 20, а 34 мгб

а что делать если он не только висит в памяти, но и постоянно жрет 97% ресурсов процессора? при этом если его вырубаешь, появляется сообщение RPC, что система через минуту перезагрузится, как при вирусе...

как бороться?

antonm80
Помогла переустановка на WinXP SP2. Пробовал лечить антивиром - Др.Веб, Аваст, Каспер, фаерволы, - ничего не помогло.

Кстати, в Process Explorer c sysinternals.com можно выставить, чтобы на каждый процесс показывалась командная строка, с которой запущен svchost.exe и не только. К тому же два вида отображения (в виде дерева и обычным списком) помагают сразу выявить какую-то лажу (трояны, руткиты и т.д.) 99% случаев Process Explorer - тулза диагностики и первой помощи. К тому же бесплатная, в отличие от большинства других таск менеджеров.

У меня был вирус с именем svchost.exe так он лежал в C:\windows и жрал много памяти, поймал его Касперский!!! глянти svchost.exe должен лежать только в C:\windows\system32 !!!!!!

duda_anton

Цитата:

У меня был вирус с именем svchost.exe

Вирус запускается ТОЛЬКО от имени пользователя. То есть если он запущен от system, network service или local service - всё нормально.

На данный момент у меня их 5, всего памяти жрут 27,32 метра, когда воспользуюсь тузлой Tweak-XP Pro v3 то размер уменьшаеться в два раза...

Hanshi

Цитата:

чтобы посмотреть от куда запускается слушба нужно ее выделить и нажать F3

Да, только не в Task Manager, а в Far Manager

у меня 5 svchost.exe
больше всех жрет (16 Мб) - ...\svchost.exe -k netsvcs

Цитата:

Это правило запрещает приложению SVCHOST.EXE любую сетевую активность

Я запретил ему выходить в сеть. Это может как-то негативно отразится?

млин а уменя всего 3 SVCHOST.EXE и все System... ето тож нормально?

Люди хватит париться...
Если процессы называються именно svchost.exe (это сокращение от SerViCe Host) - все ок.
Вопрос в том нужны ли вам все они? А это уже зависит от ситуации...При отсутствии инета и сетки можно рубить одни службы, в других случаях другие...

Цитата:

Если процессы называються именно svchost.exe (это сокращение от SerViCe Host) - все ок.

Не согласен. Что мешает вирю так назваться. И они могут быть запущены от имени системы в особо тяжелых случаях.
Отличить вирь от настоящего svchost.exe можно по папке (настоящий в System32)
Количество процессов может варьироваться в зависимости от настроек и софта.

Действительно, хватит париться
1. Смотрим какие службы сидят под каждым svchost.exe: tlist -s или tasklist /svc
2. Если для какого-то svchost.exe в поле Services стоит N/A - на него стоит обратить внимание (откуда запускается и т.д....).
Если перечислены какие-то службы - ищем и читаем гугл по этим именам служб (например).

BeerLion
Не могли бы как-нибудь расшифровать Вашу фразу: "Смотрим какие службы сидят под каждым svchost.exe: tlist -s или tasklist /svc " не все же такие умные, как Вы. Где это смотрим?
Для остальных, простых юзеров. По поводу этого svchost уже давно много шума. Его как-то задействуют трояны. Можно почитать у Майкрософта - как определить - правильные у вас процессы svchost или нет. Но там страницы на полторы, в стиле а'ля г-н BeerLion, т.е. очень заумно и абсолютно непонятно простому смертному .
Проще найти загрузить программку Ad-Aware SE Personal (в персональной версии - бесплатную). Она сама просканирует все эти svchost.exe и предложит убить неправильные, на ее взгляд. Я убил все, которые она рекомендовала (штук 100!) . Удивился, откуда у меня какие-то Алехи сидят и прочая лабуда...

Andres_2003
в командной строке (run > cmd) набери этот tasklist /svc , 0тим ты просмотришь все сервисы запущенные под каждый процесс...
и вообще можно набрать tasklist /? и там много чего будет

kaxa
Блин, как -то у меня окошко MSDOS мгновенно закрывается, CTRL/o пробовал, чтобы его поймать - не вышло
Как-то раньше ярлык делал, чтобы MSDOS не закрывался, а сейчас забыл как...

V0lt
Це усе потому, что для выполнения нескольких служб обычно используется одна копия. А этой командной строкой запускается как раз нормальный хост.

Что до всякой швали - троянов итп - то это зверье так любит шифроваться под системные процессы потому что маскировка удачная, да и таскменеджер обычно отказывается терминировать процессы такие как csrss.exe (Cryptographic Service), lsass.exe (Local Security Accounts Shell), svchost.exe (Generic Host Process fo Win32 Services), и при этом не смотрит откуда запущен ехешник - например, из %SystemRoot%, а не %SystemDirectory% (e.g. \System32), и откуда стартанул - из секции служб реестра, или из HKLM(HKCU)\Software\Microsoft\Windows\CurrentVersion\Run, RunOnce, RunServices, etc.

Andres_2003

Цитата:

Блин, как -то у меня окошко MSDOS мгновенно закрывается,

Какой такой дос? Это не дос, а консоль.
И запускать нужно именно так как сказали:
Из run (Win-R) вызвать CMD, а уже в нем tasklist /svc