Hogyan lehet azonosítani a vírus álcázott rendszer folyamat svchost, fehér ablakok
Hogyan lehet azonosítani a vírus álcázott rendszer folyamat svchost
S általában, a legtöbb trójaiak és kémprogramok megpróbálják elrejteni jelenlétét a számítógépen, amelyhez igénybe különböző trükkökkel, például gondosan elrejtik a folyamatokat vagy álcázott rendszer feldolgozza. Lehetséges „áldozat” a vírus lehet bármely rendszer folyamat, de a legtöbb rosszindulatú programok mögé a maszkja svchost folyamat.
És ez van az oka. Az a tény, hogy az svchost fut több példányban néz ki, szinte semmi megkülönböztethetetlen egymástól, úgy, hogy ha a Task Manager lesz még egy svchost folyamat, és a számuk elérheti a több tíz konkrét gyanú a részét a felhasználó, ez nem okoz. De ha azok azonosak, hogyan kell meghatározni, hogy ezek közül jelen van, és a farkas báránybőrbe bújt?
Kiderült, hogy nem olyan nehéz, de mielőtt elkezdi azonosítani őket, hagyja, hogy egy pár szót a folyamat svchost. Ahogy a teljes neve Generic Host Process for Win32 Services. feleli a szolgáltatások teljesítése, és a szolgáltatások, mind a rendszer és a harmadik fél a DLL könyvtár használatával. ami viszont alkotják jelentős része a Windows fájlokat és programokat.
Ez a folyamat nagyon fontos, hogy ha svchost.exe fájl megsérült, a Windows nem lesz képes normális működését. Az operációs rendszer van jelen, legalább négy példányát svchost folyamat, de sokkal több is lehet. Annak szükségességét, hogy az ilyen másolás miatt számos kiszolgált szolgáltatások és szolgáltatási folyamatok, valamint annak szükségességét, hogy a rendszer stabilitását.
Szóval, honnan tudod, hogy a jelen svchost? Az első kritérium svchost.exe fájl hitelességét a helyét. Jogos élőhelye a következő mappákat:
P Megjegyzés: A csillag a végén az út C: / WINDOWS / winsxs azt jelenti, hogy a mappában winsxs lehet még egy könyvtárba. Általános szabály, hogy van egy hosszú neve a karakterkészlet például amd64_3ware.inf.resources_31bf3856ad364e35_6.3.9600.16384_ru-ru_7f622cb60fd30b1c. Mint kivétel a szabály alól svchost.exe fájl található a könyvtárban antispyware programot Malwarebytes Anti-Malware.
Ha rajtakapják minden más mappa, különösen a Windows gyökér vagy „Felhasználók”. akkor valószínű, hogy van dolga egy vírus maszkolást. Ellenőrizze svchost.exe fájl helyét lehet a Feladatkezelő. kattintva a folyamat a jobb egérgombbal, és válassza ki a „Fájl megnyitása hely” a menüben vagy a harmadik fél segédprogramok, mint Process Explorer. Egy harmadik fél fájlkezelõk, akkor is keressen az összes svchost.exe fájlok maszk.
Az utóbbi módszer nem olyan megbízható, mint utánozni a folyamat svchost vírus használható sokkal okosan álcázzák. Például a fájl neve az egyik latin betűkkel lehet helyettesíteni cirill. Külsőleg, a fájl nem lesz más, mint a jelenlegi. Sőt, lehet található ugyanabban a könyvtárban, mint a „jó» svchost.exe. Ahhoz azonban, hogy ellenőrizzük annak hitelességét nem nehéz. Elég csak összehasonlítani a karakter kódok fájlnevet az Unicode karakter táblázat. Néha svchost fájlnevet adunk egy extra levél, vagy fordítva, kimarad. A gondatlan felhasználó lehet, hogy nem veszi észre a különbséget, mondjuk, svchost.exe és svhost.exe.
Azonban a rohanás, hogy távolítsa el a gyanús svchost azonnal nem szükséges. Már a kezdet kezdetén jó lenne kipróbálni, hogy egy több antivírus szolgáltatások, mint a VirusTotal és ha egy gyanús fájlt lesz egy hamis, de pozitív eredményt ad az egyik víruskereső programokat. A rosszindulatú fájl álcázott Svchost eltávolítjuk alkalmazásával Dr.Web LiveDisk vagy AVZ segédprogramot. Ha lesz használva AVZ. akkor is kell egy külön script, amely letölthető az alábbi linkre.
Algoritmus víruseitávoiitó következő AVZ: segédprogram futtatásához, a File menüből válassza a „Run Script” majd illessze be a script kódot a mellékelt fájlt, majd kattintson a „Run”. Ebben a számítógép újraindul.
Elindítása után ellenőrizze, hogy a vírus eltávolítása, és végezzenek teljes scan a rendszer partíció víruskeresőt.