Svchost exe что это за процесс

Содержание:

Как удалить svchost.exe (вирус) и распознать системный файл svchost

Svchost exe что это за процесс

Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» — Win32.HLLP.Neshta (классификация Dr.Web).

Этот «самозванец» копирует себя в директорию Windows, заражает файлы с расширением «exe» и забирает системные ресурсы (оперативную память, интернет-трафик). Впрочем, он способен и на другие гадости. Известны случаи инфицирования, когда вирусный svchost загружает ОЗУ компьютера на 98-100% , отключает интернет-канал, нарушает функционирование локальной сети.

Как же удалить svchost.exe, который «подбросили» злоумышленники в систему? Есть, как минимум, два способа детектирования и уничтожения этого паразита. Не будем медлить! Приступаем к очистке ПК.

Файлы svсhost — добрые и злые, или кто есть кто

Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».

Истинный процесс

Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка — «ещё 29 вариантов»).

Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):

  • SYSTEM;
  • LOCAL SERVICE;
  • NETWORK SERVICE.

Хакерская подделка

Может находиться в следующих директориях:

  • C:Windows
  • C:Мои документы
  • C:Program Files
  • C:WindowsSystem32drivers
  • C:Program FilesCommon Files
  • C:Program Files
  • C:Мои документы

Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.

Например:

  • svch0st (цифра «ноль» вместо литеры «o» );
  • svrhost (вместо «с» буква «r»);
  • svhost (нет «с»).

Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.

Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).

Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.

Способ №1: очистка утилитой Comodo Cleaning Essentials

Cleaning Essentials — антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).

Где скачать и как установить?

1. Откройте в браузере comodo.com (официальный сайт производителя).

Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.

2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.

3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).

Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».

4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.

5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».

6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».

Как настроить и очистить ОС?

1. Выберите режим «Custom scan» (выборочное сканирование).

2. Подождите немного, пока утилита обновит свои сигнатурные базы.

3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).

4. Нажмите «Scan».

5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.

Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.

Вспомогательные утилиты

В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.

Внимание! Утилиты рекомендуется применять только опытным пользователям.

Autorun Analyzer

Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.

Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.

KillSwitch

Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:

  1. На вкладке «Система» откройте раздел «Процессы».
  2. Проанализируйте все активированные процессы svchost:
    • кликните правой кнопкой по файлу;
    • выберите «Свойства»;
    • посмотрите его текущую директорию. Если она отличная от С:Windowssystem32, вероятней всего, что исследуемый объект является вирусом.

В случае обнаружения зловреда:

  1. Дополнительно просмотрите в его поле графу «Оценка» (safe — безопасный) и подпись.
  2. Если эти свойства также не соответствуют характеристикам доверенного системного файла, снова активируйте контекстное меню (клик правой кнопкой). А затем последовательно запустите функции «Приостановить» и «Удалить».
  3. Продолжайте проверку, возможно, вирус создал и запустил свои копии. От них тоже в обязательном порядке необходимо избавиться!

Проверка автозагрузки

  1. Кликните «Пуск».
  2. Наберите в поисковой строке msconfig и нажмите «Enter».
  3. В окне «Конфигурация системы» перейдите на вкладку «Автозагрузка».
  4. Просмотрите команды (колонка «Команда»), запускающие элементы при запуске Windows, и их расположение (директории, ключи реестра в колонке «Расположение»):
    • Все директивы, содержащие svchost, отключите (уберите кликом галочку возле записи). Это 100% вирус. Системный процесс с одноимённым названием никогда не прописывается в автозагрузке.
    • Откройте директорию зловреда (указана в «Расположение») и удалите его. Для нейтрализации ключа в реестре используйте штатный редактор regedit: «Win + R» → regedit → Enter.

Анализ активных процессов

  1. Нажмите «Ctrl + Alt + Del».
  2. Кликните по вкладке «Процессы».
  3. Проверьте свойства всех активных svchost (имя, расширение, размер, местоположение). При анализе ориентируйтесь на данные сервиса filecheck.ru и характеристики, приведенные в этой статье.

Кликните правой кнопкой по имени образа. В меню выберите «Свойства».

В случае обнаружения вируса:

  • в свойствах объекта узнайте его расположение (скопируйте или запомните);
  • нажмите «Завершить процесс»;
  • перейдите в директорию зловреда и удалите его при помощи штатной функции (клик правой кнопкой → Удалить).

Если сложно определить: доверенный или вирус?

Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.

  1. Откройте в браузере virustotal.com.
  2. Нажмите «Выберите файл».
  3. В проводнике Windows откройте директорию процесса, который необходимо проверить, выделите его кликом, а затем нажмите «Открыть».
  4. Для запуска сканирования кликните «Проверить!». Файл загрузится из ПК на сервис и автоматически начнётся сканирование.
  5. Ознакомьтесь с результатами проверки. Если большинство антивирусов детектируют объект как вирус, его необходимо удалить.

Профилактика

После нейтрализации «паразита» из ОС Windows, в независимости от применённого способа удаления, просканируйте дисковые разделы лечащей утилитой Malwarebytes Anti-Malware или Kaspersky Virus Removal Tool. Проверьте работу основного антивируса: просмотрите настройки детектирования, обновите сигнатурную базу.

Процесс Svchost.exe грузит систему. Что делать? — ТВОЙ КОМПЬЮТЕР

Проблема весьма распространена и причин её возникновения существует приличное количество. Давайте рассмотрим, что же такое вообще Svchost.exe – это ключевой процесс, который запускают все динамически подгружаемые библиотеки. Подход с использованием одного главного процесса во многих приложениях существенно экономит системные ресурсы вашего компьютера.

Нередко бывает что под Svchost.exe маскируется вирус, что бы сбить пользователя столку и тем самым, как можно дольше оставаться в тени. Другими проблемами, связанными с чрезмерной загрузкой системы этим процессом бывают глюк операционной системы, обновление вашей Windows, сбой в работе конкретной службы, так же вероятной причиной может быть повреждение чипов памяти, например: скопилось много пыли, которая существенно замедляет работу ПК, специалисты рекомендуют производить плановую чистку компьютера хотя бы раз в год.

Сбой системы Windows

Первым шагом в диагностике и устранении данной неисправности есть простая перезагрузка компьютера, что в случаях сбоя обычно помогает. Даже сами специалисты Microsoft признали, что бывали случаи, когда поврежденные службы поставлялись вместе с операционной системой и, в определенных условиях, эти неисправности проявлялись.

Как устранить неполадку?

Что бы исправить такие сбои, необходимо зайти в «Диспетчер задач», что можно сделать либо комбинацией Ctrl + Alt + Del, либо кликнув по панели задач правой кнопкой и выбрав нужный вариант. Если диспетчер задач отключен, как включить вы можете узнать, перейдя по ссылке.

[tip]Попробуйте закрыть процесс с помощью правой кнопки мыши и в выпадающем списке «Завершить дерево процессов». [/tip]

Если не поможет — во вкладке «Процессы» найти ваш проблемный Svhost.exe и нажмите правой кнопкой, выберите пункт «Перейти к службам». Работа поиска трудоемкая, но если выбора нет, тогда отключайте по одной службе и проверяйте реакцию процесса, но не трогайте жизненно важные службы, по крайней мере, пока не проверите остальные.

Что делать, если не удаляется папка?

Автоматическое обновление Windows

В случаях, когда компьютеры не обладают большой пропускной способностью, то есть старые, они могут сильно загружаться из-за простого обновления Windows. Что бы проверить так ли это отключите интернет и посмотрите, спадет ли большая нагрузка от процесса, если да, скорее всего это ваш случай, а если нет, тогда верните всё на свои места.

Как отключить автоматическое обновление Windows?

Что бы отключить автоматическое обновление нужно зайти в меню «Пуск»-> «Панель управления»-> «Центр управления Windows» -> «Не выполнять автоматическое обновления (не рекомендуется)». В случаях, если у вас стоит Windows 7,8, у вас получится таким простым методом отключить обновление, если ваша ОС 10-ой версии, воспользуйтесь статье представленной на нашем сайте «Как отключить автоматическое обновление Windows 10».

[warning]Отказываясь от обновлений, вы упускаете шанс быть максимально защищёнными, ведь со временем все найденные дыры в защите и быстродействии системы Microsoft латает.[/warning]

Svhost.exe является вирусом

Что бы это проверить для начала следует открыть «Диспетчер задач», далее перейдите в таб процессы и выберите фильтр «Имя образа», найдите нужное, скорее всего процессов Svhost.exe у вас будет 5 или более. Обратите внимание на колонку «Пользователь» — везде должно быть указано: система, LOCAL SERVICE или NETWORK SERVICE, если вы встретите процесс, запущенный от имени вашего пользователя, скорее всего это и есть вирус.

Убираем вирусы с компьютера

Для того что бы справиться с вирусом нужно запустить проверку антивирусными программами, которой вы доверяете, например: Dr. Web CureIt, она не требует установки и справляется с большинством задач.

[help]Так же вы можете воспользоваться программой Starter, которая не требует установки, она более функциональная, чем Диспетчер задач, главная функция, которая нас интересует – это путь к файлам процессов. [/help]

Найдя нужный процесс, вы можете нажать на него и увидеть, каким файлом он запущен, после чего удалить его. Перед установкой нужно закрыть процесс из приложения, но если это не помогло и вам выдает ошибку «Невозможно удалить, так как этот файл используется процессом …», воспользуйтесь утилитой Unlocker или удалите, зайдя в Windows из безопасного режима.

Как исправить ошибка kernelbase.dll Windows?

Откат системы в исходное состояние

Одним из действенных вариантов является просто откатить ОС Windows на несколько дней назад до возникновения ошибки, но желательно процедуру проделать несколько раз, с первого раза помогает не всегда. О том, как сделать резервную точку сохранения и как перейти к ней читайте у нас на сайте. Конечно, не многие пользователи делают резервные точки сохранения, но если вы один из них, то воспользоваться данной возможностью однозначно стоит.

Удаление папки Prefetch

Рецепт этого лечения к нам пришел от пользователей, которые уверяют, что им помогало это решение. Мы не можем гарантировать результат, так что его стоит использовать в последнюю очередь. Итак, найдите папку C:WINDOWSPrefetch и удалите её. Затем пройдите по пути C:WINDOWSsystem32Tasks и очистите все файлы из этой папки. После этой процедуры, перейдите повторите попытку закрыть все дерево задач Svhost.exe и перезагрузить компьютер.

Важно понимать, что заниматься лечением конечно хорошо, но превентивные меры лучше.

[tip] Если вы часто используете браузер, ходя по незнакомым сайтам, устанавливаете программное обеспечение, не доверительных разработчиков, у вас обязательно должен быть установлен антивирус.[/tip]

Если это так, то риск подхватить болячки намного ниже, да и первым делом прогнав систему через проверку, можно быть уверенным что проблема, по крайней мере, не в вирусе.

Можно попробовать просто удалить файл Svhost.exe из C:WindowsTemp, но это действие вы выполняете на свой страх и риск.

Как определить вирус svchost.exe и удалить его

Довольно часто встречается ситуация, что компьютерные вирусы маскируются под системные процессы. Один из самых распространенных вариантов — вирус svchost.exe. Из-за того, что копий этого процесса в работе операционной системы Windows должно быть запущенно довольно много, вредоносному коду удается затеряться среди нормальных процессов системы.

Вы должны иметь представление о самом предназначении процесса svchost.exe, и уметь определять вирус, маскирующийся под этот процесс. Это необходимо для успешного удаления.

Для чего нужен процесс svchost.exe

Данный процесс используется системой Windows, для обеспечения работоспособности ее функций. Процесс обеспечивает работу сервисов и программ, которые работают с динамическими DLL библиотеками. При проверке запущенных процессов через диспетчер задач, вы увидите несколько копий svchost.exe — это совершенно нормально.

В качестве папок, в которых может располагаться системный процесс svchost.exe могут быть следующие варианты:

  • %system-disk%windows
  • %system-disk%Мои документы
  • %system-disk%WindowsSystem32drivers
  • %system-disk%WindowsSystem32
  • %system-disk%Program FilesCommon Files

Где переменная %system-disk% означает букву диска, на котором установлена операционная система Windows. Чаще всего это диск «С».

Чтобы проверить месторасположения процесса, в диспетчере задач кликните на него правой кнопкой мыши, и выберите пункт «Открыть место хранения файла» или «Свойства».

Если вы выбрали просмотр папки, где располагается процесс, она откроется в окне диспетчера файлов. Если вы решили просмотреть этот параметр через свойства, то вам нужен пункт «Расположение».

Обратите внимание! Нельзя диагностировать заражение процесса, основываясь только на его месторасположении, на системном диске.

Как вирусы маскируются под процесс svchost.exe

Большое количество копий svchost.exe, позволяет вирусным программ легко маскировать свое присутствие в системе, заменяя одну или несколько букв в названии процесса. Только если внимательно просмотреть все запущенные копии, и убедиться в корректности их названия, можно обнаружить вредоносный код (что далеко не всегда делают пользователи).

Ниже приведены варианты подмены названия.

  1. svcchost.exe — повторяется буква «c»
  2. svhost.exe — здесь наоборот, она пропущена
  3. svchostt.exe — в этом вредоносном процессе добавлена буква «t»
  4. svshost.exe — вместо буквы «c» используется «s»

Как вы можете заменить, основной алгоритм маскировки — это подставлять похожие по написанию буквы в название процесса, заменять или дублировать их.

Теперь запомните — есть только одно корректное наименование данного процесса:

SVCHOST.EXE

Как удалить вирус svchost

Если вы диагностировали у себя на компьютере зараженный процесс, и определили его месторасположение на диске, необходимо удалить его.

Для этого используется антивирусная утилита AVZ — скачать AVZ.

После запуска программы нажимаем «Файл — выполнить скрипт». У вас откроется окно для ввода кода.

Ниже представлен код скрипта — вам нужно скопировать его в программу.

begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('Укажите путь к файлу',''); DeleteFile('Укажите путь к файлу'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.

Жирным шрифтов выделены две строки — сюда вы должны вставить полный путь до вредоносного файла. Допустим, мы диагностировали в диспетчере задач вирус svcchost.exe (двойная «c» в названии), расположенный в папке c:windowssystem32. Мы должны указать в коде скрипта вот такое значение:

c:windowssystem32svcchost.exe

Это и будет полный путь до файла. У нас должно получиться следующее:

Далее нажимаем кнопку «Выполнить» — вредоносный файл будет удален. Нам нужно перегрузить компьютер, и убедиться в том, что вирус svchost.exe отсутствует в списке запущенных процессов.

Наши рекомендации

Если ваш компьютер подвергся заражению, обязательно проведите полное сканирование системы на вирусы.

Когда будете писать в коде скрипта путь и имя зараженного файла, используйте советы из второй главы (для определения целовой папки).

Заключение

Самый простой способ диагностировать вирус svchost.exe — это внимательно просмотреть весь список процессов в вашем диспетчере задач. Имейте ввиду — обязательно нужно просматривать процессы всех пользователей, в том числе и администраторов. Для этого отмечайте соответствующую галочку в диспетчере задач.

Стоит почитать

  • Что такое ddos атака
  • Скачать ssh клиент для windows

Дорогие читатели, если вы увидели ошибку или опечатку в статье «Svchost exe что это за процесс», помогите нам ее исправить! Выделите ошибку и нажмите одновременно клавиши «Ctrl» и «Enter». Мы получим ваше сообщение и внесём исправления в ближайшее время.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями: