Решение проблемы, если svchost.exe является системным процессом
Если svchost.exe (netsvcs) грузит процессор более чем на 50%, стоит выполнить следующие действия:
Открываем Диспетчер задач. Для этого жмём правой кнопкой мыши на панели задач и выбираем «Запустить диспетчер задач».
Переходим во вкладку «Процессы» и выбираем из списка svchost.exe, который грузит процессор. Жмём на нём правой кнопкой мыши и выбираем «Завершить процесс» или используем соответствующую кнопку.
После этого запускаем командную строку с правами администратора и вводим следующую команду «netsh interface ipv6 set teredo disable».
Не закрывая консоль, вводим «netsh interface teredo set state disable».
Перезагружаем компьютер.
Если же svchost.exe (netsvcs) грузит оперативную память, специалисты компании Microsoft рекомендуют выполнить следующие действия:
- Запускаем проверку системы на вирусы.
- После проверки (не стоит во время сканирования системы антивирусом выполнять какие-то действия, так как это ещё больше нагрузит систему и компьютер будет тормозить) открываем командную строку и вводим «sfc /scannow».
Если защита ресурсов Windows обнаружит повреждённые файлы, то узнать какие, можно перейдя по адресу «C:\Windows\Logs\CBS\CBS.log».
Также многим пользователям удалось решить проблему с загрузкой системы процессом svchost.exe (netsvcs), отключив автоматическое обновление системы. Для этого выполняем следующее:
Жмём «Пуск», «Панель управления» и выбираем «Система и безопасность».
Далее выбираем «Центр обновления Windows ».
В левом меню выбираем «Настройка параметров» и выставляем «Не проверять наличие обновлений (не рекомендуется)».
После этого жмём «Win+R» и вводим «services.msc».
Откроется окно служб. Находим «Центр обновления Windows». Жмём на службе правой кнопкой мыши и выбираем «Остановить».
Перезагружаем компьютер.
Решение проблемы, если svchost.exe является вирусом
Перед тем, как предпринимать какие-то действия по решению проблемы, стоит изначально определить, является ли svchost.exe вирусом.
Основные признаки того, что под данным процессом маскируется вирус:
- Системный svchost.exe всегда идет под именем «System Local Services» или «Network Services».
- Вирус маскируется под именем «Admin» или под именем учётной записи пользователя.
Определить это можно во вкладке «Процессы» в Диспетчере задач. Однако здесь нужно учесть парочку нюансов.
Процессов svchost.exe в Диспетчере задач имеется как минимум 4, а то и больше.
Определить вирус можно по имени или, завершив процесс. Если это не вирус, нормальная рабочая система просто перегрузится. Если же вирус, то нужно удалить папку «Prefetch», которая расположена на диске С в папке «Windows».
После перезагружаем систему и запускаем проверку ПК на вирусы с помощью лечащей утилиты или антивируса.
Также, чтобы определить вирус это или нет, выполните чистую автозагрузку системы. Таким образом можно определить виновника проблемы.
Итак, сегодня нам предстоит разобраться с очень интересным компьютерным процессом. Он называется Svchost.exe netsvcs. Именно данный пункт вызывает опасения и тревогу у многих пользователей. Ведь со временем он начинает загружать операционную систему. Иногда сразу на 50 или 100%. И, как правило, работать становится просто невозможно. Сегодня мы узнаем, что представляет собой Svchost.exe netsvcs, а также что следует делать, если данный процесс забирает у компьютера очень много системных ресурсов. Преимущественно — памяти. Давайте приступим к изучению сегодняшнего вопроса.
Svchost.exe грузит систему. Что делать?
Итак, вы заметили, что компьютер люто тормозит, а при запуске диспетчера задач было замечено, что практически все ресурсы процессора тянет на себя процесс Svchost.exe. Чаще всего причина здесь проста и понятна. Либо Svhost.exe является вирусом, либо система нагружается из-за того, что у вас включено автоматическое обновление. Для начала мы будет использовать способы, которые не помещают работе системе, а уже ниже я расскажу про вирусы, которые надо будет еще вычислить. Перед прочтением этой статьи я прошу вас сейчас сделать перезагрузку компьютера, так как возможно, Windows неправильно запустил службу в системе. Иногда, данный вариант помогает избавиться от этой проблемой, ну и конечно, если вы делали перезагрузку до этого, то сейчас можете не перезагружать компьютер и продолжайте читать статью.
Сейчас зайдите в диспетчер задач, найдите процесс с именем Svchost.exe, нажмите на него правой кнопкой мыши и выберете из списка «Завершить дерево процессов». Если это не помогло, то продолжаем разбираться в этом вопросе.
Еще один момент, который вы должны сделать сейчас. Зайдите в «Пуск» — «Выполнить» или же откройте это окно кнопками на клавиатуре «Win» + «R». После чего введите «Prefetch» и нажмите «ОК».
Далее откроется папка, где необходимо удалить все файлы, которые в ней находятся. Здесь «лежат» файлы с настройками системы, но иногда они бывают сбойные, и поэтому выполните данный шаг, чтобы быть уверенными, что с ними все в порядке.
Здесь надо будет выбрать пункт с названием «Администрирование».
Далее находим пункт «Службы» и открываем его.
Здесь следует найти «Центр обновления Windows», после чего отключите данную службу. Для этого нажмите на нее 2 раза левой кнопкой мыши, после этого нажмите на кнопку «Остановить». Также нужно будет выставить ручной тип запуска, затем все ваши изменения сохраните (нажать «Применить» — «ОК») и перезагрузите свой компьютер.
Не помогло? Тогда можно попробовать поочередно отключать службы, которые могут быть связаны с Svchost.exe. Для этого запустите диспетчер задач, найдите процесс, который сильнее всего загружает процессор, щелкните по нему правой кнопкой мыши и нажмите на «Перейти к службам».
Перед вами откроется окно с внушительным перечнем служб, использующих Svchost.exe. При этом синим будут подсвечиваться службы, которые используют конкретный процесс, выбранный вами выше в диспетчере задач (тот, который больше всего грузит систему). Теперь вам следует поочередно отключать одну из служб, проверяя результат после очередного отключения. Чтобы отключить службу, нажмите на нее левой кнопкой мыши (чтобы выбрать), а потом нажмите на нее правой кнопкой мыши и выберете «Остановить службу». Если вы неопытный пользователь, то могу вас заверить, что ничего плохого вы не сделаете системе и поэтому можете не переживать за дальнейший результат.
При этом, когда подозрительная служба будет найдена, следует зайти в «Управление компьютером» (выше я рассказал как зайти в службы — через панель управления – администрирование — службы) и отключить ее там, поскольку если вы воспользуетесь для этих целей «Диспетчер задач», то данная служба будет восстановлена и снова включиться после того, как вы перезагрузите компьютер. Обычно данный процесс подвисает службах «»Вспомогательная служба IP» и «Центр обновления Windows». Когда найдете процесс, который грузит Svchost.exe на 100% или меньше (обычно 50-100%), то заходите в службы, находите службу, нажимаете на нее 2 раза, и в открывшемся окне делаете следующее: в «Тип запуска» выбираете «Отключена» и нажимаете кнопку «Остановить» После чего нажимаете «Применить» и далее «ОК».
Ну и в дополнение к вышесказанному хочется дать еще два простых способа, которые в некоторых случаях могут вам помочь без лишних манипуляций с процессами:
- Первое – обновить Windows, если он ранее не обновлялся. Часто обновления Windows решает множество проблем и данный вид ошибки не исключение.
- Второе – восстановить систему при помощи контрольной точки, вернув ее в то состояние, когда проблемы не наблюдалось.
Как удалить вирус, замаскированный под процесс svchost.exe
Запустите «Диспетчер задач» (с помощью комбинации клавиш Control+Atl+Delete или из меню Пуск > Программы > Стандартные > Служебные) и откройте вкладку «Процессы». В первой колонке вы увидите названия процессов, а во второй — указание, от чьего имени он был запущен
Так вот, обратите внимание на то, что svchost.exe может запускаться только от имени пользователей LOCAL SERVICE, SYSTEM (или «система»), а также NETWORK SERVICE
Если вы заметили, что процесс запущен от имени вашего пользователя (например, от имени User), то перед вами — вирус. Так как настоящий svchost.exe может запускаться только системными службами, то он не может находиться в «Автозагрузке» текущего пользователя Windows. Поэтому именно там мы и попробуем найти вирус, замаскированный под системный процесс svchost.exe. Попасть в Автозагрузку можно двумя способами: через стороннюю программу, например, CCleaner или стандартными средствами Windows.
Для того, чтобы попасть в Автозагрузку без установки дополнительных программ, откройте Пуск и в строке поиска программ (в Windows XP — в Пуск > Выполнить) напишите msconfig, после чего нажмите ОК. Появится окно «Конфигурация системы». Перейдите на вкладку Автозагрузка и внимательно просмотрите список программ, запускаемых при загрузке системы. Если в этом списке вы обнаружите процесс svchost.exe, то можете не сомневаться в его вирусном происхождении.
Настоящий svchost.exe может быть запущен только из папки C:\WINDOWS\system32, где «C» — диск, на котором установлена Windows. (В 64-битной операционной системе 32-битная версия svchost.exe расположена в папке C:\WINDOWS\SysWOW64, и теоретически процесс может быть запущен также из неё. Однако по умолчанию все системные процессы, включая svchost.exe, в 64-разрядных Windows запускаются из C:\WINDOWS\system32.) На скриншоте выше видно, файл расположен в папке WINDOWS, да ещё и называется «svhost.exe», а не «svchost.exe», что прямо говорит о его вирусном происхождении.
Список самых излюбленных папок для маскировки вируса выглядит примерно так:
C:\WINDOWS\svchost.exeC:\WINDOWS\config\svchost.exeC:\WINDOWS\drivers\svchost.exeC:\WINDOWS\system\svchost.exeC:\WINDOWS\sistem\svchost.exeC:\WINDOWS\windows\svchost.exeC:\Users\имя-вашего-пользователя\svchost.exe
Файл вирусного процесса может не только находится в одной из перечисленных выше папок (а не в стандартной папке, где находится настоящий svchost.exe), но и называться по-другому:
svhost.exesvch0st.exesvchost32.exesvchosts.exesyshost.exesvchosl.exesvchos1.exe
. И так далее, — фантазия вирусописателей не знает границ :-).
Итак, вы нашли вирус svchost.exe в Автозагрузке. Первое, что нужно сделать — отключить его автозапуск, убрав галку напротив него в столбце «Элемент автозагрузки». Теперь нужно завершить его процесс через «Диспетчер задач» (правая кнопка мыши на процессе > Завершить процесс) и удалить сам файл. Полный путь к файлу, как и на скриншоте выше, всегда указан в столбце «Команда». Вполне возможно, что файл процесса не даст себя удалить, — в этом случае попробуйте сначала перезагрузить компьютер и повторить операцию, или воспользуйтесь программой для удаления подобных, «неудаляемых» файлов Unlocker.
После этого не лишним будет также провести антивирусную проверку компьютера. Если на вашем компьютере до сих пор не установлен антивирус, рекомендуем ознакомиться с нашей статьей о выборе бесплатного антивируса.
Проверяем svchost на вирусность
Первым делом надо убедиться, что проблема вызвана настоящим файлом svchost, а не вирусом. Дело в том, что злоумышленники очень часто имитируют свой вирус названием svchost, чтобы владелец компьютера не заподозрил ничего подозрительного. Стоит отметить, что процесс svchost.exe во всех Windows, кроме Windows 8 и Windows 10 запускается исключительно от имени системных пользователей SYSTEM (система), LOCAL SERVICE и NETWORK SERVICE. Так, что если вы видите, что svchost запущен от имени пользователя, то это почти наверняка вирус имитирующий работу системного файла.
Для того, чтобы посмотреть под каким пользователем запущен svchost нажмите комбинацию клавиш ctrl+alt+del и откройте диспетчер задач. Перейдите на вкладку «процессы» и отсортируйте список по ЦП, то есть по нагрузке на центральный процессор. Также можно отсортировать по имени образа.
Как видно на скриншоте все процессы svchost.exe запущены от системных пользователей (система, LOCAL SERVICE и NETWORK SERVICE). Значит, мы имеем дело не с вирусом и можно копать дальше. Если же, процесс svchost был бы запущен от вашего имени пользователя, например Dima или Алёна, то потребовалось бы чистить компьютер от вирусов. Но об этом я расскажу в следующей статье.
Как вирусы работают через svсhost?
Svchost грузит память мешая нормальной работе компьютера. Замаскированный вирус перенаправляет трафик интернета, благодаря чему отъедает значительную часть ресурсов процессора и оперативной памяти. Вредоносное программное обеспечение размещают на на диске с установленной Windows, а действия выполняемые им прячут так, чтобы они были не заметны в диспетчере задач. Вирус может маскироваться под системный процесс. Это увеличивает для него срок жизни, что напрямую влияет на количество действий и наносимого вреда.
При открытии диспетчера задач, нужно тщательно проверить пользователя от имени, которого запущено выполнение данной задачи. Windows запускает главный процесс от имени: LOCAL SERVISE, NETWORK SERVICE, система.
Все svсhost.ехе системные и не запускаются от имени пользователя. Все что выполняется текущим пользователем, используется вредоносным ПО.
ПОСМОТРЕТЬ ВИДЕО
Внимательно посмотрите на написание названия. Оно может по начертанию напоминать svchost.ехе, но отличается буквой или цифрой (svch0st.ехе – вместо буквы «о» используется ноль, svchoоst.ехе – две буквы «о», svеhost.ехе – вместо буквы «с» написана «е»). Данные названия выполняемых программ, как правило вредоносны.
Системный svchost.exe расположен: для 32 битной Windows в папке C:\WINDOWS\system32, а для 64 битной C:\WINDOWS\SysWOW64. На скриншоте видно месторасположение C:\WINDOWS, данный процесс скорее вредоносен. При обнаружении вируса или вредоносной утилиты, запустите антивирусную проверку (Dr.Web Cure IT).
Если нет конфликтов программного обеспечения, провели проверку и нет вирусов, а 100% загрузка процессора никуда не ушла, то можно воспользоваться спец софтом (Process Explorer), чтобы определить какая программа так сильно влияет на процессор. Как видно на скриншоте Wіndows происходит обновление системы.
Если центр обновления грузит систему, то отключите или назначьте работу по расписанию, чтобы он проверял, скачивал и устанавливал обновления тогда, когда вы не используете компьютер.
Теперь вы знаете что такое Svchost и почему Svchost грузит процессор.
И обнаружив в его списке процессов массу записей с одинаковым содержимым — svchost
— многие пользователи впадают в преждевременную панику. Обычно это происходит тогда, когда работоспособность системы находится под вопросом — все виснет, окна не реагируют, не помогает даже перезагрузка. Первым из процессов попадающим под подозрение обычно оказывается exe-шник svchost? Действительно ли хост процесс служб Windows повинен в перегрузке процессора? И если это так, то как с этим бороться?
Generic Host Process for Win32 Services, а именно так расшифровывается название рассматриваемой службы Windows, — является критически важной утилитой операционной системы. Отключить данную службу нельзя, так как в противном случае станет невозможным использование одного из важнейших инструментов Windows — разделяемых между приложениями библиотек подпрограмм — так называемых dll-библиотек
А так как вся архитектура Windows базируется на таких библиотеках, то работа с отключенным svchost.exe — абсолютно нереальна.
Проблема заключается в том, что хакеры предпочитают маскировать свои вредоносные программы под один из системных процессов и Generic Host Process — идеальный кандидат для таких манипуляций.
Файлы svсhost — добрые и злые, или кто есть кто
Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».
Истинный процесс
Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка — «ещё 29 вариантов»).
Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):
- SYSTEM;
- LOCAL SERVICE;
- NETWORK SERVICE.
Хакерская подделка
Может находиться в следующих директориях:
- C:\Windows
- C:\Мои документы
- C:\Program Files
- C:\Windows\System32\drivers
- C:\Program Files\Common Files
- C:\Program Files
- C:\Мои документы
Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.
Например:
- svch0st (цифра «ноль» вместо литеры «o»);
- svrhost (вместо «с» буква «r»);
- svhost (нет «с»).
Версий «свободной трактовки» названия бесчисленное множество
Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов
Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.
Драйверы
Очень часто при переносе системы на другой диск после каких-то серьезных ошибок в файловой системе, а также после вирусной атаки, пользователи сталкиваются с ОС, которая полностью зависла из-за svchost. exe. «Как удалить этот зловредный процесс?» — думают начинающие пользователи.
Еще раз предупредим: удаление данного файла приведет к тяжелейшим последствиям и полной неработоспособности системы, так что перед крайними мерами лучше прочтите наш очередной совет.
Имеются сведения, что процесс svchost.exe, ошибка которого портит столько нервов пользователям, может некорректно работать из-за неправильно установленных или «кривых» драйверов. Очень часто оказывается, что причиной являются программы для видеокарт и звуковых плат. Драйверы для них сложны и непредсказуемы, так что при возможности удалите их, а после этого установите самые свежие (или самые стабильные) версии.
Как удалить вирус svchost.exe
Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» — Win32.HLLP.Neshta (классификация Dr.Web).
Этот «самозванец» копирует себя в директорию Windows, заражает файлы с расширением «exe» и забирает системные ресурсы (оперативную память, интернет-трафик). Впрочем, он способен и на другие гадости. Известны случаи инфицирования, когда вирусный svchost загружает ОЗУ компьютера на 98-100% , отключает интернет-канал, нарушает функционирование локальной сети.
Как же удалить svchost.exe, который «подбросили» злоумышленники в систему? Есть, как минимум, два способа детектирования и уничтожения этого паразита. Не будем медлить! Приступаем к очистке ПК.
Если сложно определить: доверенный или вирус?
Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.
- Откройте в браузере virustotal.com.
- Нажмите «Выберите файл».
- В проводнике Windows откройте директорию процесса, который необходимо проверить, выделите его кликом, а затем нажмите «Открыть».
- Для запуска сканирования кликните «Проверить!». Файл загрузится из ПК на сервис и автоматически начнётся сканирование.
- Ознакомьтесь с результатами проверки. Если большинство антивирусов детектируют объект как вирус, его необходимо удалить.
Обновления
Например, иногда приходится отказаться от обновлений компьютера. Svchost.exe netsvcs память и процессор переполняет зачастую из-за загружаемых дополнений. От них нужно отказаться. Самый верный способ не нарываться на лишние неприятности — это отключить загрузку и проверку обновлений еще при установке Windows . Если вы этого не сделали, то самое время задуматься над данной задачей.
Например, посетите «Центр прямо в трее компьютера. Теперь зайдите в настройку параметров. Перед вами появится окно, в котором будут доступны варианты обновления. Лучше всего будет выбрать «Не проверять автоматически». Данный пункт помечен меткой «не рекомендуется». Но в нашем случае именно он может помочь.
После того как подтвердите действия, перезагрузите компьютер и отключите процесс Svchost.exe netsvcs. Теперь можно проверить, все ли хорошо с памятью и процессором. Да? Тогда обновляйте операционную систему только в случаях Нет? Стоит искать другие способы борьбы с проблемой.
Способ №1: очистка утилитой Comodo Cleaning Essentials
Cleaning Essentials — антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).
Где скачать и как установить?
2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.
3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).
4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.
5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».
6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».
Как настроить и очистить ОС?
1. Выберите режим «Custom scan» (выборочное сканирование).
2. Подождите немного, пока утилита обновит свои сигнатурные базы.
3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).
4. Нажмите «Scan».
5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.
Вспомогательные утилиты
В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.
Autorun Analyzer
Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.
Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.
KillSwitch
Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:
- На вкладке «Система» откройте раздел «Процессы».
- Проанализируйте все активированные процессы svchost:
- кликните правой кнопкой по файлу;
- выберите «Свойства»;
- посмотрите его текущую директорию. Если она отличная от С:\Windows\system32\, вероятней всего, что исследуемый объект является вирусом.
В случае обнаружения зловреда:
- Дополнительно просмотрите в его поле графу «Оценка» (safe — безопасный) и подпись.
- Если эти свойства также не соответствуют характеристикам доверенного системного файла, снова активируйте контекстное меню (клик правой кнопкой). А затем последовательно запустите функции «Приостановить» и «Удалить».
- Продолжайте проверку, возможно, вирус создал и запустил свои копии. От них тоже в обязательном порядке необходимо избавиться!
Как вычислить вредоносный процесс svchost.exe
Естественно, если у пользователя возникают подозрения на то, что процесс «svchost.exe» является вредоносным, то первым делом, пользователем будет проскандирован компьютер на наличие вирусов и прочего.
Но, если после проверки антивирусная программа сообщает, что система чистая и вредоносных программ не обнаружено – это может быть не совсем так!
В этом случаи стоит проверить процесс «svchost.exe» вручную. Делается это довольно просто, все что нужно – это знать некоторые моменты о процессе svchost.exe.
1) Процесс всегда запускается из системной папки «System32» Если это ни так, то скорей всего файл с именем svchost.exe является вредоносным.
2) Процесс svchost.exe никогда не запустится от имени пользователя – это нужно помнить. Процесс всегда запускается от «Local Service, Система, Network Service».
Как вы понимаете, если процесс svchost.exe был, запущен от текущего имени пользователя или не из системной папки, то стоит принять меры по проверки подозрительного файла.
Чтобы убедится в том, что запущен оригинальный файл, запустите диспетчер задач и найдите на вкладке «Подробности» список процессов «svchost.exe».
На этом скриншоте все процессы запущены самой же системой, это говорит о том, что, скорее всего среди данного списка вредоносного файла с именем «svchost.exe» нет
Обратите внимание на скриншот ниже…
На этом скриншоте мы видим процесс svchost.exe запущенный от пользователя с именем «SuperUser» Это говорит о том, что данный процесс является с большей степенью вредоносным.
Нужно нажать «ПКМ» где из контекстного меню выбрать «Открыть расположение» откроется проводник Windowsи Вы узнаете полный путь до подозрительного файла! Что делать с ним дальше, думаю это ясно, как день!
Важно знать: Некоторые вирусы непросто используют имя «svchost.exe» для того чтобы скрыть своё присутствие в системе, но и также могут использовать оригинальный файл svchost.exe в своих корыстных целях. В связи с этим ручная проверка тут результат не даст! Так же выше уже было сказано, что и антивирус может ни дать результата в поиске вируса! Возникает логичный вопрос, что же делать?
В связи с этим ручная проверка тут результат не даст! Так же выше уже было сказано, что и антивирус может ни дать результата в поиске вируса! Возникает логичный вопрос, что же делать?
Как вариант использовать бесплатный «firewall» среди которых лично я выделяю «comodo firewall» как он может нам помочь? Все просто! Если вирус использующий процесс svchost.exe вдруг задумает проявить сетевую активность, то пользователь будет об этом осведомлён!
Со скриншота хорошо видно, что файл svchost пытается подключиться к серверу по 80-тому порту, оригинальный файл этого никогда делать не будет, соответственно svchost заражён!
Вы можете оперативно заблокировать доступ в сеть для файла svchost, что будет вполне разумно! Так как в данном случае, есть вероятность передачи конфиденциальных данных, например паролей из браузера на «Gate»
Утечка такой информации сами понимаете, чем может закончиться для Вас!
Что делать с заражённым файлом svchost.exe? Так как, от текущего антивируса и ручной проверки толку ровно нуль, то, откройте сайт «virustotal.com» и проверти файл. Кстати, сделайте это, прямя сейчас!
Мой результат такой. Все чистенько! Если бы какой-нибудь антивирус среагировал бы, например «Avast» то, я бы удалил текущий антивирус и установил бы Avast и вылечил бы svchost.exe.
Завершаем процесс вирусной программы
Третьим шагом будет завершение процесса вирусной программы.
Удаляя файлы вируса, будьте предельно осторожны, чтобы не удалить по ошибке «настоящий» svchost, который находится в папке %WINDIR%systеm32. Удалять его нельзя ни в коем случае. Поэтому перед тем как приступить к удалению, проверьте лишний раз себя на ошибку.
Svchost вирус, как удалить его окончательно, расскажет следующий шаг. Теперь нужно из реестра убрать автоматический запуск данной программы. Для этого запустите редактор реестра, отыщите и удалите в нем «svchоst» = «%WinDir%svchost.exe». Потом отыщите ключ и поменяйте его с %WINDIR%svchоst.cоm «%1» %* на «%1» %*.
Также в замене нуждается ключ . Его значение должно стать «Userinit»=»%Sуstеm%usеrinit.еxe».
Как уберечься от повторного заражения
Для начала необходимо обезопасить свой компьютер от повторного заражения вирусом, установив на него антивирусную программу.
Не стоит этого пугаться, так как данный способ весьма простой. Для начала, зайдите в редактор реестра и отыщите там ключ HKEY_Sоftwаre_Micrоsоft\Windоws\CurrеntVеrsion\RunSеrvicеs «PowerManager»=»%WinDir%svchost.exe», после чего удалите его.
Svchost exe, как удалить, подскажет следующий шаг. Для этого откройте модуль предназначенный для управления службами Windows, найдите в списке PowerManager и, вызвав контекстное меню на данной службе, остановите ее.
Процесс svchost.exe и его связи
Диспетчер задач выдает нам целый список запущенных процессов svchost.exe, но этой информации явно недостаточно.
Естественно, нас интересует, какие именно сервисы запускает конкретный экземпляр этого процесса.
Итак, несколько способов узнать о связях svchost’а.
Команды tasklist и sc.
Применение команд tasklist и sc возможно в любой версии Windows. Поэтому, этот способ можно считать универсальным.
Прежде всего, запускаем cmd – интерпретатор командной строки Windows:
- нажимаем кнопку «Пуск»;
- выбираем команду «Выполнить»;
- вводим cmd и нажимаем кнопку «Ok».
Для получения списка служб на экране интерпретатора запускаем команду tasklist с ключом svc и нажимаем клавишу «Enter»:
tasklist /svc «Enter».
Для сохранения результатов запроса в текстовый файл svc.txt, находящийся на диске C: в папке temp, делаем перенаправление вывода команды tasklist:
tasklist /svc > C:\temp\svc.txt «Enter»
Заметим, что файл будет сохранен в dos-кодировке.
Фрагмент листинга tasklist.exe.
Имя образа PID Службы:
+++
- svchost.exe 1216 DcomLaunch
- svchost.exe 1300 RpcSs
- svchost.exe 1384 WudfSvc
- svchost.exe 1528 Dnscache
- svchost.exe 1584 LmHosts, SSDPSRV
+++
Колонки таблицы:
- «Имя образа» – имя исполняемого файла;
- «PID» – идентификатор процесса;
- «Службы» – список сервисов.
Чтобы получить информацию о конкретном сервисе, задаем его краткое название в качестве параметра команды управления сервисами sc.
Пример получения сведений о службе TermService.
– sc qc TermService «Enter».
Два способа перехода к списку сервисов.
- Нажимаем кнопку «Пуск», находим команду «Выполнить», в командной строке вводим services.msc и нажимаем кнопку «Ok».
- Нажимаем кнопку «Пуск», затем выбираем Настройка ->Панель управления -> Администрирование -> Службы.
Диспетчер задач Windows Vista/7.
Получаем список сервисов, связанных с процессом svchost с помощью диспетчера задач Windows Vista/7:
- устанавливаем курсор на название процесса;
- вызываем контекстное меню нажатием правой кнопки мыши и выбираем опцию «Перейти к службам»;
- получаем список, в котором подсветкой выделены связанные с нашим процессом сервисы.
В операционной системе Windows XP опция «Перейти к службам», к сожалению, отсутствует. Этот вариант нельзя считать универсальным.
Утилита Process Explorer.
Эта программа не входит в дистрибутивы Windows, но доступна к скачиванию с сайта Microsoft либо со страницы загрузки Process Explorer.
Процесс запуска очень простой и не требующий инсталляции:
- скачиваем zip-архив;
- разархивируем в папку на диске;
- запускаем файл procexp.exe.
Утилита выдает детальную информацию о процессах, запущенных в системе: pid, загрузку cpu, краткое описание, сведения о производителе и т.д.
При наведении мыши на название одного из экземпляров svchost’а мы получили следующую информацию:
- Command Line – строка запуска сервиса или группы сервисов через svchost;
- Path – путь к файлу svchost.exe;
- Services – список сервисов.
Контекстное меню, вызываемое нажатием правой кнопки мыши, предоставляет большие возможности по управлению процессом и службами, которые он запускает.
Утилита AnVir Task Manager.
Программа AnVir Task Manager не только обеспечивает управление запущенными процессами, сервисами, драйверами и автозагрузкой, но и выполняет функции антивируса.
Порядок запуска такой же, как и у Process Explorer’а:
- скачиваем бесплатную версию AnVir Task Manager в формате zip-архива;
- разархивируем в папку на диске;
- запускаем файл AnVir.exe.
Для переключения языка при первом запуске программы пользуемся главным меню:
«View->Language->Russian».
Выбираем вкладку «Процессы» для получения подробной информации о наших svchost’ах.
В строке процесса мы видим сведения о производителе, путь к исполняемому файлу, процент загрузки ЦП и т.д.
Но самые интересные данные представлены в колонке «Автозагрузка». Здесь вы найдете список запускаемых svchost’ом сервисов.
Дважды щелкаем левой кнопкой мыши по названию процесса и получаем более детальную информацию о нем (окно с вкладками в нижней части экрана).
Процесс svchost.exe как вычислить вирус?
Какое количество процессов «svchost.exe» должно быть запущенно? На этот вопрос ответить невозможно, так как, в каждом случаи количество запущенных процессов «svchost.exe» разное. Это зависит не только от версии вашей операционной системы, но и от её сборки!
Так как, точного количества процессов узнать невозможно, то этим моментом ни могли воспользоваться создатели вредоносного ПО!
Огромное количество вирусов, троянских программ и прочие вредоносные программы облюбовали процесс «svchost.exe» и, чтобы замаскировать себя в системе, маскируются под этот процесс.
То есть, вредоносные программы запускаются с именем «svchost.exe» и теряются на фоне множества системных процессах с таким же именем. Это приводит к тому, что шансы остаться не замеченным в системе возрастают в несколько раз.