1. Як обчислити вірусний svchost:
2. Як видалити віруси svchost.exe
3. Крок № 1: Виявляємо віруси
4. Крок № 2: Видаляємо віруси в svchost.exe
5. Файли svсhost - добрі і злі, або хто є хто
6. істинний процес
7. хакерська підробка
8. Спосіб №1: очищення утилітою Comodo Cleaning Essentials
9. Де скачати і як встановити?
10. Як налаштувати і очистити ОС?
11. допоміжні утиліти
12. Способ №2: использование системних функцій
13. Аналіз активних процесів
14. Якщо складно визначити: довірений або вірус?

Доброго часу доби, дорогі читачі. Користувачі, частенько в списку процесів побачивши багато процесів «svchost.exe» (а їх може бути за раз трохи близько десятка, а то й більше), починають моторошно панікувати. І писати «екстрені» листи про злющий вірус, який заполонив їх систему. І мало не буквально рветься назовні з корпусу.

Ми тут розберемося, і спробуємо раз і назавжди закрити це питання, пов'язаний з тим, що ж із себе представляє цей самий злісний вірус svchost, і чи потрібно це робити взагалі (і взагалі - вірус чи це)?

Тож почнемо. Що ж собою являє svchost.exe. Вірус чи? І що потрібно робити, якщо так ?!

Слід почати з того, що Generic Host Process for Win32 Services (чим і є той самий svchost) це не що інше, як системний процес, який вселенски важливий в існуванні Windows, а точніше тих служб, додатків і сервісів системи, якими використовуються, так звані DLL-бібліотеки.

І дійсно адже, кількість цих самих «svchost.exe» в системі може бути запущено безліч. З чого б це? Справа в тому, що тим самим програмам і службам досить важко одночасно дружно використовувати і возитися з одним процесом! Адже їх то, будь-яких служб і програм, багато, а бідний беззахисний svchost зовсім один, І в силу цього, як правило, система запускає кілька примірників svchost, проте з різними номерами, а точніше - ідентифікаторами процесу.

І відповідно, кожним запущеним svchost.exe обслуговується свій власний набір програм і служб, а тому, виходячи від їх кількості в Віндовс, число цих самих процесів svchost варіюється від пари штук до декількох десятків. Коротше кажучи, простою мовою: це системні процеси і їх не треба чіпати.

Однак дійсно, потрапляють ситуації, коли під цей процес «закамуфльовані» віруси (ще раз хочу звернути Вашу увагу: саме маскуються, і саме віруси, а не сам svchost'овскій процес є шкідливим). Отже, давайте розглянемо, як їх розпізнати і що необхідно з ними робити.

Сьогодні ми розглянемо:

Як обчислити вірусний svchost:

Починати слід з того, що істинний svchost.exe перебувати виключно в наступних папках, в залежності від версії Windows.

Де С: \ - є диском, де встановлена ​​сама система, а * - довга назва папки на кшталт amd64_microsoft-windows-s..s-svchost.resources_42bf5256ad364e78_6.1.9402.16383_ru-ru_f51efa35176fa2bе.

А якщо він в будь-якому іншому місці знаходиться, і особливо оселився якимось дивом всередині самої папки WINDOWS, то з ймовірністю в ~ 95,9% це вірус, який буде значно. За дуже рідкісним винятком.

Тут наводиться кілька шляхів маскування вірусів, які «косять» під справжній процес:

І кілька самих часто вживаних назв файлів-вірусів, які маскуються під svchost.exe:

В общем-то, існують також і інші варіації, однак ці найпопулярніші, так що слід мати на увазі, і бути пильним.

Можна подивитися імена файлу в диспетчері завдань, хоча рекомендується відразу ж застосовувати Process Explоrеr, бо, застосовуючи його, можна відразу ж подивитися такі важливі дані, як шляху та іншу важливу інформацію, просто по процесу в списку зробивши подвійний клік.

Як видалити віруси svchost.exe

А що якщо Ви вирахували, що «ЕсВеЧост» все таки є вірусом? Тоді ми видалимо його одним з тих способів, які тут розглянуті. І так, перша утиліта, яка допоможе видалити це легендарний AVZ.

Як видалити:

1. Завантажити avz, запускати avz.exe;
2. Вибираємо у вікні програми «Файл», далі «Виконати скрипт»;
3. І вставляти наступний скрипт в вікно, що з'явилося:

begin
SearchRootkit (true, true);
SetAVZGuardStatus (True);
QuarantineFile ( 'сюди необхідно вставити шлях до файлу (головне лапки не переплутайте)', »);
DeleteFile ( 'сюди необхідно вставити шлях до файлу (головне лапки не переплутайте)');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard ( 'TSW', 2,3, true);
BC_Activate;
RebootWindows (true);
end.

Де, як вже Ви зрозуміли, під поняттям «сюди вставляти шлях до файлу (тут головне не переплутати лапки)» власне і необхідно вставити цей шлях, тобто наприклад: C: \ WINDOWS \ system \ syshost.exe. Тиснемо на «Запустити», попередньо закривши всі програми.

Власне, ось і все. Тепер пора радіти життю і комп'ютера очищеного.

Сучасному інтернет-користувачеві важливо розуміти, що на сьогоднішній день в глобальної мережі перебувати величезна безліч різних загроз. При зараженні ПК, віруси часто маскуються під виглядом звичайних системних процесів. У даній статті мова піде про те, як видалити вірус svchost.exe.

Даний процес є не єдиним під час роботи системи. У диспетчері завдань можна спостерігати відразу більше десятка процесів з однойменною назвою.

У звичайному режимі на дані процеси особливо ніхто не звертає уваги, але як тільки комп'ютер починає неабияк «», то виявляється що svchost.exe «поїдає» на постійній основі половину системних ресурсів, а то і більше. Звичайно, можна вжити радикальних заходів і чи ж зробити відновлення системи. Але не завжди ці заходи допоможуть вирішити поточну проблему.

svchost.exe - є системним процесом, який відповідає за запуск служб різного типу на ПК. Даний процес дозволяє запускати кілька служб одночасно, допомагаючи економити при цьому системні ресурси. Таким чином, в диспетчері завдань відображається відразу кілька рядків з даними назвою.

Віруси і трояни можуть маскуватися під процес svchost.exe., Викликаючи тим самим важку навантаження на апаратну частину комп'ютера.

Щоб визначити приналежність даного процесу до шкідливого коду, потрібно для початку натисканням Ctrl + Atl + Delete. У вкладці процеси в першій колонці відображаються всі запущені процеси , А наступна колонка показує приналежність процесу до конкретного користувача. svchost.exe може бути запущений виключно від імені NETWORK SERVICE, SYSTEM та LOCAL SERVICE. Якщо при аналізі було помічено, що цей процес запущений від іншого імені, наприклад, від USER (або іншого імені), то значить, що в системі орудує вірус.

Щоб відключить запуск шкідливого ПО, потрібно. Для цього можна скористатися стандартними засобами ОС або ж безкоштовної

Ні для кого з користувачів Windows не секрет, що при зависанні або гальмуванні комп'ютера в першу чергу потрібно заглянути в «Диспетчер завдань», щоб завершити в ньому утяжеляющие систему процеси. Завдання, скажімо так, для першокласників: начебто плавали і знаємо, що там і як. Однак заглянувши в черговий раз в горезвісний диспетчер, багато користувачів, на свій подив, мало не вперше помічають, що до перевантаження центрального процесора веде такий собі процес svchost.exe, який, увагу, відображається не в одній, а відразу в 4-х, а то і більше рядках:

Ну от самі подумайте, яка інша реакція в цей момент може бути, крім паніка від думки, що на улюбленому ПК оселився вірус? На пам'яті адже ніколи не було, щоб системні процеси дублювалися в «Диспетчері завдань»! Однак перш ніж в жаху шукати рішення, як би так швидше видалити svchost.exe з комп'ютера, потрібно розібратися з тим, а вірус чи це насправді чи ні.

Крок № 1: Виявляємо віруси

Мабуть, варто відразу зазначити, що процес svchost.exe сам по собі ніякої загрози для Windows не несе, як би це не здавалося дивно. За фактом призначений він для запуску вбудованих в систему служб, сервісів і різноманітних програм, які використовують у своїй роботі особливі DLL-бібліотеки. Однак виходячи з того що таких системних служб на комп'ютері часто буває досить багато, виконання їх в одному процесі може бути дуже складною. Саме тому svchost.exe часто і запускається кілька разів, обслуговуючи тим окремі сервіси Windows.

Зрозуміло, що видаляти подібні процеси не має ніякого сенсу, так як для їх відключення досить буде просто перезавантажити комп'ютер. У той же час повне видалення системного файлу svchost.exe може привести до збоїв в роботі Windows, появі всіляких помилок і інших неполадок з виндой. Тому-то виявивши ціле віяло svchost.exe в «Диспетчері завдань», відразу поспішати прощатися з ним не потрібно: все може бути набагато простіше.

Однак розслаблятися в цьому випадку теж не варто. Справа в тому, що під svchost.exe дійсно частенько маскуються віруси, приносячи з собою вельми неприємні подарунки у вигляді:

• довільного виходу комп'ютера зі сплячого режиму;
• появи системної помилки якщо буде запущено програму, відкриття дисковода або читанні диска;
• автоматичної перезавантаження Windows;
• безпричинного виключення комп'ютера;
• гальмування ПК через завантаження ЦП більш ніж на 90%;
• спонтанного відкриття додатків та ін.

Виникає питання, а як же в такому випадку визначити, де вірус, а де нормальний системний процес svchost.exe? Відповідь проста - уважно до нього придивитися.

Так, першим дзвіночком до того, що svchost.exe є вірусом, буде виконання цього процесу від імені користувача (в нормі він запускається від імені LOCAL SERVICE, SYSTEM (система) або NETWORK SERVICE). Щоб визначити це, досить на клавіатурі одночасно натиснути Ctrl + Shift + Esc, викликавши тим самим «Диспетчер завдань», потім вибрати в віконці вкладку «Процеси» і, врешті-решт, подивитися на дані, зазначені в колонці «Користувач» для процесу svchost.exe:

Зазначу, що для цієї ж мети при бажанні можна використовувати і спеціальну програму Process Explorer, в якій відображається повна інформація про всі виконуваних на комп'ютері процесах, в тому числі і про svchost.exe:

У той же час визначити, чи є загроза від svchost.exe, може допомогти і місце розташування такого файлу. Запам'ятайте: у нормі він зберігається тільки в одній з 4-х папок, розташованих на жорсткому диску, а саме в каталозі:

• WINDOWS \ Prefetch
• WINDOWS \ ServicePackFiles \ i386
• WINDOWS \ system32
• WINDOWS \ winsxs

Відповідно, якщо svchost.exe знаходиться в якомусь іншому місці, наприклад, окремо в папці WINDOWS, будьте впевнені: перед вами справжнісінький вірус. При цьому перевірити чи так це насправді, знову може допомогти «Диспетчер завдань». У цьому випадку після його запуску потрібно натиснути правою кнопкою по рядку з ім'ям процесу svchost.exe, вибрати в меню пункт «Властивості», а потім звернути увагу на поле «Розташування»:

Крім того, підказкою може стати і сама назва процесу. Так, будь-які відхилення від написання svchost.exe в імені образу можна сміливо розцінювати як приховану вірусну загрозу. Тому якщо бачите в «Диспетчері завдань» такі процеси, як svhost.exe, svehost.exe, svxhost.exe, svchos1.exe, svchest.exe, svch0st.exe і інші значення з помилковим написанням, можете сміливо їх видаляти: це віруси.

Крок № 2: Видаляємо віруси в svchost.exe

Потрібно сказати, що через численні різновидів вірусів svchost.exe якогось універсального способу їх видалення з комп'ютера на сьогоднішній момент просто не існує. Зокрема, в рішенні подібної проблеми може допомогти повна перевірка Windows встановленої на ПК антивірусною програмою . Головне в цьому випадку - перед її початком не забути:

• відключитися від локальної мережі і інтернету;
• завершити в «Диспетчері завдань» підозрілі процеси svchost.exe;
• очистити автозавантаження від файлів svchost.exe. У цьому випадку від нас вимагається спочатку натиснути ÿ + R на клавіатурі, далі вбити в інформацію, що з'явилася утиліту «Виконати» завдання msconfig, клацнути OK, а потім після вибору вкладки «Автозавантаження» в віконці перевірити наявність в ній svchost.exe:

При цьому щоб ефект від лікування комп'ютера не опинився тимчасовим, в обов'язковому порядку потрібно подбати про встановлення та оновлення в Windows потужного антивіруса і firewall. Тільки так можна бути впевненим, що проблема з шкідливим троянським файлом svchost.exe не повернеться назад в систему.

Системний файл svchost досить часто стає мішенню для атак хакерів. Більш того, автори вірусів маскують своїх зловредів під його програмну «зовнішність». Один з найяскравіших представників вірусів категорії «лже-svchost» - Win32.HLLP.Neshta (класифікація Dr.Web).

Цей «самозванець» копіює себе в директорію Windows, заражає файли з розширенням «exe» і забирає системні ресурси ( оперативну пам'ять , Інтернет-трафік). Втім, він здатний і на інші гидоти. Відомі випадки інфікування, коли вірусний svchost завантажує ОЗУ комп'ютера на 98-100%, відключає інтернет-канал, порушує функціонування локальної мережі.

Файли svсhost - добрі і злі, або хто є хто

Вся складність нейтралізації вірусів цього типу полягає в тому, що є присутнім ризик пошкодити / видалити довірений файл Windows з ідентичною назвою. А без нього ОС працювати не буде, її доведеться встановлювати заново. Тому, перед тим як приступити до процедури очищення, ознайомимося з особливими прикметами довіреної файлу і «чужака».

істинний процес

Управляє системними функціями, які запускаються з динамічних бібліотек (.DLL): перевіряє і завантажує їх. Слухає мережеві порти, передає по ним дані. Фактично є службовим додатком Windows . Знаходиться в директорії С: → Windows → System 32. У версіях ОС XP / 7/8 в 76% випадків має розмір 20, 992 байта. Але є й інші варіанти. Детальніше з ними можна ознайомитися на розпізнавальні ресурсі filecheck.ru/process/svchost.exe.html (посилання - «ще 29 варіантів»).

Має наступні цифрові підписи (в диспетчері завдань колонка «Користувачі»):

• SYSTEM;
• LOCAL SERVICE;
• NETWORK SERVICE.

хакерська підробка

Може перебувати в наступних директоріях:

• C: \ Windows
• C: \ Мої документи
• C: \ Program Files
• C: \ Windows \ System32 \ drivers
• C: \ Program Files \ Common Files
• C: \ Program Files
• C: \ Мої документи

Крім альтернативних директорій, хакери в якості маскування вірусу використовують практично ідентичні, схожі на системний процес, назви.

наприклад:

• svch0st (цифра «нуль» замість літери «o»);
• svrhost (замість «с» буква «r»);
• svhost (немає «з»).

Версій «вільного трактування» назви незліченна безліч. Тому необхідно проявляти підвищену увагу при аналізі діючих процесів.

Увага! Вірус може мати інше розширення (відмінне від exe). Наприклад, «com» ​​(вірус Neshta).

Отже, знаючи ворога (вірус!) В обличчя, можна сміливо приступати до його знищення.

Спосіб №1: очищення утилітою Comodo Cleaning Essentials

Cleaning Essentials - антивірусний сканер. Використовується в якості альтернативного програмного засобу з очищення системи. До нього додаються дві утиліти для детектування і моніторингу об'єктів Windows (файлів і ключів реєстру).

Де скачати і як встановити?

1. Відкрийте в браузері comodo.com (офіційний сайт виробника).

Порада! Дистрибутив утиліти краще завантажувати на «здоровому» комп'ютері (якщо є така можливість), а потім запускати з USB-флешки або CD-диска.

2. На головній сторінці наведіть курсор на розділ «Small & Medium Business». У підменю виберіть програму Comodo Cleaning Essentials.

3. У блоці завантаження, у випадаючому меню, виберіть розрядність вашої ОС (32 або 64 bit).

Порада! Розрядність можна дізнатися через системне меню: відкрийте «Пуск» → введіть в рядок «Відомості про систему» ​​→ клікніть по утиліті з такою ж назвою в списку «Програми» → подивіться рядок «Тип».

4. Натисніть кнопку «frее Download». Дочекайтеся завершення завантаження.

5. Розпакуйте викачаний архів: клік правою кнопкою по файлу → «Витягнути все ...».

6. Відкрийте розпаковану папку і натисніть 2 рази лівою кнопкою по файлу «CCE».

Як налаштувати і очистити ОС?

1. Виберіть режим «Custom scan» (вибіркове сканування).

2. Зачекайте трохи, поки утиліта оновить свої сигнатурні бази.

3. У вікні налаштувань сканування встановіть галочку напроти диска С. А також включите перевірку всіх додаткових елементів ( «Memory», «Critical Areas ..» та ін.).

4. Натисніть «Scan».

5. Після закінчення перевірки дозвольте антивірусу видалити знайдений вірус-самозванець і інші небезпечні об'єкти.

Примітка. Крім Comodo Cleaning Essentials, для лікування ПК можна використовувати інші аналогічні антивірусні утиліти. Наприклад, Dr. Web CureIt !.

допоміжні утиліти

У пакет лечащей програми Cleaning Essentials входять два допоміжних інструменту, призначених для моніторингу системи в реальному часі і детектування зловредів вручну. Їх можна задіяти в тому випадку, якщо вірус не вдасться знешкодити в процесі автоматичної перевірки.

Додаток для швидкої і зручної роботи з ключами реєстру, файлами, службами і сервісами. Autorun Analyzer визначає місце розташування обраного об'єкта, при необхідності може видалити або скопіювати його.

Для автоматичного пошуку файлів svchost.exe в розділі «File» виберіть «Find» і задайте ім'я файлу. Проаналізуйте знайдені процеси, керуючись властивостями, описаними вище (див. «Хакерська підробка»). При необхідності видаліть підозрілі об'єкти через контекстне меню утиліти.

Моніторить запущені процеси, мережеві з'єднання , Фізичну пам'ять і навантаження на ЦП. Щоб «відловити» підроблений svchost за допомогою KillSwitch, виконайте наступні дії:

1. На вкладці «Система» відкрийте розділ «Процеси».
2. Проаналізуйте всі активовані процеси svchost:
   • клікніть правою кнопкою по файлу;
   • виберіть «Властивості»;
   • подивіться його поточну директорію. Якщо вона відмінна від З: \ Windows \ system32 \, скоріш за все, що досліджуваний об'єкт є вірусом.

У разі виявлення зловреда:

1. Додатково перегляньте в его поле графу «Оцінка» (safe - Безпечний) и підпис.
2. Если ЦІ Властивості такоже НЕ відповідають характеристикам довіреної системного файлу, знову активів контекстне меню (Клік правою кнопкою). А потім послідовно запустіть Функції «Прізупініті» и «ВИДАЛИТИ».
3. Продовж перевірку, можливо, вірус Створив и запустивши свои копії. Від них теж в обов'язковому порядку та патенти позбутіся!

Способ №2: использование системних функцій

перевірка автозавантаження

1. Натісніть «Пуск».
2. Наберіть в пошукових рядках msconfig и натісніть «Enter».
3. У вікні «Конфігурація системи» перейдіть на вкладку «Автозавантаження».
4. Перегляньте командіровку (колонка «Команда»), что запускають елементи при запуску Windows , І їх Розташування (діректорії, ключі реєстру в колонці «Розташування»):
   • Всі директиви, що містять svchost, вимкніть (приберіть кліком галочку біля записи). Це 100% вірус. Системний процес з однойменною назвою ніколи не прописується в автозавантаження.
   • Відкрийте директорію зловреда (вказана в «Розташування») і видаліть його. Для нейтралізації ключа в реєстрі використовуйте штатний редактор regedit: «Win + R» → regedit → Enter.

Аналіз активних процесів

1. Натисніть «Ctrl + Alt + Del».
2. Клацніть по вкладці «Процеси».
3. Перевірте властивості всіх активних svchost (ім'я, розширення, розмір, місце розташування). При аналізі орієнтуйтеся на дані сервісу filecheck.ru і характеристики, наведені в цій статті.

Клацніть правою кнопкою на ім'я образу. У меню виберіть «Властивості».

У разі виявлення вірусу:

• у властивостях об'єкта дізнайтеся його розташування (скопіюйте або запам'ятайте);
• натисніть «Завершити процес»;
• перейдіть в директорію зловреда і видаліть його за допомогою штатної функції (клік правою кнопкою → Видалити).

Якщо складно визначити: довірений або вірус?

Іноді однозначно складно сказати, чи є svchost справжнім або підробкою. У такій ситуації рекомендується провести додаткове детектування на безкоштовному онлайн-сканері «Virustotal». Цей сервіс для перевірки об'єкта на наявність вірусів використовує 50-55 антивірусів.

1. Відкрийте в браузері virustotal.com.
2. Натисніть «Виберіть файл».
3. В провіднику Windows відкрийте директорію процесу, який необхідно перевірити, виділіть його кліком, а потім натисніть «Відкрити».
4. Для запуску сканування клікніть «Перевірити!». Файл завантажиться з ПК на сервіс і автоматично почнеться сканування.
5. Ознайомтеся з результатами перевірки. Якщо більшість антивірусів детектируют об'єкт як вірус, його необхідно видалити.