Удаление вируса svchost exe из системы Windows. Удаление вируса svchost exe из системы Windows Как избавиться от svchost exe

Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» - Win32.HLLP.Neshta (классификация Dr.Web).

Этот «самозванец» копирует себя в директорию Windows, заражает файлы с расширением «exe» и забирает системные ресурсы (оперативную память, интернет-трафик). Впрочем, он способен и на другие гадости. Известны случаи инфицирования, когда вирусный svchost загружает ОЗУ компьютера на 98-100% , отключает интернет-канал, нарушает функционирование локальной сети.

Файлы svсhost - добрые и злые, или кто есть кто

Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».

Истинный процесс

Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка - «ещё 29 вариантов»).

Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):

• SYSTEM;
• LOCAL SERVICE;
• NETWORK SERVICE.

Хакерская подделка

Может находиться в следующих директориях:

• C:\Windows
• C:\Мои документы
• C:\Program Files
• C:\Windows\System32\drivers
• C:\Program Files\Common Files
• C:\Program Files
• C:\Мои документы

Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.

Например:

• svch0st (цифра «ноль» вместо литеры «o»);
• svrhost (вместо «с» буква «r»);
• svhost (нет «с»).

Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.

Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).

Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.

Способ №1: очистка утилитой Comodo Cleaning Essentials

Cleaning Essentials - антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).

Где скачать и как установить?

1. Откройте в браузере comodo.com (официальный сайт производителя).

Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.

2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.

3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).

Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».

4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.

5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».

6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».

Как настроить и очистить ОС?

1. Выберите режим «Custom scan» (выборочное сканирование).

2. Подождите немного, пока утилита обновит свои сигнатурные базы.

3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).

4. Нажмите «Scan».

5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.

Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.

Вспомогательные утилиты

В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.

Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.

Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.

Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:

1. На вкладке «Система» откройте раздел «Процессы».
2. Проанализируйте все активированные процессы svchost:
   • кликните правой кнопкой по файлу;
   • выберите «Свойства»;
   • посмотрите его текущую директорию. Если она отличная от С:\Windows\system32\, вероятней всего, что исследуемый объект является вирусом.

В случае обнаружения зловреда:

1. Дополнительно просмотрите в его поле графу «Оценка» (safe - безопасный) и подпись.
2. Если эти свойства также не соответствуют характеристикам доверенного системного файла, снова активируйте контекстное меню (клик правой кнопкой). А затем последовательно запустите функции «Приостановить» и «Удалить».
3. Продолжайте проверку, возможно, вирус создал и запустил свои копии. От них тоже в обязательном порядке необходимо избавиться!

Способ №2: использование системных функций

Проверка автозагрузки

1. Кликните «Пуск».
2. Наберите в поисковой строке msconfig и нажмите «Enter».
3. В окне «Конфигурация системы» перейдите на вкладку «Автозагрузка».
4. Просмотрите команды (колонка «Команда»), запускающие элементы при запуске Windows, и их расположение (директории, ключи реестра в колонке «Расположение»):
   • Все директивы, содержащие svchost, отключите (уберите кликом галочку возле записи). Это 100% вирус. Системный процесс с одноимённым названием никогда не прописывается в автозагрузке.
   • Откройте директорию зловреда (указана в «Расположение») и удалите его. Для нейтрализации ключа в реестре используйте штатный редактор regedit: «Win + R» → regedit → Enter.

Анализ активных процессов

1. Нажмите «Ctrl + Alt + Del».
2. Кликните по вкладке «Процессы».
3. Проверьте свойства всех активных svchost (имя, расширение, размер, местоположение). При анализе ориентируйтесь на данные сервиса filecheck.ru и характеристики, приведенные в этой статье.

Кликните правой кнопкой по имени образа. В меню выберите «Свойства».

В случае обнаружения вируса:

• в свойствах объекта узнайте его расположение (скопируйте или запомните);
• нажмите «Завершить процесс»;
• перейдите в директорию зловреда и удалите его при помощи штатной функции (клик правой кнопкой → Удалить).

Если сложно определить: доверенный или вирус?

Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.

1. Откройте в браузере virustotal.com.
2. Нажмите «Выберите файл».
3. В проводнике Windows откройте директорию процесса, который необходимо проверить, выделите его кликом, а затем нажмите «Открыть».
4. Для запуска сканирования кликните «Проверить!». Файл загрузится из ПК на сервис и автоматически начнётся сканирование.
5. Ознакомьтесь с результатами проверки. Если большинство антивирусов детектируют объект как вирус, его необходимо удалить.

Статья обновлена 09.12.2011 г.

Симптомы:
Ваш компьютер вдруг сильно начал виснуть и тормозить систему. При этом у вас стоит антивирус с новейшими антивирусными базами. Нажмите Ctrl+Alt+Delete и щелкните по вкладке Процессы . Вы увидите список всех процессов, которые идут в данный момент; при этом вы увидите, что какой-то из процессов потребляет уйму ресурсов компьютера (хотя никакие программы вы в данный момент не используете). Тут вы и увидите некий процесс svchost (процессов с таким же названием будет несколько штук, но вам нужен именно тот, который загружает систему под 100%).

Решение:
1) Попробуйте, в первую очередь, просто перезагрузить компьютер.
2) Если после перезагрузки этот процесс продолжает грузить систему, то кликните правой клавишей по процессу и, в открывшемся списке, выберете Завершить дерево процессов . Затем перезагрузите компьютер.
3) Если вам не помогли первые два способа, то зайдите в папку Windows и найдите там папку Prefetch (C:\WINDOWS\Prefetch). Удалите эту папку (удалите именно папку Prefetch ; НЕ удалите случайно саму папку Windows !!!) Далее следуйте второму пункту (т.е. удалите дерево процессов svchost). Перезагрузите компьютер.

Сколько должно быть всего процессов svchost. exe во вкладке «Процессы»?
Количество процессов с таким названием зависит от того, сколько сервисов запущено через svchost. Количество может зависеть от версии Windows, свойств вашего компьютера и т.д. А потому, процессов с названием «svchost.exe» может быть от 4 (абсолютный минимум) до бесконечности. У меня на 4х-ядерном компьютере с Windows 7 (с учётом запускаемых сервисов) во вкладке «Процессы» стоит 12 svchost’ов.

Как определить, какой из них является вирусом?
Вы можете увидеть на скриншоте выше, что в колонке «Пользователь» рядом с каждым svchost’ом стоит название источника, который и запустил этот самый процесс. В нормальном виде рядом с svchost’ами будет написано «system», или «network service», или «local service». Вирусы же запускают себя от имени «user» (может быть написано «пользователь» или «администратор»).

Что такое, вообще, процесс svchost. exe?
Если говорить простым языком, то процесс svchost – это ускоритель запуска и работы сервисов и служб. Запускаются svchost’ы через системный процесс services.exe

Что будет если я, нажав на «Завершить дерево процессов», случайно завершу системный процесс svchost, а не сам вирус?
Ничего страшного не произойдёт. Система выдаст вам ошибку и перезагрузит компьютер. После перезагрузки всё встанет на свои места.

Какие вирусы маскируются под svchost. exe?
По данным Лаборатории Касперского под svchost.exe маскируются вирусы: Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn, Net-Worm.Win32.Welchia.a
По неподтверждённым данным некоторые версии Trojan.Carberp тоже маскируется под svchost.exe

Как работают эти вирусы?
Эти вирусы без вашего ведома заходят на специальные сервера, откуда либо скачивают ещё что-нибудь опасное, или же отправляют информацию на сервер (а именно ваши пароли, логи и т.д.)

Процесс svchost. exe грузит систему, но в графе «Пользователь» написано « system». Что это такое?
Скорее всего – это означает, что какая-то служба или сервис усиленно работает. Подождите немного, и этот процесс перестанет грузить систему. Или не перестанет... Есть некоторые вирусы (например: Conficker), которые используют настоящие svchost’ы, чтобы портить вашу систему. Это очень опасные вирусы, а потому вам стоит проверить свой компьютер антивирусом (а лучше несколькими сразу). Например, можно скачать DrWeb CureIt – он найдёт такие вирусы и удалит.

Зачем нужно завершать дерево процессов и удалять папку Prefetch?
Если вы завершите дерево процессов вашего, тормозящего систему, svchost’а, то компьютер в экстренном порядке перезагрузиться. А при запуске, когда вирус ещё раз попытается запуститься, то антивирус (который у вас должен быть установлен в обязательном порядке) сразу же обнаружит и удалит его. Хотя существует множество модификаций. Например, первоисточник такого вируса может находиться в папке Prefetch. Эта папка нужна для ускорения работы служб и сервисов. Её удаление не повредит вашему компьютеру.

Мне не помогли ваши советы. Процесс svchost. exe продолжает грузить систему.
В первую очередь, проверьте компьютер антивирусом. А ещё лучше, проверьте компьютер несколькими антивирусами.
Ещё я могу посоветовать, почистить папку System Volume Information. В этой папке находятся точки восстановления для вашего компьютера. Вирусы прописывают себя в эту папку, так как система не позволяет антивирусу удалять что-либо из этой папки. Но это вряд ли вам пригодиться. Я ещё пока не слышал о таких модификациях вирусов, которые бы выдавали себя за svchost.exe и находились в папке System Volume Information.

Если возникнут ещё вопросы, то я с радостью на них отвечу.

Последние советы раздела «Компьютеры & Интернет»:

Комментарии совета:

папку Prefetch удалил и все стало ОК! спасибо, система ИксПи

userOK, ты прав svchost.exe - один из главных процессов. Но есть определённый тип вируса, который маскируется под него. Ведь svchost - это просто название. К тому же, завершение дерева процессов ничему не вредит. Windows достаточно хорошая система, и большую часть системных файлов восстанавливает автоматически.

ты чему детей учишь??????????svchost.exe в семействе операционных систем Microsoft Windows (2000, XP, Vista, Seven) - главный процесс (англ. Host process) для служб, загружаемых из динамических библиотек. Использование единого процесса для работы нескольких сервисов позволяет существенно уменьшить затраты оперативной памяти и процессорного времени.

Подробное руководство по удалению вируса svchost.exe.

Навигация

Пользователи стационарных компьютеров или ноутбуков, которые время от времени страдают от резкого снижения производительности своих устройств и зависания операционной системы Windows 7 , пытаются решить данную проблему отключением лишних процессов. Запуская «Диспетчер задач» они обнаруживают невероятное множество активных процессов svchost.exe , которые пожирают все ресурсы процессора, забивают оперативную память и тем самым значительно понижают производительность устройства.

Большинство пользователей не имеют представления о том, как выйти из этой неприятной ситуации и потому прибегают к самым радикальным мерам. Мы постараемся как можно подробнее рассказать о том, как навсегда решить проблему с расходом ресурсов компьютера вирусом svchost.exe и вернуть ему былую производительность.

• Svchost.exe считается важным исполняющим файлом, который даёт начало запуску ряда жизненно важных для операционной системы служб и функций, а также позволяет запускать установленные пользователем приложения, программы и игры. Стандартный системный процесс не наносит никакого ущерба компьютеру, не загружает процессор и оперативную память и наличие в «Диспетчере задач » нескольких активных процессов svchost.exe ещё не повод для паники. Делают это проникшие на устройство вирусы, которые принимают обличие svchost.exe , и тем самым осложняют процесс их удаления.
• Файл svchost.exe располагается в разделе диска, на который была поставлена операционная система, в папке /Windows/System32 , в то время как принявшие его обличие вредоносные программы зачастую лежат в директориях «Windows », «Program Files » и «Documents and Settings ». Кроме того вирусы зачастую внедряются в системные папки «drivers », «config », «system » и другие.

Официальный процесс svchost.exe может запускаться исключительно от имени SYSTEM , LOCAL SSERVICE или NETWORK SSERVICE . Для того, чтобы определить от чьего имени осуществлялся запуск процесса, проделайте следующие действия:

• Шаг 1 . Кликните правой кнопкой мышки по свободному пространству на панели задач и в открывшемся окошке выберите строчку «Запустить диспетчер задач », или зажмите одновременно на клавиатуре комбинацию кнопок Ctrl + Shift + Esc .

• Шаг 2 . В появившемся окошке перейдите в раздел «Процессы » и для удобства сделайте сортировку процессов по названию. Найдите процессы «svchost.exe » и внимательно посмотрите, от имени какого пользователя или службы они были активированы. Если напротив процесса стоит имя Вашей учётной записи, то у Вас перед глазами явно вирусная программа, которая не даёт операционной системе корректно функционировать.

Как обезвредить вирус svchost.exe с помощью стандартных средств операционной системы Windows 7?

Если Вы обнаружили среди своих процессов вредоносную программу, замаскированную под svchost.exe , то можно попробовать избавиться от неё стандартными средствами операционной системы Windows 7 . Для этого проделайте следующие действия:

• Шаг 1 . Первым делом необходимо отключить службу, которая заставляет вирус активизироваться. Откройте «Диспетчер задач » и найдите в списке вредоносный процесс svchost.exe . Щёлкните по нему правой кнопочкой мышки и в появившемся окошке выберите строчку «Перейти к службам ».

Рисунок 1. Как обезвредить вирус svchost.exe с помощью стандартных средств операционной системы Windows 7?

• Шаг 2 . В открывшемся окне будут выделены службы, которые приводят в действие вредоносное программное обеспечение. Необходимо запомнить их названия, после чего открыть «Панель управления » и перейти в раздел «Администрирование ».

• Шаг 3 . В разделе «Администрирование » необходимо перейти на вкладку «Службы » и среди полного списка найти по названию те, которые приводят в действие вирус. В столбике «Тип запуска » установите состояние «Отключить » для каждой из служб, после чего нажмите кнопки «Применить » и «Ок ».

• Шаг 4 . Теперь снова вернитесь в «Диспетчер задач », нажмите по вредоносному процессу правой кнопкой мышки и в появившемся списке выберите строчку «Завершить процесс ». После данных действий и перезагрузки компьютера вирус больше не будет активизироваться. Однако он по-прежнему останется на компьютере. Для того, чтобы его полностью удалить, необходимо прибегнуть к помощи стороннего ПО.

Предотвращение запуска вируса методом отключения служб операционной системы – это всего лишь временная мера. Даже если Вам удастся найти заражённую вирусом программу и удалить её, то в системе всё равно останутся файлы, созданные этой программой, которые также заражены. Чтобы избавиться от них, необходимо прибегнуть к помощи специализированных программ.

К сожалению, большинство современных бесплатных антивирусников малоэффективны, а на платные у кого-то просто может не быть денег. Однако существует бесплатная утилита «Dr.Web CureIt », которая выполняет глубокую проверку диска, сканирует файлы на наличие вирусов и успешно их «лечит». Скачать её можно с официального сайта производителя по этой ссылке . Чтобы избавиться от вируса svchost.exe с помощью данной утилиты проделайте следующие действия:

• Шаг 1 . Программа «Dr.Web CureIt » не требует установки, поэтому просто скачайте её с официального сайта и запустите. Далее откройте на компьютере «Диспетчер задач » и найдите вредоносный процесс. Щёлкните по нему правой кнопкой мышки и в появившемся списке выберите строчку «Открыть место хранения файла ».

• Шаг 2 . Откроется папка, в которой лежит заражённый вирусом файл. В верхней части окна Вы можете увидеть точный адрес его расположения. Запомните этот адрес и переключитесь на окно с утилитой.

• Шаг 3 . Так как в процессе полной проверки программа может упустить из виду некоторые заражённые файлы, лучше всего сканировать компьютер отдельными директориями. Начать следует с той, в которой находится наш заражённый файл. Для этого на главном экране программы кликните по кнопке «Выбрать объекты для проверки ».

• Шаг 4 . В открывшемся окне появятся стандартные директории для проверки, среди которых есть оперативная память, корневой каталог Windows, документы и многое другое. Необходимо нажать на кнопку «Щёлкните для выбора файлов и папок », вручную найти директорию с заражённым файлом, отметить её галочкой и нажать кнопку «ОК ».

• Шаг 5 . После выбора директории нажмите кнопку «Запустить проверку » и дождитесь завершения процесса. Если утилита не сможет «вылечить» поражённые вирусом файлы, то она автоматически отправит их в карантин. После точечной проверки директориями можно выполнить полное сканирование компьютера. Проверять компьютер данной программой рекомендуется хотя бы один раз в неделю. «Dr. Web CureIt » постоянно совершенствуется и обновляет вирусные базы. Поэтому с каждым обновлением Вам придётся заново скачивать программу с официального сайта .

ВАЖНО: Изображённые на скриншотах процессы и службы не являются вирусными и взяты исключительно для примера. Ни в коем случае не удаляйте и не отключайте их у себя на компьютере!

ВИДЕО: svchost грузит процессор. Решение проблемы

Довольно часто встречается ситуация, что компьютерные вирусы маскируются под системные процессы. Один из самых распространенных вариантов - вирус svchost.exe . Из-за того, что копий этого процесса в работе операционной системы Windows должно быть запущенно довольно много, вредоносному коду удается затеряться среди нормальных процессов системы.

Вы должны иметь представление о самом предназначении процесса svchost.exe, и уметь определять вирус, маскирующийся под этот процесс. Это необходимо для успешного удаления.

Для чего нужен процесс svchost.exe

Данный процесс используется системой Windows, для обеспечения работоспособности ее функций. Процесс обеспечивает работу сервисов и программ, которые работают с динамическими DLL библиотеками. При проверке запущенных процессов через диспетчер задач, вы увидите несколько копий svchost.exe - это совершенно нормально.

В качестве папок, в которых может располагаться системный процесс svchost.exe могут быть следующие варианты:

• %system-disk%\windows\
• %system-disk%\Мои документы\
• %system-disk%\Windows\System32\drivers
• %system-disk%\Windows\System32\
• %system-disk%\Program Files\Common Files

Где переменная %system-disk% означает букву диска, на котором установлена операционная система Windows. Чаще всего это диск "С ".

Чтобы проверить месторасположения процесса, в диспетчере задач кликните на него правой кнопкой мыши, и выберите пункт "Открыть место хранения файла " или "Свойства ".

Если вы выбрали просмотр папки, где располагается процесс, она откроется в окне диспетчера файлов. Если вы решили просмотреть этот параметр через свойства, то вам нужен пункт "Расположение ".

Обратите внимание ! Нельзя диагностировать заражение процесса, основываясь только на его месторасположении, на системном диске.

Как вирусы маскируются под процесс svchost.exe

Большое количество копий svchost.exe, позволяет вирусным программ легко маскировать свое присутствие в системе, заменяя одну или несколько букв в названии процесса. Только если внимательно просмотреть все запущенные копии, и убедиться в корректности их названия, можно обнаружить вредоносный код (что далеко не всегда делают пользователи).

Ниже приведены варианты подмены названия.

1. svcc host.exe - повторяется буква "c"
2. svhost.exe - здесь наоборот, она пропущена
3. svchostt .exe - в этом вредоносном процессе добавлена буква "t"
4. svs host.exe - вместо буквы "c" используется "s"

Как вы можете заменить, основной алгоритм маскировки - это подставлять похожие по написанию буквы в название процесса, заменять или дублировать их.

Теперь запомните - есть только одно корректное наименование данного процесса:

SVCHOST.EXE

Как удалить вирус svchost

Если вы диагностировали у себя на компьютере зараженный процесс, и определили его месторасположение на диске, необходимо удалить его.

Для этого используется антивирусная утилита AVZ - .

После запуска программы нажимаем "Файл - выполнить скрипт ". У вас откроется окно для ввода кода.

Ниже представлен код скрипта - вам нужно скопировать его в программу.

Begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile("Укажите путь к файлу ",""); DeleteFile("Укажите путь к файлу "); BC_ImportAll; ExecuteSysClean; ExecuteWizard("TSW",2,3,true); BC_Activate; RebootWindows(true); end.

Жирным шрифтов выделены две строки - сюда вы должны вставить полный путь до вредоносного файла. Допустим, мы диагностировали в диспетчере задач вирус svcchost.exe (двойная "c " в названии), расположенный в папке c:\windows\system32 . Мы должны указать в коде скрипта вот такое значение:

c:\windows\system32\svcchost.exe

Это и будет полный путь до файла. У нас должно получиться следующее:

Если ваш компьютер подвергся заражению, обязательно проведите полное сканирование системы на вирусы.

Когда будете писать в коде скрипта путь и имя зараженного файла, используйте советы из второй главы (для определения целовой папки).

Заключение

Самый простой способ диагностировать вирус svchost.exe - это внимательно просмотреть весь список процессов в вашем диспетчере задач. Имейте ввиду - обязательно нужно просматривать процессы всех пользователей, в том числе и администраторов. Для этого отмечайте соответствующую галочку в диспетчере задач.

Какое количество процессов «svchost.exe» должно быть запущенно? На этот вопрос ответить невозможно, так как, в каждом случаи количество запущенных процессов «svchost.exe» разное. Это зависит не только от версии вашей операционной системы, но и от её сборки!

Так как, точного количества процессов узнать невозможно, то этим моментом ни могли воспользоваться создатели вредоносного ПО!

Огромное количество вирусов, троянских программ и прочие вредоносные программы облюбовали процесс «svchost.exe» и, чтобы замаскировать себя в системе, маскируются под этот процесс.

То есть, вредоносные программы запускаются с именем «svchost.exe» и теряются на фоне множества системных процессах с таким же именем. Это приводит к тому, что шансы остаться не замеченным в системе возрастают в несколько раз.

Как вычислить вредоносный процесс svchost.exe

Естественно, если у пользователя возникают подозрения на то, что процесс «svchost.exe» является вредоносным, то первым делом, пользователем будет проскандирован компьютер на наличие вирусов и прочего.

Но, если после проверки антивирусная программа сообщает, что система чистая и вредоносных программ не обнаружено – это может быть не совсем так!

В этом случаи стоит проверить процесс «svchost.exe» вручную. Делается это довольно просто, все что нужно – это знать некоторые моменты о процессе svchost.exe.

1) Процесс всегда запускается из системной папки «System32» Если это ни так, то скорей всего файл с именем svchost.exe является вредоносным.

2) Процесс svchost.exe никогда не запустится от имени пользователя – это нужно помнить. Процесс всегда запускается от «Local Service, Система, Network Service».

Как вы понимаете, если процесс svchost.exe был, запущен от текущего имени пользователя или не из системной папки, то стоит принять меры по проверки подозрительного файла.

Чтобы убедится в том, что запущен оригинальный файл, запустите диспетчер задач и найдите на вкладке «Подробности» список процессов «svchost.exe».

На этом скриншоте все процессы запущены самой же системой, это говорит о том, что, скорее всего среди данного списка вредоносного файла с именем «svchost.exe» нет. Обратите внимание на скриншот ниже…

На этом скриншоте мы видим процесс svchost.exe запущенный от пользователя с именем «SuperUser» Это говорит о том, что данный процесс является с большей степенью вредоносным.

Нужно нажать «ПКМ» где из контекстного меню выбрать «Открыть расположение» откроется проводник Windowsи Вы узнаете полный путь до подозрительного файла! Что делать с ним дальше, думаю это ясно, как день!

Важно знать: Некоторые вирусы непросто используют имя «svchost.exe» для того чтобы скрыть своё присутствие в системе, но и также могут использовать оригинальный файл svchost.exe в своих корыстных целях.

В связи с этим ручная проверка тут результат не даст! Так же выше уже было сказано, что и антивирус может ни дать результата в поиске вируса! Возникает логичный вопрос, что же делать?

Как вариант использовать бесплатный «firewall» среди которых лично я выделяю «comodo firewall» как он может нам помочь? Все просто! Если вирус использующий процесс svchost.exe вдруг задумает проявить сетевую активность, то пользователь будет об этом осведомлён!

Со скриншота хорошо видно, что файл svchost пытается подключиться к серверу по 80-тому порту, оригинальный файл этого никогда делать не будет, соответственно svchost заражён!

Вы можете оперативно заблокировать доступ в сеть для файла svchost, что будет вполне разумно! Так как в данном случае, есть вероятность передачи конфиденциальных данных, например паролей из браузера на «Gate»

Утечка такой информации сами понимаете, чем может закончиться для Вас!

Что делать с заражённым файлом svchost.exe? Так как, от текущего антивируса и ручной проверки толку ровно нуль, то, откройте сайт «virustotal.com» и проверти файл. Кстати, сделайте это, прямя сейчас!

Мой результат такой. Все чистенько! Если бы какой-нибудь антивирус среагировал бы, например «Avast» то, я бы удалил текущий антивирус и установил бы Avast и вылечил бы svchost.exe.