Очень часто у пользователей возникает вопрос - что это за приложение "svchost.exe", наблюдаемое ими в списке процессов, и почему оно загружено в нескольких экземплярах?
SVCHOST.EXE - это главный системный процесс для тех служб, которые запускаются из динамически загружаемых библиотек (DLL-файлов).
И действительно несколько экземпляров процесса svchost.exe могут быть запущены одновременно (но с разными PID*). Так как каждый из таких экземпляров представляет собой определенную преимущественно системную службу или же группу служб. Эти группы определены в следующем разделе реестра:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SvcHost
Каждый параметр этого раздела представляет собой отдельную Svchost-группу и отображается при просмотре активных процессов, как отдельный экземпляр svchost.exe.
Также, чтобы просмотреть список служб, выполняющихся в каком-либо процессе svchost.exe, можно сделать следующее:
Start > Run (Пуск > Выполнить)
Вписываем: CMD
Нажимаем ОК или клавишу ENTER.
В появившемся приложении вводим команду: tasklist /SVC
И нажимаем на клавишу ENTER. 
Список служб Windows XP, запускаемых с помощью svchost.exe:
(т.е. эти службы не являются вирусами!)
Английское название Русское название
Alerter Оповещатель
Application Management Управление приложениями
Automatic Updates Автоматическое обновление
Background Intelligent Transfer Service Фоновая интеллектуальная служба передачи
Bluetooth Support Service
COM+ Event System Система событий COM+
Computer Browser Обозреватель компьютеров
Cryptographic Services Службы криптографии
DCOM Server Process Launcher
DHCP Client DHCP-клиент
Distributed Link Tracking Client Клиент отслеживания изменившихся связей
DNS Client DNS-клиент
Error Reporting Service Служба регистрации ошибок
Fast User Switching Compatibility Совместимость быстрого переключения пользователей
Help and Support Справка и поддержка
HTTP SSL
Human Interface Device Access Доступ к HID-устройствам
Logical Disk Manager Диспетчер логических дисков
Messenger Служба сообщений
Network Connections Сетевые подключения
Network Location Awareness (NLA) Служба сетевого расположения (NLA)
Network Provisioning Service
Portable Media Serial Number Service Серийный номер переносного медиа-устройства
Remote Access Auto Connection Manager Диспетчер авто-подключений удаленного доступа
Remote Access Connection Manager Диспетчер подключений удаленного доступа
Remote Procedure Call (RPC) Удаленный вызов процедур (RPC)
Remote Registry Удаленный реестр
Removable Storage Съемные ЗУ
Routing and Remote Access Маршрутизация и удаленный доступ
Secondary Logon Вторичный вход в систему
Security Center Центр обеспечения безопасности
Server Сервер
Shell Hardware Detection Определение оборудования оболочки
SSDP Discovery Service Служба обнаружения SSDP
System Event Notification Уведомление о системных событиях
System Restore Service Служба восстановления системы
Task Scheduler Планировщик заданий
TCP/IP NetBIOS Helper Модуль поддержки NetBIOS через TCP/IP
Telephony Телефония
Terminal Services Службы терминалов
Themes Темы
Universal Plug and Play Device Host Узел универсальных PnP-устройств
Upload Manager Диспетчер отгрузки
WebClient Веб-клиент
Windows Audio Windows Audio
Windows Firewall/Internet Connection Sharing (ICS) Брандмауэр Интернета (ICF)/Общий доступ к Интернету (ICS)
Windows Image Acquisition (WIA) Служба загрузки изображений (WIA)
Windows Management Instrumentation Инструментарий управления Windows
Windows Management Instrumentation Driver Extensions Расширения драйверов WMI
Windows Time Служба времени Windows
Wireless Zero Configuration Беспроводная настройка
Workstation Рабочая станция
Список "левых" служб, ссылающихся на svchost.exe:
(т.е. эти службы были созданы вирусами!)
Название службы Командная строка
AppMgmt svchost.exe -k AppMgmt
Browser svchost.exe -k Browser
COM Message Transfer (mscommt) svchost.exe -k mscommt
Disk Monitor Services (DiskMon32) svchost.exe -k dmon
dmserver svchost.exe -k
DNS Server (DNS Server) svchost.exe
FastUserSwitchingCompatibil (Fast User Switching Compatibil) svchost.exe
Generic Host Process For Win32 Services (Generic Host Process) svchost.exe
generic host process (svchost) svchost.exe
Hardware Detection (Serv-U) svchost.exe
Host Services (Host Services) svhosts.exe
IPRIP (IPRIP) svchost.exe -k netsvcs
kdc svchost.exe -k kdc
LmHosts svchost.exe -k LmHosts
Messenger svchost.exe -k Messenger
MS Internet Countermeasures Framework (ICF) \System32: svchost.exe
NetLogon svchost.exe -k
Network Connections Sharing (RpcTftpd) svchost.exe
Network DDE DSMA (NetDDEdsma) svchost.exe
ntmssvc svchost.exe -k ntmssvc
NVIDIA Driver ServiceЎЎ (NVSv) svchost.exe
RasAt (Remote Connection) svchost.exe
Policy Agent svchost.exe -k Policy Agent
Power Manager (PowerManager) svchost.exe
ProtectedStorage svchost.exe -k ProtectedStorage
Server Management Service svchost.exe
SVC Module (SVC Module) svchost.exe
svchost SVCHOST.EXE
svchost.exe (moto) svchost.exe
svchost.exe (moto) любое название из 18-ти знаков
svchost.exe (svchost.exe) svchost.exe
System Event Messaging svchost.exe
taskmng (svchost) svchost.exe
TrkSvr svchost.exe -k TrkSvr
TrkWks svchost.exe -k TrkWks
W32Time svchost.exe -k W32Time
Windows Configuration Backup Service (CfgBackupSvc) svchost.exe
Windows Configuration Loader (Windows Configuration Loader) SVCHOST.EXE
Windows Configuration Manager (ConfigMgr) svchost.exe
Windows Kernel (Windows Kernel) svchost.exe
Windows Management (Windows Management) svchost.exe
Windows Network Mapping Service (NetMap) svchost.exe
Windows Security Drivers (csrs) svchost.exe
Windows Smrss Service svchost.exe
.NET Framework Service svchost.exe
.NET Framework Service (.NET Connection Service) svchost.exe
Обязательно нужно иметь в виду, что системный файл svchost.exe должен находиться в папке:
C:\WINDOWS\system32 (касается только Windows XP/NT/2000)
Если он находится в папке WINDOWS и/или файлов с таким названием в вашей системе несколько, то, скорее всего, у вас живет вирус. Я сказала именно "скорее всего", так как несколько копий файла svchost.exe - это всё-таки еще не гарантия заражения.
Например, вас ни в коем случае не должны пугать копии файла svchost.exe в таких папках, как:
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\Prefetch
а также некоторых других. Или, к примеру, файл с названием svchost.exe создается при установке антивируса BullGuard:
C:\Program Files\BullGuard Software\svchost.exe
который также к вирусам никакого отношения не имеет. Поэтому еще раз замечу, что в первую очередь, обращать внимание нужно именно на папку WINDOWS, т.к. она наиболее часто используется в целях маскировки под настоящий файл svchost.exe.
Наиболее распространенные местоположения вирусов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами)
C:\WINDOWS\svchost.exe
C:\WINDOWS\system\svchost.exe (касается только Windows XP/NT/2000)
C:\WINDOWS\config\svchost.exe
C:\WINDOWS\inet20000\svchost.exe
C:\WINDOWS\inetsponsor\svchost.exe
Помимо этого очень многие вирусы пытаются себя замаскировать, используя имена и названия, которые очень похожи на название "svchost" (в этом случае местоположение файлов уже может быть абсолютно любое, в том числе достаточно часто используется и папка WINDOWS\system32).
Наиболее распространенные названия файлов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами)
svсhost.exe (вместо английской "c" используется русская "с")
svcchost.exe (2 "c")
svhost.exe (пропущено "c")
svch0st.exe (вместо "o" используется ноль)
svchos1.exe (вместо "t" используется единица)
svchosl.exe (вместо "t" используется "l")
svchosts.exe (в конец добавлено "s")
svchoste.exe (в конец добавлено "e")
svchostt.exe (2 "t" на конце)
svchost32.exe (в конец добавлено "32")
svchosts32.exe (в конец добавлено "s32")
svchosthlp.exe (в конец добавлено "hlp")
svdhost32.exe (вместо "c" используется "d" + в конец добавлено "32")
svshost.exe (вместо "c" используется "s")
svehost.exe (вместо "c" используется "e")
svrhost.exe (вместо "c" используется "r")
svchest.exe (вместо "o" используется "e")
svschost.exe (после "v" добавлено лишнее "s")
svcshost.exe (после "c" добавлено лишнее "s")
svxhost.exe (вместо "c" используется "x")
syshost.exe (вместо "vc" используется "ys")
svchoes.exe (вместо "st" используется "es")
svhostes.exe (пропущено "c" + в конец добавлено "es")
svho0st98.exe
ssvvcchhoosst.exe
Также обязательно должно насторожить, если svchost.exe (или что-либо похожее) каким-либо образом пытается записать себя в обычную автозагрузку (т.е. помимо запуска в качестве системной службы, использует Windows StartUp или ini-файлы). Реальные примеры подобных вирусов из логов HijackThis:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\config\svchost.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\config\svchost.exe
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Win32 Update] svchosts.exe
O4 - HKLM\..\RunOnce: [Win32 Update] svchosts.exe
O4 - HKLM\..\RunServices: [Win32 Update] svchosts.exe
O4 - HKCU\..\Run: [Win32 Update] svchosts.exe
O4 - HKCU\..\RunOnce: [Win32 Update] svchosts.exe
O4 - HKLM\..\Run: [GNP Generic Host Process] C:\WINDOWS\system\svchost.exe
O4 - HKLM\..\Run: [WinService32] C:\Program Files\System32\svchost.exe
O4 - HKLM\..\Run: [svc] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Microsoft ® Windows Configuration Backup Service] C:\WINDOWS\config\svchost.exe
O4 - HKLM\..\Run: [Microsoft ® Windows Configuration Manager] C:\WINDOWS\system\svchost.exe
O4 - Startup: svchost.exe
O4 - Global Startup: svchost.exe
Источник: http://saule.sporaw.ru/index.html
