Я нахожу много экземпляров, подключенных через целых 7 портов в моей системе, когда я открыл TCPView (Sysinternals). Может ли это быть из-за вредоносного ПО? Как это выяснить без антивирусных инструментов.
2 ответа
Не паникуйте! (пока) Svchost может иметь несколько экземпляров.
При запуске Svchost.exe проверяет сервисную часть реестра, чтобы создать список сервисов, которые он должен загрузить. Несколько экземпляров Svchost.exe могут работать одновременно. Каждый сеанс Svchost.exe может содержать группу служб. Поэтому отдельные службы могут работать в зависимости от того, как и где запускается Svchost.exe. Эта группировка сервисов обеспечивает лучший контроль и упрощает отладку.
Вы можете прочитать больше на странице HowToGeek ,
Svchost Viewer показывает, что делает каждый экземпляр svchost.exe
Это действительно может быть результатом вредоносных программ. Svchost.exe обычно используется для порождения вредоносных процессов. В некоторых случаях svchost может фактически затруднить поиск программы-нарушителя, не вдаваясь в подробности.
TCPView удобен для наблюдения за процессами, проводящимися по проводам, в Process Explorer есть вкладка истории ввода / вывода, которая также весьма полезна для этого процесса. Я также рекомендовал бы использовать filemon, чтобы определить, какие файлы открыты. Вредоносное ПО во многих случаях пытается помешать вам удалить / изменить его среду выполнения, заблокировав файл.
PID могут быть полезны при определении того, какие процессы породили другие процессы.
Обычно, когда я достигаю этой точки, я уже подозреваю, что существует вредоносное ПО, и я убиваю процессы по одному, пока не найду нарушающую программу. Если программа разговаривает по сети, то хорошим подтверждением того, что вы остановили нужную программу, будет прекращение подозрительного сетевого трафика. Некоторые вредоносные программы спроектированы так, чтобы вести себя очень плохо, поэтому в этих случаях их нетрудно обнаружить. Процессы, которые не потребляют всех системных ресурсов и не "звонят домой" по Интернету, являются наиболее сложными для обнаружения в дикой природе.