Svchost suspect


4

Je trouve de nombreuses instances connectées via 7 ports de mon système lorsque j'ai ouvert TCPView (Sysinternals). Serait-ce à cause d'un malware? Comment le savoir sans outils antivirus.

Réponses:


4

Ne paniquez pas! (encore) Svchost peut avoir plusieurs instances .

Au démarrage, Svchost.exe vérifie la partie services du registre pour créer une liste de services qu’il doit charger. Plusieurs instances de Svchost.exe peuvent être exécutées simultanément. Chaque session Svchost.exe peut contenir un groupe de services. Par conséquent, des services distincts peuvent s'exécuter, en fonction du mode et du lieu de démarrage de Svchost.exe. Ce regroupement de services permet un meilleur contrôle et un débogage plus facile.

Vous pouvez lire un peu plus à la HowToGeek page
Svchost Viewer montre exactement ce que chaque instance svchost.exe que fait


Pas de malwares en dehors d'une pléthore de services Windows.
darthvader

2

Cela pourrait en effet être le résultat d'un malware. Svchost.exe est un logiciel couramment utilisé pour générer des processus malveillants. Dans certains cas, svchost peut effectivement rendre difficile la recherche du programme incriminé sans entrer dans les détails.

TCPView est pratique pour voir quels processus parlent sur le réseau. Process Explorer a un onglet Historique E / S qui est également très utile pour ce processus. Je recommanderais également d'utiliser filemon pour déterminer quels fichiers sont ouverts. Les logiciels malveillants tenteront dans de nombreux cas de vous empêcher de supprimer / modifier leur exécution en verrouillant le fichier.

Les PID peuvent être utiles pour déterminer quels processus ont engendré d'autres processus.

Généralement, lorsque j'arrive à ce stade, je soupçonne déjà l'existence de logiciels malveillants et je tue les processus un par un jusqu'à ce que je trouve le programme incriminé. Si le programme parle de bout en bout, alors une bonne indication que vous avez mis fin au bon programme serait la cessation du trafic réseau suspect. Certains logiciels malveillants sont conçus pour se comporter très mal. Dans ce cas, il n’est pas difficile à détecter. Les processus qui ne consomment pas toutes les ressources système et ne "téléphonent pas à la maison" sur Internet sont les plus difficiles à détecter à l’état sauvage.


Oui, j'ai entendu des histoires horribles sur des malwares exécutés au nom de svchost. Je pensais avoir trouvé un jusqu'à ce que j'ai vérifié l'outil nic avait mentionné dans la première réponse
darthvader
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.