%E3%80%8D%20-%20%E3%81%93%E3%82%8C%E3%81%AF%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9%2F%E3%83%88%E3%83%AD%E3%82%A4%E3%81%AE%E6%9C%A8%E9%A6%AC%E3%81%A7%E3%81%99%E3%81%8B%3F.png)
スクリーンショットを見ると、 が 2 つあることがわかりますsvchost.exe。
一つはsvchost.exe (NetworkService)、もう一つはsvchost.exe (LocalServiceAndNoImpersonation)
svchost.exe (LocalServiceAndNoImpersonation)firefox.exeはアクティブなときのみアクティブであり、アクティブなときにネットワークを使用します。
答え1
一部のマルウェアは、自分自身を偽装するために というプロセス名を使用することがよくありますsvchost.exe。元のシステム ファイルsvchost.exeは にありますC:\Windows\System32。これらのサービスは別の場所にありますか? それ以外の場所にある場合、それはマルウェアです。
svchost.exe とは何ですか?
svchost.exe複数の Windows サービスをホストするシステム プロセスです。Microsoft の説明によると、「svchost.exe は、ダイナミック リンク ライブラリから実行されるサービスの一般的なホスト プロセス名です」。
svchost.exe が複数あるのはなぜですか?
このサービスには複数のインスタンスがあります。すべてのサービスが単一のインスタンスで実行されるとsvchost.exe、1 つのインスタンスで障害が発生すると Windows 全体が停止する可能性があるためです。そのため、インスタンスは分離されています。
次のようなツールを使用してサービスを分析できます。プロセスエクスプローラー彼らの活動に関する詳細な情報を得ることができます。
参考文献: ハウツーギーク
答え2
いいえ、ウイルス/マルウェアではありません。
Firefox を開いたときにのみ表示されるとのことですが、背後にマルウェアは存在しない可能性があります。
また、この svchost プロセスは LocalServiceAndNoImpersonation を実行しており、この PC はクリーンです。
これまでのところ、LocalServiceAndNoImpersonation は正当なプロセスであり、Windows AppLocker によって使用されています。
Windows AppLocker は Windows のセキュリティ機能です。
https://technet.microsoft.com/ja-jp/library/dd759117.aspx
AppLocker は、Windows 7 および Windows Server 2008 R2 の新機能で、ファイルの一意の ID に基づいて、組織内の特定のアプリケーションを実行できるユーザーまたはグループを指定できます。AppLocker を使用すると、アプリケーションの実行を許可または拒否するルールを作成できます。
ProcessExplorer で検査できます。 https://technet.microsoft.com/sysinternals/bb896653
ロードされた DLL も記載されているはずです。
http://www.bleepingcomputer.com/startups/appidsvc.dll-25613.html
AppLocker がアプリケーションの ID を判別および検証するために使用する Microsoft サービスです。このサービスは svchost.exe によって起動されますが、実際のアプリケーションはファイル名としてリストされているものであることに注意してください。