Якщо ви читаєте цю замітку, значить в диспетчері завдань ви звернули увагу на один або кілька процесів з назвою svchost.exe. Те, що процес svchost запущений багаторазово, для недосвідченого людини виглядає підозріло, а тому здатне змусити похвилюватися за чистоту свого комп'ютера. Насправді, svchost не є небезпечним і більш того, є важливою частиною операційної системи Windows. З його допомогою виконується запуск різних системних служб, необхідних для роботи сервісів системи. При цьому кожна запущена копія являє собою одну або кілька служб, тому кількість процесів не завжди однаково. Цією обставиною користуються деякі віруси, маскуючись під схоже або повністю аналогічну назву. У даній статті ми навчимося визначати, що саме стоїть за svchost.

Перший випадок. Найпростіше виявити віруси, які мають схожі назви. У них змінюють або міняють місцями одну - дві букви. При побіжному перегляді списку в Диспетчері завдань такі процеси не сильно виділяються, але при уважному порівнянні їх нескладно відрізнити. Приклади процесів маскуються під svchost:

svchosts.exe, svch0st.exe, svchos1.exe, svcchost.exe, svchoes.exe, svhost.exe, svchost32.exe, svchosts32.exe, svrhost.exe, svshost.exe, svchest.exe, і т.п.

Другий випадок. А ось виявити віруси, що мають повну відповідність в назві, вже так не вийде. Але зробити це все ще не важко. Для початку визначимося з тим, що справжній svchost.exe розташовується в папці:

У Windows 32bit це - C: \ Windows \ System32 \

У Windows 64bit це - C: \ Windows \ SysWOW64 \

(Буква диска «С:» може відрізнятися, в залежності від того, куди встановлена ​​система)

Саме з цієї папки система запускає цей процес.

Ще можуть бути копії файлу (а можуть і не бути) в папках:

C: \ WINDOWS \ ServicePackFiles \ i386
C: \ WINDOWS \ Prefetch
З: \ WINDOWS \ winsxs \ [длінное_названіе_папкі]

Таким чином, всі svchost.exe знаходяться НЕ в папці C: \ Windows \ System32 \ (або C: \ Windows \ SysWOW64 \ для 64-бітових систем) мають підвищений (прагне до 96%) рівень загрози. Щоб дізнатися з якої папки був запущений процес, можна скористатися програмою Process Explorer . Запустивши програму правою кнопкою мишки по процесу svchost.exe, а в випадаючому меню виберіть пункт «Properties». Відкриється віконце властивостей процесу. В осередку «Path» ( «Шлях») для 32-розрядних систем має бути зазначено: C: \ Windows \ System32 \ svchost.exe, а для 64-розрядних шлях буде таким: C: \ Windows \ SysWOW64 \ svchost.exe

Якщо папка, в якій знаходиться процес інша, запам'ятайте її і натисніть кнопку «Kill process». Цією дією ви вивантажити процес з пам'яті. Потім перейдіть в його папку і видаліть файл svchost.exe. Після цього обов'язково перевірте систему антивірусом.

До речі, в диспетчері завдань системи Windows 7 можна дізнатися шлях до файлу без використання додаткових програм. Для цього можна натиснути правою кнопкою миші по процесу та вибрати пункт «Відкрити місце зберігання файлу». А краще налаштувати Диспетчер завдань таким чином, щоб в ньому відразу відображалися шляху файлів. Для цього клацніть меню «Вид» і виберіть пункт «Вибрати стовпці», далі встановіть галочку для «Шлях до образу». Цим ви додасте додатковий стовпець, в якому буде показано розташування процесів на жорсткому диску.

Третій випадок. Найскладніший, але на щастя зустрічається рідше - коли вірус модифікує svchost.exe. Тобто «вшивається» в системний файл. Зазвичай це призводить до критичних помилок, із зазначенням в них файлу svchost. У цьому випадку знадобиться його відновити з резервної копії або переписати з інсталяційного диска.