Security Lab

mshta.exe

mshta.exe

Программа используется для запуска HTML файлов (.hta файлы)

mshta.exe - Microsoft HTML Application Host. Программа используется для запуска HTML файлов (.hta файлы). Выполнение этого процесса не критично для операционной системы. Однако, если вы удалите этот файл, это может оказать влияние на стабильную работу Windows. Если запущенное HTML приложение зависло или работает нестабильно, его можно безопасно уничтожить через диспечер задач.

Некоторые злонамеренные файлы имеют такое имя, но расположены вне %SystemRoot%\System32 директории.  Другие злонамеренные программы используют похожие имена файла, отличающегося на одну букву или цифру. Например W32/Mimail-S (C:\ms.hta,  запускается под  легитимным mshta.exe) – является почтовым червем, который отображает диалоговое окно для ввода информации об кредитной карты.

На системе может быть запущено несколько процессов mshta.exe для любого пользователя. Наличие нескольких экземпляров программы памяти не должно вызвать проблем. Но так как Microsoft HTML Application Host может запускать любые  .hta приложения, то система может быть заражена  .hta скриптом, который будет запущен внутри летимного процесса  mshta.exe. В этом случае необходимо более подробно исследовать запущенный процесс mshta.exe.
Известные проблемы:
  • mshta.exe использует 100% CPU- возможно на компьютере установлена вредоносная программа или вирус. Так как процесс  может выполнить любой .hta файл, факт запуска легитимного процесса не означает что вам известно что он выполняет.
  • Антивирус McAfee может предупреждать об потенциально небезопасной активности при использовании панели управления – скорее всего это ошибка в антивирусной программе. Однако вы должны убедится что на системе не запущены подозрительные .hta скрипты.
  • mshta.exe - ошибка приложения , Инструкция по адресу "ххххххххххх" обратилась к памяти по адресу "уууууууууу". Память не может быть "written".  Эта ошибка может возникнуть при работе злонамеренной программы или ошибочно написанного .hta файла. Попробуйте отключить функцию "Предотвращение выполнения данных" (DEP)   для mshta.exe в панеле управления системой.