svchost.exe의 정상 경로

아래의 Tip은 Windows XP를 기준으로 서술한 것입니다.

svchost.exe가 들어 있을 수 있는 정상 경로는 다음과 같습니다. 

① \WINDOWS\$NtServicePackUninstall$ 

위 폴더에는 이전 버젼의 svchost.exe가 들어 있습니다.
즉 , 현재 XP SP2사용중이시라면
XP SP1의 svchost.exe가 롤백의 경우를 대비해 들어 있습니다. 

② C:\WINDOWS\system32 

시스템 메모리에서 구동 중인 svchost.exe의 정상 경로로
현재 시스템에서 돌아가는 파일은 이것입니다. 

③ C:\WINDOWS\ServicePackFiles\i386 

현재 시스템에 돌아가는 것과 같은 파일이 이 곳에 백업되어 있다고 보면 됩니다 .특히 , 윈도우  CD가 없는 경우
또는 XP SP2 (또는 3)로 업데이트했으나
XP 설치 CD는 XP SP1(또는 2)의 CD를 가지신 경우는
꼭 보존하셔야 할 백업 폴더입니다. 

④ C:\WINDOWS\Software Distribution\Download\

 이 곳은 윈도우 자동업데이트를 이용하거나 
또는 윈도우업데이트/마이크로소프트 업데이트 웹페이지상에서 업데이트 할 경우
( = 보안패치 설치).

업데이트에 필요한 파일이 저장되는 곳입니다.
즉 , 이 곳에 저장된 후 실행되어 업데이트가 이루어집니다.
이 곳에 svchost.exe가 있다면
현재 svchost.exe가 업데이트 된 적이 있다는 흔적으로 svchost.exe가 남은 것이니
염려 안하셔도 됩니다. 

⑤ C:\WINDOWS\Prefetch 

이 곳에 svchost.exe-pf 형식으로 존재하는 svchost.exe와
그 외  
파일들은 부팅 속도를 향상 시키기 위하여
윈도우가 따로 모아 놓고
지속적으로 조각 모음등을 실행하며 관리하는 것입니다. 

위 ① ~ ⑤의 경우는 정상입니다. 

이외의 경우는 무조건 Malware입니다. 

Malware로써 svchost.exe는 주로  \windows 에
\windows\svchost.exe 로써 존재하는 경우가 많습니다.