Windows10では夥しい数のsvchost.exeが実行されているので
不審なものが無いか内訳を確認してみようと思います。
そもそもsvchost.exeの役割とは
svchost.exeはDLL形式のサービスを実行するファイルです。
かつてはexe形式で各々実行されていた為、かなりの負荷になっていたものの
DLL化された事でsvchost.exeを通じて束で実行できるように改良されました。
svchost.exeに化けているウイルス
svchost.exeに化けているランサムウェアやマルウェアが稀に存在しています。
山田ウイルスが猛威を振るった時代は「ユーザー名で実行されているものは疑え」とも言われていたのですが、現状3、4個は常にユーザー名で実行されているので内訳を見ないと判断できません。
基本的にC:\Windows\System32\svchost.exe本体を改竄する事は困難なので、
不審なものはC:\Windows\Temp\svchost.exeなどあり得ない場所に居るのも判断材料になると思います。
svchost.exeの内訳
筆者の環境では70個程実行されているので
その内訳を見てみましょう。参考程度にどうぞ。
| サービス | パス | 概要 | |
| 1 | OneSyncSvc_47cbc | なし | このサービスはメール、連絡先、カレンダー、および他のさまざまなユーザ データを同期します。 |
| 2 | BrokerInfrastructure | C:\WINDOWS\System32\psmsrv.dll | システム上で実行可能なバックグラウンドタスクを制御するWindowsインフラストラクチャサービス |
| DcomLaunch | C:\WINDOWS\system32\rpcss.dll | DCOMLAUNCHサービスは、オブジェクト アクティブ化要求に応答して、COMおよびDCOMサーバーを起動します。 | |
| PlugPlay | C:\WINDOWS\system32\umpnpmgr.dll | ユーザーからの最小限の入力、または入力なしで、コンピューターがハードウェアの変更を認識し、対応します。 | |
| Power | C:\WINDOWS\system32\umpo.dll | 電源ポリシーと電源ポリシーの通知配信を管理します。 | |
| SystemEventsBroker | C:\WINDOWS\System32\SystemEventsBrokerServer.dll | WinRTアプリケーションのバックグラウンド処理の実行を調整します。 | |
| 3 | RpcEptMapper | C:\WINDOWS\System32\RpcEpMap.dll | トランスポートのエンドポイントに対するRPCインターフェイス識別子を解決します。 |
| RpcSs | C:\WINDOWS\system32\rpcss.dll | RPCSSサービスは、COMおよびDCOMサーバーのサービスコントロールマネージャーです。 | |
| 4 | LSM | C:\WINDOWS\System32\lsm.dll | ローカルユーザーセッションを管理するコアWindowsサービス。 |
| 5 | HvHost | C:\WINDOWS\System32\hvhostsvc.dll | ホスト オペレーティングシステムにパーティションごとのパフォーマンスカウンターを提供するためのHyper-Vハイパーバイザーのインターフェイスを提供します。 |
| 6 | NcbService | C:\WINDOWS\System32\ncbservice.dll | Windowsストアアプリがインターネットから通知を受信できるようにするブローカー接続。 |
| 7 | TimeBrokerSvc | C:\WINDOWS\System32\TimeBrokerServer.dll | WinRTアプリケーションのバックグラウンド処理の実行を調整します。 |
| 8 | Schedule | C:\WINDOWS\system32\schedsvc.dll | ユーザーは、コンピューターの自動タスクを構成およびスケジュールできます。このサービスはWindowsのシステムに必要な複数のタスクもホストします。 |
| 9 | ProfSvc | C:\WINDOWS\system32\profsvc.dll | このサービスにより、ユーザープロファイルのロードとアンロードが行われます。 |
| 10 | EventLog | C:\WINDOWS\System32\wevtsvc.dll | このサービスでは、イベントとイベントログを管理します。 |
| 11 | SEMgrSvc | C:\WINDOWS\system32\SEMgrSvc.dll | 支払いおよび近距離無線通信(NFC)ベースのセキュアエレメントを管理します。 |
| 12 | UserManager | C:\WINDOWS\System32\usermgr.dll | ユーザーマネージャーは、マルチユーザーの操作に必要なランタイムコンポーネントを提供します。 |
| 13 | nsi(Network Store Interface Service) | なし | このサービスは、ネットワーク通知(インターフェイスの追加や削除など)をユーザーモードクライアントに配信します。 |
| 14 | CoreMessagingRegistrar | C:\WINDOWS\system32\coremessaging.dll | システムコンポーネント間の通信を管理します。 |
| 15 | Dhcp | C:\WINDOWS\system32\dhcpcore.dll | このコンピューターのIPアドレスとDNSレコードを登録および更新します。 |
| 16 | Winmgmt | C:\WINDOWS\system32\wbem\WMIsvc.dll | オペレーティング システム、デバイス、アプリケーション、サービスに関する管理情報にアクセスするための共通インターフェイスとオブジェクト モデルを提供します。 |
| 17 | NlaSvc | なし | ネットワークの構成情報を収集および保存して、この情報が変更されたときにプログラムに通知します。 |
| 18 | netprofm | C:\WINDOWS\System32\netprofmsvc.dll | コンピューターが接続しているネットワークの識別、ネットワークのプロパティの収集と保存、プロパティが変更されたときのアプリケーションへの通知を行います。 |
| 19 | lfsvc | C:\WINDOWS\System32\lfsvc.dll | このサービスは、システムの現在の位置を監視し、ジオフェンス(イベントが関連付けられた地理的位置)を管理します。 |
| 20 | UsoSvc | C:\WINDOWS\system32\usosvc.dll | Windows更新プログラムを管理します。 |
| 21 | DispBrokerDesktopSvc | C:\WINDOWS\System32\DispBroker.Desktop.dll | ローカルおよびリモート ディスプレイの接続と構成を管理します。 |
| 22 | SysMain | C:\WINDOWS\system32\sysmain.dll | 長期間にわたり、システム パフォーマンスの維持および向上を図ります。 |
| 23 | Themes | C:\WINDOWS\system32\themeservice.dll | テーマの管理を提供します。 |
| 24 | EventSystem | C:\WINDOWS\system32\es.dll | サポート システム イベント通知サービス(SENS)は、イベント通知先として登録されたCOMコンポーネントにイベントを自動的に通知します。 |
| 25 | hns | C:\WINDOWS\System32\HostNetSvc.dll | Windows 仮想ネットワークをサポートします。 |
| 26 | SENS | C:\WINDOWS\System32\sens.dll | システムイベントを管理し、これらをイベントのCOM+イベントシステムにサブスクライバーを通知します。 |
| 27 | AudioEndpointBuilder | C:\WINDOWS\System32\AudioEndpointBuilder.dll | Windows Audioサービスのオーディオデバイスを管理します。 |
| 28 | FontCache | C:\WINDOWS\system32\FntCache.dll | 共通で使用されるフォントデータをキャッシュすることによって、アプリケーションのパフォーマンスを最適化します。 |
| 29 | nvagent | C:\WINDOWS\System32\NvAgent.dll | ネットワークの仮想化サービスを提供します。 |
| 30 | BFE | C:\WINDOWS\System32\bfe.dll | ベースフィルターエンジン(BFE)は、ファイアウォールとインターネット プロトコル セキュリティ(IPsec)ポリシーを管理し、ユーザーモードフィルターリングを実装するサービスです。 |
| mpssvc | C:\WINDOWS\system32\mpssvc.dll | Windows Defenderファイアウォールは、承認されていないユーザーによるインターネットまたはネットワーク経由のアクセスを阻止することにより、コンピューターの保護に役立ちます。 | |
| 31 | SharedAccess | C:\WINDOWS\System32\ipnathlp.dll | ホーム ネットワークまたは小規模オフィスのネットワークに対してネットワーク アドレスの変換、アドレスの指定、名前解決、およびアッタクの防止のサービスを提供します。 |
| 32 | WinHttpAutoProxySvc | C:\WINDOWS\system32\winhttp.dll | WinHTTPはクライアントHTTPスタックを実装し、HTTP要求の送信および応答の受信を行うWin32 APIおよびCOMオートメーション コンポーネントを開発者に提供します。 |
| 33 | Audiosrv | C:\WINDOWS\System32\Audiosrv.dll | Windowsベースのプログラムのオーディオを管理します。 |
| 34 | StateRepository | C:\WINDOWS\system32\windows.staterepository.dll | アプリケーション モデルに対する必要なインフラストラクチャ サポートを提供します。 |
| 35 | Dnscache | C:\WINDOWS\System32\dnsrslvr.dll | DNSクライアントサービス(dnscache)により、このコンピューターのドメインネームシステム(DNS)名がキャッシュされ、フルコンピューター名が登録されます。 |
| 36 | DusmSvc | C:\WINDOWS\System32\dusmsvc.dll | ネットワーク データ使用状況、データ通信量の上限、バックグラウンドデータの制限、従量制課金ネットワーク。 |
| 37 | Wcmsvc | C:\WINDOWS\System32\wcmsvc.dll | PCで現在使用可能なネットワーク接続オプションに基づいて接続/切断の自動決定を行い、グループポリシー設定に基づいてネットワーク接続の管理を有効にします。 |
| 38 | wscsvc | C:\WINDOWS\System32\wscsvc.dll | WSCSVC(Windowsセキュリティセンター)サービスは、コンピューター上のセキュリティの正常性設定を監視および報告します。 |
| 39 | CDPUserSvc_47cbc | なし | このユーザーサービスは、Connected Devices Platformのシナリオに使用されます。 |
| 40 | WlanSvc | C:\WINDOWS\System32\wlansvc.dll | WLANSVCサービスは、IEEE 802.11標準で定義されているワイヤレスローカルエリアネットワーク(WLAN)の構成、検出、接続、切断に必要なロジックを提供します。 |
| 41 | WpnUserService_47cbc | なし | このサービスは、ローカル通知とプッシュ通知をサポートするWindows通知プラットフォームをホストします。 |
| 42 | ShellHWDetection | C:\WINDOWS\System32\shsvcs.dll | 自動再生ハードウェア イベントの通知を提供します。 |
| 43 | TokenBroker | C:\WINDOWS\System32\TokenBroker.dll | このサービスは、アプリとサービスにシングル サインオンを提供するためにWebアカウント マネージャーによって使用されます。 |
| 44 | TabletInputService | C:\WINDOWS\System32\TabSvc.dll | タッチ キーボードと手書きパネルのペンおよびインク機能を有効にする。 |
| 45 | LanmanWorkstation | C:\WINDOWS\System32\wkssvc.dll | SMB プロトコルを使ってリモート サーバーへのクライアント ネットワーク接続を作成し、維持します。 |
| 46 | LanmanServer | C:\WINDOWS\system32\srvsvc.dll | このコンピューターでネットワークを通してのファイル、印刷、および名前付パイプ共有をサポートします。 |
| 47 | DPS | C:\WINDOWS\system32\dps.dll | 診断ポリシー サービスを使用すると、Windowsコンポーネントの問題を検出、トラブルシューテング、および解決できます。 |
| 48 | iphlpsvc | C:\WINDOWS\System32\iphlpsvc.dll | 接続プラットフォームを使用したIPv6移行テクノロジ(6to4、ISATAP、ポート プロキシおよびTeredo)、およびIP-HTTPSを提供します。 |
| 49 | stisvc | C:\WINDOWS\System32\wiaservc.dll | スキャナーとカメラに画像取得サービスを提供します。 |
| 50 | TrkWks | C:\WINDOWS\System32\trkwks.dll | ネットワーク内またはコンピューターのNTFSボリューム間のリンクを管理します。 |
| 51 | WpnService | C:\WINDOWS\system32\WpnService.dll | このサービスはセッション0で実行し、通知プラットフォームと、デバイスとWNSサーバー間の接続を処理する接続プロパイダーをホストします。 |
| 52 | SstpSvc | C:\WINDOWS\system32\sstpsvc.dll | VPNによるリモート コンピューターへの接続に使用するSecure Socketトンネリング プロトコルのサポートを提供します。 |
| 53 | CryptSvc | C:\WINDOWS\system32\cryptsvc.dll | 提供される管理サービスは、次の3つです。カタログ データベース サービス: Windowsファイルの署名を確認し、新しいプログラムをインストールできるようにします。保護ルート サービス: 信頼されたルート証明機関の証明書をこのコンピューターに追加および削除します。ルート証明書自動更新サービス: Windows Updateからルート証明書を取得し、SSLのようなシナリオ有効にします。 |
| 54 | WdiServiceHost | C:\WINDOWS\system32\wdi.dll | Diagnostic Service Hostは、ローカル サービス コンテキストでの実行が必要な診断をホストするために、診断ポリシー サービスによって使用されます。 |
| 55 | DeviceAssociationService | C:\WINDOWS\system32\das.dll | システムとワイヤード(有線)またはワイヤレス デバイスの間のペアリングを有効にします。 |
| 56 | Appinfo | C:\WINDOWS\System32\appinfo.dll | 追加の管理者特権による対話型アプリケーションの実行を容易にします。 |
| 57 | InstallService | C:\WINDOWS\system32\InstallService.dll | Microsoft Storeのインフラストラクチャ サポートを提供します。 |
| 58 | CDPSvc | C:\WINDOWS\System32\CDPSvc.dll | このサービスは、Connected Devices Platformのシナリオに使用されます。 |
| 59 | PcaSvc | C:\WINDOWS\System32\pcasvc.dll | このサービスは、プログラム互換性アシスタント(PCA)のサポートを提供します。 |
| 60 | RmSvc | C:\WINDOWS\System32\RMapi.dll | 無線管理および機内モードサービス |
| 61 | RasMan | C:\WINDOWS\System32\rasmans.dll | このコンピューターからインターネットや他のリモート ネットワークへのダイヤルアップ接続と仮想プライベートネットワーク(VPN)接続を管理します。 |
| 62 | hidserv | C:\WINDOWS\system32\hidserv.dll | キーボード、リモコン、およびその他のマルチメディア デバイスに搭載されているホット ボタンの使用を有効にして維持します。 |
| 63 | cbdhsvc_47cbc | なし | このユーザー サービスはクリップボードのシナリオに使用されます。 |
| 64 | BthAvctpSvc | C:\WINDOWS\System32\BthAvctpSvc.dll | オーディオ/ビデオ制御トランスポート プロトコル サービスです。 |
| 65 | DsSvc | C:\WINDOWS\System32\DsSvc.dll | アプリケーション間でデータのやり取りを処理します。 |
| 66 | wuauserv | C:\WINDOWS\system32\wuaueng.dll | Windowsおよびその他のプログラムに対する更新プログラムの検出、ダウンロード、およびインストールを有効にします。 |
| 67 | LicenseManager | C:\WINDOWS\system32\LicenseManagerSvc.dll | Microsoft Storeのインフラストラクチャ サポートを提供します。 |
| 68 | SSDPSRV | C:\WINDOWS\System32\ssdpsrv.dll | SSDP発見プロトコルを使用する、UPnPデバイスなどのネットワークデバイスやサービスを検出します。 |
| 69 | lmhosts | なし | ネットワーク上のクライアントに対して、NetBIOS over TCP/IP (NetBT)サービスとNetBIOS名前解決のサポートを提供することで、ユーザーがファイル共有、印刷、およびネットワークへのログオンをできるようにします。 |
| 70 | StorSvc | C:\WINDOWS\system32\storsvc.dll | ストレージ設定と外部ストレージの拡張を有効にするためのサービスを提供します。 |
結果
不審なものは一つもありませんでした。ただsvchost.exeだけで常にメモリを210MB程占有してしまっています。
マルウェアが擬態していてもぱっと見分からないので何とか減って欲しいです。
Tags:
Windows10
