Процесс svchost.exe – что это и для чего он запущен? Svchost файл
| Alerter | Оповещатель |
| Application Management | Управление приложениями |
| Automatic Updates | Автоматическое обновление |
| Background Intelligent Transfer Service | Фоновая интеллектуальная служба передачи |
| Bluetooth Support Service | |
| COM+ Event System | Система событий COM+ |
| Computer Browser | Обозреватель компьютеров |
| Cryptographic Services | Службы криптографии |
| DCOM Server Process Launcher | |
| DHCP Client | DHCP-клиент |
| Distributed Link Tracking Client | Клиент отслеживания изменившихся связей |
| DNS Client | DNS-клиент |
| Error Reporting Service | Служба регистрации ошибок |
| Fast User Switching Compatibility | Совместимость быстрого переключения пользователей |
| Help and Support | Справка и поддержка |
| HTTP SSL | |
| Human Interface Device Access | Доступ к HID-устройствам |
| Logical Disk Manager | Диспетчер логических дисков |
| Messenger | Служба сообщений |
| Network Connections | Сетевые подключения |
| Network Location Awareness (NLA) | Служба сетевого расположения (NLA) |
| Network Provisioning Service | |
| Portable Media Serial Number Service | Серийный номер переносного медиа-устройства |
| Remote Access Auto Connection Manager | Диспетчер авто-подключений удаленного доступа |
| Remote Access Connection Manager | Диспетчер подключений удаленного доступа |
| Remote Procedure Call (RPC) | Удаленный вызов процедур (RPC) |
| Remote Registry | Удаленный реестр |
| Removable Storage | Съемные ЗУ |
| Routing and Remote Access | Маршрутизация и удаленный доступ |
| Secondary Logon | Вторичный вход в систему |
| Security Center | Центр обеспечения безопасности |
| Server | Сервер |
| Shell Hardware Detection | Определение оборудования оболочки |
| SSDP Discovery Service | Служба обнаружения SSDP |
| System Event Notification | Уведомление о системных событиях |
| System Restore Service | Служба восстановления системы |
| Task Scheduler | Планировщик заданий |
| TCP/IP NetBIOS Helper | Модуль поддержки NetBIOS через TCP/IP |
| Telephony | Телефония |
| Terminal Services | Службы терминалов |
| Themes | Темы |
| Universal Plug and Play Device Host | Узел универсальных PnP-устройств |
| Upload Manager | Диспетчер отгрузки |
| WebClient | Веб-клиент |
| Windows Audio | Windows Audio |
| Windows Firewall/Internet Connection Sharing (ICS) | Брандмауэр Интернета (ICF)/Общий доступ к Интернету (ICS) |
| Служба загрузки изображений (WIA) | |
| Windows Management Instrumentation | Инструментарий управления Windows |
| Windows Management Instrumentation Driver Extensions | Расширения драйверов WMI |
| Windows Time | Служба времени Windows |
| Wireless Zero Configuration | Беспроводная настройка |
| Workstation | Рабочая станция |
docwin.ru
Как выявить вирус, маскирующийся под системный процесс svchost
Как правило, большинство троянских и шпионских программ стараются скрыть своё присутствие на компьютере для чего прибегают к различного рода хитростям, например, тщательно прячут свои процессы либо маскируются под процессы системные. Потенциальной «жертвой» вируса может стать любой системный процесс, но чаще всего вредоносные программы прикрываются маской процесса svchost.
И на это у них есть свои причины. Дело в том, что svchost запускается в нескольких экземплярах внешне практически ничем неотличимых друг от друга, так что если в Диспетчере задач появится ещё один процесс svchost, а их число может достигать нескольких десятков, особого подозрения со стороны пользователя это не вызовет. Но если они одинаковы, как определить, какой из них является настоящим, а какой волком в овечьей шкуре?
Оказывается, что не так уже и сложно, но перед тем как приступать к их идентификации, позвольте пару слов о самом процессе svchost. Как видно из его полного названия Generic Host Process for Win32 Services, отвечает он за работу служб и сервисов, причём как системных, так и сторонних, использующих динамические библиотеки DLL, которые в свою очередь составляют немалую часть файлов Windows и прикладных программ.
Этот процесс настолько важен, что если файл svchost.exe будет повреждён, Windows не сможет нормально работать. В работающей системе присутствует как минимум четыре экземпляра процесса svchost, но их может быть и значительно больше. Необходимость такого дублирования объясняется количеством обслуживаемых процессом служб и сервисов, а также необходимостью обеспечения стабильности системы.
Итак, как же узнать, является ли svchost настоящим? Первым критерием подлинности файла svchost.exe является его месторасположение. Его законным местом обитания являются следующие папки:
• C:/WINDOWS/system32• C:/Windows/SysWOW64• C:/WINDOWSPrefetch• C:WINDOWS/ServicePackFiles/i386• С:/WINDOWS/winsxs/*
Примечание: звёздочка в конце пути С:/WINDOWS/winsxs обозначает, что в папке winsxs может быть ещё один каталог. Как правило, он имеет длинное название из набора символов, например, amd64_3ware.inf.resources_31bf3856ad364e35_6.3.9600.16384_ru-ru_7f622cb60fd30b1c. В виде исключения из правил файл svchost.exe может располагаться в каталоге антишпионской программы Malwarebytes Anti-Malware.
Если же он обнаружится в какой-нибудь другой папке, особенно в корневой Windows или в «Пользователи», то скорее всего вы имеете дело с маскирующимся вирусом. Проверить расположение файла svchost.exe можно из Диспетчера задач, кликнув по процессу правой кнопкой мыши и выбрав в меню опцию «Открыть расположение файла» либо с помощью сторонних утилит вроде Process Explorer. Используя сторонние файловые менеджеры, также можно выполнить поиск всех файлов svchost.exe по маске.
Последний способ не столь надёжен, так как подделывающийся под процесс svchost вирус может использовать более хитрый способ маскировки. Так, в имени файла одна из латинских букв может быть заменена кириллической. Внешне такой файл ничем не будет отличаться от настоящего, более того, он может располагаться в том же каталоге, что и «правильный» svchost.exe. Впрочем, проверить его подлинность не составляет особого труда. Достаточно сравнить коды символов имени файла воспользовавшись таблицей символов Юникода. Иногда в название файла svchost добавляется лишняя буква, либо наоборот, пропускается. Невнимательный пользователь может и не заметить разницу между, скажем, svchost.exe и svhost.exe.
Тем не менее, спешить удалять подозрительный svchost сходу не стоит. Для начала неплохо было бы проверить его на мульти антивирусном сервисе вроде VirusTotal и, если подозрительный файл окажется подделкой, хотя одна из антивирусных программ выдаст положительный результат. Вредоносный файл, маскирующийся под svchost удаляем с помощью Dr.Web LiveDisk либо утилиты AVZ. Если будете использовать AVZ, вам также понадобиться специальный скрипт, скачать который можно по ссылке ниже.
Алгоритм удаления вируса в AVZ следующий: запускаем утилиты, в меню Файл выбираем опцию «Выполнить скрипт» после чего вставляем код скрипта из прилагаемого файла и нажимаем кнопку «Запустить». При этом будет выполнена перезагрузка компьютера.
После старта проверяем, был ли удалён вирус и проводим полную проверку системного раздела антивирусным сканером.
Скрипт для AVZ: yadi.sk/i/aMnvkKS0m7kp6
www.white-windows.ru
svchost.exe. нагружает систему.
Файл svchost.exe. нагружает систему.
У многих пользователей операционной системы Windows иногда возникают проблемные ситуации с файлом svchost.exe. Проводимый данным исполняемым файлом процесс нередко нагружает систему практически на 100%, и никакие приложения не работают, управление перестает отзываться на сигналы. Выглядит все это в точности, как если бы компьютер подхватил вредоносный вирус во время прогулок в Интернете. Иногда вирусы маскируются под данный файл, однако сам по себе процесс svchost.exe является необходимым и полезным для работы Windows.Оригинальный файл svchost.exe является родным процессом системы Microsoft Windows. Называется Generic Host Process. В то же время, многие хакеры, зная о том, что процесс необходим для правильной работы системы, часто маскируют свои вредоносные вторжения под файл svchost.exe. Следовательно, по возможности необходимо запустить сканирование антивирусной программой. К несчастью, это часто бывает невозможно.
Если файл находится в папке Windows, велика вероятность, что это не вирус. Но не гарантированно. На самом деле, лучше всего было бы обращаться за технической поддержкой в соответствующую службу или к продвинутому товарищу. Впрочем, кое-что может сделать и обычный пользователь, который с компьютером на “Вы” с большой буквы.
Для начала попробовать перезагрузить систему. Нередко неполадки вызваны случайными причинами, и простой reboot устраняет проблему.
Если все остается по-прежнему, попробуйте следующий алгоритм:1. Нажмите Alt+Ctrl+Del. 2. Откроется Диспетчер Задач. 3. Переключайтесь на вкладку Процессы. 4. Найдите процесс svchost.exe. 5. Щелкните правой кнопкой мыши. Откроется контекстное меню. 6. Выберите “Завершить дерево процессов”. 7. Затем снова перезагрузите компьютер.
Второй алгоритм:Если вышеописанное не помогает восстановить работу компьютера, откройте “Мой Компьютер” и найдите папку C:\WINDOWS\Prefetch. Эту папку следует удалить. Только не удалите по-ошибке что-нибудь другое. Экспериментировать с системными файлами и папками довольно рискованно. Затем повторите процедуру удаления дерева процессов из Диспетчера задач. Снова перезагрузите систему.
Процесс svchost.exe является довольно важным для правильного функционирования системы. В различных версиях Windows, на различном оборудовании, этих процессов одновременно может быть несколько. И это абсолютно нормально. Файл svchost.exe обеспечивает нормальное функционирование самых разнообразных внутренних сервисов системы.
Иногда можно вычислить вирус исходя из данных, предоставляемых Диспетчером задач. Справа от каждого процесса указана служба, которая и запустила данный процесс.
Для нормального svchost.exe это могут быть следующие:1. Система 2. System 3. Network service 4. Local service
Если же будет написано:- User - Пользователь - Администратор
Тогда, скорее всего это и есть тот самый пресловутый вирус.Попробуйте остановить данные подозрительные процессы, а потом прочистить компьютер антивирусом.
Проблема в том, что разные антивирусные программы способны отслеживать свои списки вирусов. Лучше всего чистить компьютер последовательно несколькими антивирусами. Хорошо справляется с вирусами, замаскированными под svchost.exe, программа DrWeb CureIt.
soft-landia.ru
Процесс svchost.exe – что это и для чего он запущен?
Вы задаетесь вопросом, что такое процесс svchost.exe, почему в системе запущено около десятка процессов с таким названием и не является ли svchost.exe вирусом? Сегодня мы попытаемся ответить на ваши вопросы и подробно описать этот процесс.
Итак что же это такое?
Согласно Microsoft: «svchost.exe это общее название главного процесса для служб, запускаемых из библиотек динамической компоновки» (dynamic-link libraries). Некоторое время назад Microsoft начала запускать все функции внутренних служб Windows используя DLL-файлы, а не исполняемые .exe файлы. С точки зрения программирования такое решение более оптимально для многократного использования функций, но проблема в том, что вы не можете запустить .DLL-файл непосредственно из Windows, он должен быть запущен с использованием исполняемого . EXE файла. Решением этой проблемы стал процесс svchost.exe.
Таким образом svchost.exe работает в качестве хост-процесса для операционной системы Windows (Windows 7, Vista и XP) и содержит другие сервисы или процессы, которые необходимы Windows для выполнения различных функций.
Почему там так много запущенных svchost.exe процессов?
Если вы когда-либо смотрели на «Службы» в менеджере управления компьютером, то вы наверное заметили, что там много служб и сервисов, необходимых Windows. Если все службы будут запускаться под одним экземпляром svchost.exe,то отказ одной приведет к сбою всех остальных, поэтому они отделяются.
Все службы организованы в логические группы, для каждой группы создается один экземпляр svchost.exe. Например один экземпляр svchost.exe выполняет 3-и службы связанных с брандмауэром. Другой svchost.exe может запускать все службы, связанные с пользовательским интерфейсом, и так далее.
svchost.exe вирус?
Файл svchost.exe это не вирус, но есть возможность того, что любой вирус сидит в вашей системе, используя то же имя, и запуск svchost.exe не будет отображать сообщение об ошибке , но вы можете идентифицировать оригинальный svchost.exe по месту его расположения. Оригинальный файл svchost.exe находится «C: \ Windows \ System32 \» и если вы найдете svchost.exe в любом другом месте, чем выше указанной, то определенно, что это будет поддельный файл так что вы можете удалить эго из системы.
Другое дело, svchost.exe может быть заражен вирусами или троянами, которые могут вызвать сбои в работе svchost.exe, рекомендуется делать сканирование системы, чтобы исправить эти проблемы.
Так что с этим делать?
Вы можете урезать ненужные службы путем отключения или остановки. Кроме того, если вы заметили, что какой то экземпляр svchost.exe очень загружает процессор, то можно перезапустить службы, запущенные под этим экземпляром. Самая большая проблема заключается в определении, какие службы в настоящее время работают под конкретным экземпляром svchost.exe, об этом мы расскажем ниже.
Проверка с помощью командной строки (Vista или XP Pro).
Если вы хотите увидеть, какие службы в настоящее время организовано конкретным svchost.exe, можно воспользоваться командной строкой:
tasklist /SVC
Но проблема использования командной строки в том, что не понятно к какой службе относятся эти загадочные названия.
Проверка в диспетчере задач в Vista.
Вы можете щелкнуть правой кнопкой мыши на конкретном процессе svchost.exe, а затем выбрать «Перейти в Сервисы» (Go to Service).
Вы перейдете на вкладку Службы, где будут выбраны службы, работающие в рамках этого процесса svchost.exe :
Использование этого способа позволит увидеть настоящее имя службы запущенной под выбранным процессом, так что если вы не хотите что бы она работала вы можете отключить ее.
Использование Explorer в Vista, или XP
Вы можете воспользоваться отличной утилитой «Process Explorer» от Microsoft / Sysinternals, чтобы увидеть, какие службы работают как часть процесса svchost.exe. При наведении мыши на один из процессов появиться выпадающий список всех служб:
Или вы можете дважды щелкнуть на svchost.exe выберать вкладку «Службы» (Services), где вы можете остановить одну из служб.
Отключение служб
Откройте «Службы» из «Администрирование» в «Панели управления» или введите services.msc в поиске в меню «Пуск». Найдите службу в списке, которую вы хотите отключить и дважды щелкните на ней, либо щелкните правой кнопкой мыши и выберите «Свойства» (Properties).
Изменение типа запуска на «Отключено» (Disabled), а затем нажмите кнопку «Стоп» (Stop), для чтобы остановить ее.
Вы также можете использовать командную строку, чтобы отключить службу. В этой команде «trkwks» это имя службы, та же, что только что отключалась.
sc config trkwks start= disabled
Также рекомендую прочитать:
Загрузка...osmaster.org.ua
Приложение svchost.exe
Очень часто у пользователей возникает вопрос - что это за приложение "svchost.exe", наблюдаемое ими в списке процессов, и почему оно загружено в нескольких экземплярах?
SVCHOST.EXE - это главный системный процесс для тех служб, которые запускаются из динамически загружаемых библиотек (DLL-файлов).
И действительно несколько экземпляров процесса svchost.exe могут быть запущены одновременно (но с разными PID*). Так как каждый из таких экземпляров представляет собой определенную преимущественно системную службу или же группу служб. Эти группы определены в следующем разделе реестра:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SvcHostКаждый параметр этого раздела представляет собой отдельную Svchost-группу и отображается при просмотре активных процессов, как отдельный экземпляр svchost.exe.Также, чтобы просмотреть список служб, выполняющихся в каком-либо процессе svchost.exe, можно сделать следующее:
Start > Run (Пуск > Выполнить)Вписываем: CMDНажимаем ОК или клавишу ENTER.В появившемся приложении вводим команду: tasklist /SVCИ нажимаем на клавишу ENTER.
Список служб Windows XP, запускаемых с помощью svchost.exe:
(т.е. эти службы не являются вирусами!)
| Alerter | Оповещатель |
| Application Management | Управление приложениями |
| Automatic Updates | Автоматическое обновление |
| Background Intelligent Transfer Service | Фоновая интеллектуальная служба передачи |
| Bluetooth Support Service | |
| COM+ Event System | Система событий COM+ |
| Computer Browser | Обозреватель компьютеров |
| Cryptographic Services | Службы криптографии |
| DCOM Server Process Launcher | |
| DHCP Client | DHCP-клиент |
| Distributed Link Tracking Client | Клиент отслеживания изменившихся связей |
| DNS Client | DNS-клиент |
| Error Reporting Service | Служба регистрации ошибок |
| Fast User Switching Compatibility | Совместимость быстрого переключения пользователей |
| Help and Support | Справка и поддержка |
| HTTP SSL | |
| Human Interface Device Access | Доступ к HID-устройствам |
| Logical Disk Manager | Диспетчер логических дисков |
| Messenger | Служба сообщений |
| Network Connections | Сетевые подключения |
| Network Location Awareness (NLA) | Служба сетевого расположения (NLA) |
| Network Provisioning Service | |
| Portable Media Serial Number Service | Серийный номер переносного медиа-устройства |
| Remote Access Auto Connection Manager | Диспетчер авто-подключений удаленного доступа |
| Remote Access Connection Manager | Диспетчер подключений удаленного доступа |
| Remote Procedure Call (RPC) | Удаленный вызов процедур (RPC) |
| Remote Registry | Удаленный реестр |
| Removable Storage | Съемные ЗУ |
| Routing and Remote Access | Маршрутизация и удаленный доступ |
| Secondary Logon | Вторичный вход в систему |
| Security Center | Центр обеспечения безопасности |
| Server | Сервер |
| Shell Hardware Detection | Определение оборудования оболочки |
| SSDP Discovery Service | Служба обнаружения SSDP |
| System Event Notification | Уведомление о системных событиях |
| System Restore Service | Служба восстановления системы |
| Task Scheduler | Планировщик заданий |
| TCP/IP NetBIOS Helper | Модуль поддержки NetBIOS через TCP/IP |
| Telephony | Телефония |
| Terminal Services | Службы терминалов |
| Themes | Темы |
| Universal Plug and Play Device Host | Узел универсальных PnP-устройств |
| Upload Manager | Диспетчер отгрузки |
| WebClient | Веб-клиент |
| Windows Audio | Windows Audio |
| Windows Firewall/Internet Connection Sharing (ICS) | Брандмауэр Интернета (ICF)/Общий доступ к Интернету (ICS) |
| Windows Image Acquisition (WIA) | Служба загрузки изображений (WIA) |
| Windows Management Instrumentation | Инструментарий управления Windows |
| Windows Management Instrumentation Driver Extensions | Расширения драйверов WMI |
| Windows Time | Служба времени Windows |
| Wireless Zero Configuration | Беспроводная настройка |
| Workstation | Рабочая станция |
Список "левых" служб, ссылающихся на svchost.exe:
(т.е. эти службы были созданы вирусами!)
| AppMgmt | svchost.exe -k AppMgmt |
| Browser | svchost.exe -k Browser |
| COM Message Transfer (mscommt) | svchost.exe -k mscommt |
| Disk Monitor Services (DiskMon32) | svchost.exe -k dmon |
| dmserver | svchost.exe -k |
| DNS Server (DNS Server) | svchost.exe |
| FastUserSwitchingCompatibil (Fast User Switching Compatibil) | svchost.exe |
| Generic Host Process For Win32 Services (Generic Host Process) | svchost.exe |
| generic host process (svchost) | svchost.exe |
| Hardware Detection (Serv-U) | svchost.exe |
| Host Services (Host Services) | svhosts.exe |
| IPRIP (IPRIP) | svchost.exe -k netsvcs |
| kdc | svchost.exe -k kdc |
| LmHosts | svchost.exe -k LmHosts |
| Messenger | svchost.exe -k Messenger |
| MS Internet Countermeasures Framework (ICF) | \System32:svchost.exe |
| NetLogon | svchost.exe -k |
| Network Connections Sharing (RpcTftpd) | svchost.exe |
| Network DDE DSMA (NetDDEdsma) | svchost.exe |
| ntmssvc | svchost.exe -k ntmssvc |
| NVIDIA Driver ServiceЎЎ (NVSv) | svchost.exe |
| RasAt (Remote Connection) | svchost.exe |
| Policy Agent | svchost.exe -k Policy Agent |
| Power Manager (PowerManager) | svchost.exe |
| ProtectedStorage | svchost.exe -k ProtectedStorage |
| Server Management Service | svchost.exe |
| SVC Module (SVC Module) | svchost.exe |
| svchost | SVCHOST.EXE |
| svchost.exe (moto) | svchost.exe |
| svchost.exe (moto) | любое название из 18-ти знаков |
| svchost.exe (svchost.exe) | svchost.exe |
| System Event Messaging | svchost.exe |
| taskmng (svchost) | svchost.exe |
| TrkSvr | svchost.exe -k TrkSvr |
| TrkWks | svchost.exe -k TrkWks |
| W32Time | svchost.exe -k W32Time |
| Windows Configuration Backup Service (CfgBackupSvc) | svchost.exe |
| Windows Configuration Loader (Windows Configuration Loader) | SVCHOST.EXE |
| Windows Configuration Manager (ConfigMgr) | svchost.exe |
| Windows Kernel (Windows Kernel) | svchost.exe |
| Windows Management (Windows Management) | svchost.exe |
| Windows Network Mapping Service (NetMap) | svchost.exe |
| Windows Security Drivers (csrs) | svchost.exe |
| Windows Smrss Service | svchost.exe |
| .NET Framework Service | svchost.exe |
| .NET Framework Service (.NET Connection Service) | svchost.exe |
Обязательно нужно иметь в виду, что системный файл svchost.exe должен находиться в папке:
C:\WINDOWS\system32 (касается только Windows XP/NT/2000)Если он находится в папке WINDOWS и/или файлов с таким названием в вашей системе несколько, то, скорее всего, у вас живет вирус. Я сказала именно "скорее всего", так как несколько копий файла svchost.exe - это всё-таки еще не гарантия заражения.
Например, вас ни в коем случае не должны пугать копии файла svchost.exe в таких папках, как:
C:\WINDOWS\ServicePackFiles\i386C:\WINDOWS\Prefetchа также некоторых других. Или, к примеру, файл с названием svchost.exe создается при установке антивируса BullGuard:
C:\Program Files\BullGuard Software\svchost.exeкоторый также к вирусам никакого отношения не имеет. Поэтому еще раз замечу, что в первую очередь, обращать внимание нужно именно на папку WINDOWS, т.к. она наиболее часто используется в целях маскировки под настоящий файл svchost.exe.
Наиболее распространенные местоположения вирусов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами)
C:\WINDOWS\svchost.exeC:\WINDOWS\system\svchost.exe (касается только Windows XP/NT/2000) C:\WINDOWS\config\svchost.exeC:\WINDOWS\inet20000\svchost.exeC:\WINDOWS\inetsponsor\svchost.exeПомимо этого очень многие вирусы пытаются себя замаскировать, используя имена и названия, которые очень похожи на название "svchost" (в этом случае местоположение файлов уже может быть абсолютно любое, в том числе достаточно часто используется и папка WINDOWS\system32)
Наиболее распространенные названия файлов, маскирующихся под svchost.exe:
(т.е. эти файлы на 99% были созданы вирусами)
svсhost.exe (вместо английской "c" используется русская "с") svcchost.exe (2 "c") svhost.exe (пропущено "c") svch0st.exe (вместо "o" используется ноль) svchos1.exe (вместо "t" используется единица) svchosl.exe (вместо "t" используется "l") svchosts.exe (в конец добавлено "s") svchoste.exe (в конец добавлено "e") svchostt.exe (2 "t" на конце) svchost32.exe (в конец добавлено "32") svchosts32.exe (в конец добавлено "s32") svchosthlp.exe (в конец добавлено "hlp") svdhost32.exe (вместо "c" используется "d" + в конец добавлено "32") svshost.exe (вместо "c" используется "s") svehost.exe (вместо "c" используется "e") svrhost.exe (вместо "c" используется "r") svchest.exe (вместо "o" используется "e") svschost.exe (после "v" добавлено лишнее "s") svcshost.exe (после "c" добавлено лишнее "s") svxhost.exe (вместо "c" используется "x") syshost.exe (вместо "vc" используется "ys") svchoes.exe (вместо "st" используется "es") svhostes.exe (пропущено "c" + в конец добавлено "es") svho0st98.exessvvcchhoosst.exeТакже обязательно должно насторожить, если svchost.exe (или что-либо похожее) каким-либо образом пытается записать себя в обычную автозагрузку (т.е. помимо запуска в качестве системной службы, использует Windows StartUp или ini-файлы). Реальные примеры подобных вирусов из логов HijackThis:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\config\svchost.exeF2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\config\svchost.exeF2 - REG:system.ini: Shell=Explorer.exe scvhost.exeF3 - REG:win.ini: run=C:\WINDOWS\scvhost.exeO4 - HKLM\..\Run: [Win32 Update] svchosts.exeO4 - HKLM\..\RunOnce: [Win32 Update] svchosts.exeO4 - HKLM\..\RunServices: [Win32 Update] svchosts.exeO4 - HKCU\..\Run: [Win32 Update] svchosts.exeO4 - HKCU\..\RunOnce: [Win32 Update] svchosts.exeO4 - HKLM\..\Run: [GNP Generic Host Process] C:\WINDOWS\system\svchost.exe O4 - HKLM\..\Run: [WinService32] C:\Program Files\System32\svchost.exeO4 - HKLM\..\Run: [svc] C:\WINDOWS\svchost.exeO4 - HKLM\..\Run: [Microsoft ® Windows Configuration Backup Service] C:\WINDOWS\config\svchost.exe O4 - HKLM\..\Run: [Microsoft ® Windows Configuration Manager] C:\WINDOWS\system\svchost.exeO4 - Startup: svchost.exeO4 - Global Startup: svchost.exewww.windxp.com.ru
