Посмотрев на скриншот, вы обнаружите, что есть два svchost.exe .
Один из них - svchost.exe (NetworkService) а другой - svchost.exe (LocalServiceAndNoImpersonation)
svchost.exe (LocalServiceAndNoImpersonation) активен только и использует сеть, когда firefox.exe активен.
Некоторые вредоносные программы часто используют имя процесса svchost.exe для маскировки. Исходный системный файл svchost.exe находится в C:\Windows\System32 . Эти услуги расположены где-то еще? Если они это сделают, то они вредоносные программы.
Что такое svchost.exe?
svchost.exe - это системный процесс, в котором размещены несколько служб Windows, или как описывает Microsoft: «svchost.exe - это общее имя хост-процесса для служб, которые запускаются из динамически подключаемых библиотек».
Почему существует несколько svchost.exes?
Существует несколько экземпляров этой службы, потому что, если каждая отдельная служба запускается под одним экземпляром svchost.exe , сбой в одном из них может привести к выходу из строя всех Windows, поэтому они будут разделены.
Вы можете анализировать сервисы, используя такой инструмент, как Process Explorer, и получать больше информации об их активности.
Рекомендации: howtogeek
Нет, это не вирус / вредоносное ПО.
Вы говорите, что он появляется только тогда, когда вы открываете Firefox, возможно, за этим нет вредоносного ПО.
У меня также есть этот процесс svchost, выполняющий LocalServiceAndNoImpersonation, и этот компьютер чистый.
До сих пор LocalServiceAndNoImpersonation является законным процессом и используется Windows AppLocker.
Windows AppLocker - это функция безопасности Windows.
https://technet.microsoft.com/en-us/library/dd759117.aspx
AppLocker - это новая функция в Windows 7 и Windows Server 2008 R2, которая позволяет указать, какие пользователи или группы могут запускать определенные приложения в вашей организации на основе уникальных идентификаторов файлов. Если вы используете AppLocker, вы можете создавать правила, разрешающие или запрещающие запуск приложений.
Вы можете проверить это с ProcessExplorer. https://technet.microsoft.com/sysinternals/bb896653
Там должна быть также упомянутая загруженная DLL.
http://www.bleepingcomputer.com/startups/appidsvc.dll-25613.html
Служба Microsoft, которая используется AppLocker для определения и проверки подлинности приложения. Обратите внимание, что эта служба запускается svchost.exe, но фактическое приложение - это то, что указано в имени файла.
