Наиболее распространенные местоположения вирусов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами) C:\WINDOWS\svchost.exe
C:\WINDOWS\system\svchost.exe (касается только Windows XP/NT/2000)
C:\WINDOWS\config\svchost.exe
C:\WINDOWS\inet20000\svchost.exe
C:\WINDOWS\inetsponsor\svchost.exe
Помимо этого очень многие вирусы пытаются себя замаскировать, используя имена и названия, которые очень похожи на название "svchost" (в этом случае местоположение файлов уже может быть абсолютно любое, в том числе достаточно часто используется и папка WINDOWS\system32).
Наиболее распространенные названия файлов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами)
svсhost.exe (вместо английской "c" используется русская "с")
svcchost.exe (2 "c")
svhost.exe (пропущено "c")
svch0st.exe (вместо "o" используется ноль)
svchos1.exe (вместо "t" используется единица)
svchosl.exe (вместо "t" используется "l")
svchosts.exe (в конец добавлено "s")
svchoste.exe (в конец добавлено "e")
svchostt.exe (2 "t" на конце)
svchost32.exe (в конец добавлено "32")
svchosts32.exe (в конец добавлено "s32")
svchosthlp.exe (в конец добавлено "hlp")
svdhost32.exe (вместо "c" используется "d" + в конец добавлено "32")
svshost.exe (вместо "c" используется "s")
svehost.exe (вместо "c" используется "e")
svrhost.exe (вместо "c" используется "r")
svchest.exe (вместо "o" используется "e")
svschost.exe (после "v" добавлено лишнее "s")
svcshost.exe (после "c" добавлено лишнее "s")
svxhost.exe (вместо "c" используется "x")
syshost.exe (вместо "vc" используется "ys")
svchoes.exe (вместо "st" используется "es")
svhostes.exe (пропущено "c" + в конец добавлено "es")
svho0st98.exe
ssvvcchhoosst.exe
Также обязательно должно насторожить, если svchost.exe (или что-либо похожее) каким-либо образом пытается записать себя в обычную автозагрузку (т.е. помимо запуска в качестве системной службы, использует Windows StartUp или ini-файлы). Реальные примеры подобных вирусов из логов HijackThis:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\config\svchost.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\config\svchost.exe
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Win32 Update] svchosts.exe
O4 - HKLM\..\RunOnce: [Win32 Update] svchosts.exe
O4 - HKLM\..\RunServices: [Win32 Update] svchosts.exe
O4 - HKCU\..\Run: [Win32 Update] svchosts.exe
O4 - HKCU\..\RunOnce: [Win32 Update] svchosts.exe
O4 - HKLM\..\Run: [GNP Generic Host Process] C:\WINDOWS\system\svchost.exe
O4 - HKLM\..\Run: [WinService32] C:\Program Files\System32\svchost.exe
O4 - HKLM\..\Run: [svc] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Microsoft ® Windows Configuration Backup Service] C:\WINDOWS\config\svchost.exe
O4 - HKLM\..\Run: [Microsoft ® Windows Configuration Manager] C:\WINDOWS\system\svchost.exe
O4 - Startup: svchost.exe
O4 - Global Startup: svchost.exe
В лечении подобных случаев может быть очень полезен: SDFix (см. следующий пост).