«svchost.exe (LocalServiceAndNoImpersonation)» — это вирус/троян?

Question 1

Некоторые вредоносные программы часто используют имя процесса svchost.exeдля маскировки. Исходный системный файл svchost.exeнаходится в C:\Windows\System32. Расположены ли эти службы где-то еще? Если да, то они являются вредоносными программами.

Что такое svchost.exe?

svchost.exe— это системный процесс, который размещает несколько служб Windows, или, как описывает Microsoft: «svchost.exe — это общее имя хост-процесса для служб, которые запускаются из динамически подключаемых библиотек».

Почему существует несколько файлов svchost.exe?

Существует несколько экземпляров этой службы, поскольку если бы каждая отдельная служба работала под управлением одного svchost.exeэкземпляра, сбой в одном из них мог бы привести к сбою всех Windows, поэтому они разделены.

Вы можете проанализировать услуги, используя такой инструмент, какОбозреватель процессови получить больше информации об их деятельности.

Использованная литература: кактогик

Answer

Некоторые вредоносные программы часто используют имя процесса svchost.exeдля маскировки. Исходный системный файл svchost.exeнаходится в C:\Windows\System32. Расположены ли эти службы где-то еще? Если да, то они являются вредоносными программами.

Что такое svchost.exe?

svchost.exe— это системный процесс, который размещает несколько служб Windows, или, как описывает Microsoft: «svchost.exe — это общее имя хост-процесса для служб, которые запускаются из динамически подключаемых библиотек».

Почему существует несколько файлов svchost.exe?

Существует несколько экземпляров этой службы, поскольку если бы каждая отдельная служба работала под управлением одного svchost.exeэкземпляра, сбой в одном из них мог бы привести к сбою всех Windows, поэтому они разделены.

Вы можете проанализировать услуги, используя такой инструмент, какОбозреватель процессови получить больше информации об их деятельности.

Использованная литература: кактогик

Question 2

Нет, это не вирус/вредоносная программа.

Вы говорите, что оно появляется только при открытии Firefox, но, возможно, за этим не стоит никакого вредоносного ПО.

У меня также запущен процесс svchost LocalServiceAndNoImpersonation, и этот ПК чист.

На данный момент LocalServiceAndNoImpersonation является легитимным процессом и используется Windows AppLocker.

Windows AppLocker — это функция безопасности Windows.

https://technet.microsoft.com/en-us/library/dd759117.aspx

AppLocker — это новая функция в Windows 7 и Windows Server 2008 R2, которая позволяет вам указать, какие пользователи или группы могут запускать определенные приложения в вашей организации на основе уникальных идентификаторов файлов. Если вы используете AppLocker, вы можете создавать правила, чтобы разрешать или запрещать запуск приложений.

Вы можете проверить его с помощью ProcessExplorer. https://technet.microsoft.com/sysinternals/bb896653

Также должна быть упомянута загруженная DLL.

http://www.bleepingcomputer.com/startups/appidsvc.dll-25613.html

Служба Microsoft, используемая AppLocker для определения и проверки подлинности приложения. Обратите внимание, что эта служба запускается svchost.exe, но фактическое приложение — это то, что указано в имени файла.

Answer