- Svchost.exe: що це за процес, які у нього функції і навіщо потрібен?
- Як відрізнити svchost.exe вірус від системного файлу
- Як видалити svchost.exe за допомогою програми AVZ
Робота операційної системи Windows - складний процес, який можливий тільки при грамотному функціонуванні всіх програмних компонентів. Не менш складно працює MacOS, але в ній користувачі не мають можливість стежити за системними процесами. У Windows подивитися всі виконувані файли можна в «Диспетчері завдань», і недосвідчених користувачів деякі з них можуть налякати. Яскравим прикладом файлу, який викликає тривогу, є svchost.exe. Досить часто в Windows svchost.exe вантажить пам'ять або процесор, і виникає відчуття, що він є вірусом. Чи справді це так? Давайте розбиратися.
Svchost.exe: що це за процес, які у нього функції і навіщо потрібен?
Поширена думка, що svchost.exe - це вірус має під собою підставу, але на ділі, найчастіше, ніякої загрози в собі цей процес не несе. Якщо розбиратися у функціональних обов'язках, покладених на даний файл, він необхідний щоб підключати динамічні бібліотеки DLL для програм і служб, які не можуть без них працювати. Кожна програма використовує свій власний файл svchost, який може бути розташований в різних папках операційної системи Windows.
Найчастіше файл svchost.exe можна знайти за наступними адресами:
- C: \ WINDOWS \ system32
- C: \ WINDOWS \ Prefetch
- З: \ WINDOWS \ winsxs \ amd64_microsoft-window
- C: \ WINDOWS \ ServicePackFiles \ i386
Якщо файл svchost.exe розташований в інших папках - це привід бити на сполох, але далеко не показник того, що він є вірусом. Діє дане правило і в зворотному напрямку, якщо svchost.exe навіть і знаходиться в одній із зазначених вище папок, він цілком може виявитися вірусним програмним забезпеченням.
Визначити в якій папці розташовуються активні в даний момент процеси svchost.exe дуже просто. Для цього виконайте такі дії:
В операційних системах Windows 8 і Windows 10 є можливість подивитися через «Диспетчер завдань» список служб, які використовують процес svchost.exe. Зробити це просто - необхідно натиснути на підозрілий процес правою кнопкою і вибрати пункт «Перейти до служб». Варто зазначити, що назви багатьох служб навряд чи про щось зможуть розповісти пересічному користувачеві комп'ютера.
Процес svchost.exe може не бути вірусом, і якщо він вантажить систему, то тут слід розглядати 2 сценарії:
- Комп'ютер заражений вірусом, який розсилає спам, видобуває криптовалюта для своїх творців або передає інші дані зловмисникам;
- Через неуважність користувач не помічає, що шкідливий процес лише ховається під личиною системної бібліотеки svchost.exe, насправді такою не будучи.
Якщо комп'ютер заражений вірусом, і через це процес svchost.exe вантажить Windows 10 або більш ранню версію операційної системи, то слід перевірити комп'ютер популярними антивірусами. Обов'язково встановіть Firewall, який дозволить забезпечити мережеву безпеку комп'ютера.
У другому випадку слід розпізнати шкідливий файл svchost.exe, який таким не є, а після його видалити.
Як відрізнити svchost.exe вірус від системного файлу
Якщо процес svchost.exe вантажить пам'ять або центральний процесор, то слід упевнитися в достовірності файлу, на який він посилається. Для цього уважно перевірте ім'я виконуваного процесу. Нижче ми наведемо кілька прийомів зловмисників, які підміняють процес svchost.exe на інший, але близький за назвою. Найчастіше застосовуються такі схеми, щоб замаскувати вірус:
- Підміна літери. Замість англійського варіанту букви c або o використовується російська. Також може застосовуватися варіант підміни літери t на l, але його розпізнати куди простіше;
- Додавання зайвих літер. Багато користувачів не знають, як пишеться процес svchost.exe, і для них він нічим не відрізняється від процес svchoste.exe або svchoost.exe. Обов'язково порівняйте написання процесу з канонічним, щоб в ньому не було ніяких зайвих букв;
- Додавання зайвих цифр. Деякі процеси, які намагаються походити на svchost.exe, мають додаткові цифри. Найбільш поширені варіанти svchost32.exe або svchost64.exe. У необізнаного користувача може виникнути відчуття, що цифри в кінці пов'язані з розрядністю системи, але це не так. Процес svchost.exe не повинен мати в собі цифр;
- Пропуск букв. Якщо слово host про щось може сказати користувачеві, то перші літери процесу для нього не несуть в собі ніякої інформації. Саме тому багато хто не помічають, що в «Диспетчері завдань» активний процес svhost.exe, а не канонічний svchost.exe. Через меншої кількості символів в назві він відрізняється від своїх «соратників», розташованих поруч, і його просто розпізнати;
- Варіант прикинутися іншим системним процесом. Іноді вірусний процес в «Диспетчері завдань» за назвою зовсім досить далекий від svchost.exe, наприклад, може використовувати щось схоже на svho0st98.exe.
Вище перераховані лише найпоширеніші варіанти замаскувати вірус, але можуть бути й інші. Уважно подивіться, щоб процес називався svchost.exe і всі букви були прописані латиницею.
У разі якщо ви знайшли процес, який маскується під svchost.exe, але таким не є, його слід видалити. Зробити це досить просто, якщо використовувати програму AVZ.
Як видалити svchost.exe за допомогою програми AVZ
Відома антивірусна утиліта AVZ здатна виявляти і видаляти небажані програми, в тому числі і вірусні. Вона поширюється безкоштовно і має безліч корисних функцій. Плюс програми AVZ в тому, що її не треба встановлювати на системний диск. AVZ можна запустити з флешки, зовнішнього жорсткого диска або прямо з завантаженого архіву.
Щоб видалити файл svchost.exe з використанням утиліти AVZ, необхідно виконати наступні дії:
- Запускаємо програму AVZ і вибираємо в меню пункти «Файл» - «Виконати скрипт».
- Допрацьовуємо наступний скрипт:
begin SearchRootkit (true, true); SetAVZGuardStatus (True); QuarantineFile ( 'шлях до вірусу', ''); DeleteFile ( 'шлях до вірусу'); BC_ImportAll; ExecuteSysClean; ExecuteWizard ( 'TSW', 2,3, true); BC_Activate; RebootWindows (true); end.
Замість виділених червоним слів «Шлях до вірусу» необхідно прописати місце розташування вірусного процесу svchost. Вище ми вже розповідали як визначити де знаходиться вірусний файл, який маскується під svchost.exe. Копіюємо шлях до нього (або прописуємо вручну) і вставляємо замість виділеним червоним слів. Увага: Лапки з скрипта видаляти не можна - тільки букви виділені червоним.
- Тепер вставляє перероблений скрипт у відкрите вікно програми AVZ і тиснемо на кнопку «Запустити».
- Далі програма зробить все самостійно, після чого комп'ютер буде перезавантажений.
Після успішного видалення файлу, який видавав себе за svchost.exe, настійно рекомендуємо перевірити комп'ютер на наявність вірусів. Велика ймовірність, що одна з програм генерує нові файли, які автоматично запускаються в процесах і видають себе за svchost.exe.
Exe: що це за процес, які у нього функції і навіщо потрібен?Чи справді це так?
Exe: що це за процес, які у нього функції і навіщо потрібен?