- Що це за процес SVCHOST і вірус чи ні?
- Як розпізнати вірус svchost і сам файл
- Як видалити і вирішити проблему з SVCHOST або вірусом
- Перевірка пошкоджених системних файлів з метою лікування
- Післямова
Вітаю дороги друзі, читачі, відвідувачі та інші особистості. Сьогодні поговоримо про таку річ як svchost.
Частенько, користувачі, побачивши в списку процесів багато svchost.exe (а їх буває мало не з десяток і більше), починають сильно панікувати і екстрено писати листи про злісному вірус , Заполонили їх систему і буквально рветься назовні з корпусу, попередньо (мабуть для залякування), підвиваючи куллер :)
Сьогодні я хочу раз і назавжди закрити питання з тим, що ж таке являє собою цей самий злісний вірус svchost, як з ним боротися і чи треба це робити взагалі (і вірус чи це взагалі :)).
Поїхали.
Що це за процес SVCHOST і вірус чи ні?
Почнемо з того, що Generic Host Process for Win32 Services (а саме і є той самий svchost) представляє з себе системний процес, вселенски важливий в існуванні Windows , А саме тих служб, програм і сервісів системи, які використовують, так звані, DLL -бібліотеки.
Цих самих svchost.exe і справді може бути в системі рішуче багато, адже службам і програмам досить важко дружно використовувати і возюкаться з одним процесом (Їх то, служб, багато, а бідний беззахисний svchost зовсім один), а тому зазвичай системою запускаються кілька примірників цього щастя, але з різними номерами (ідентифікаторами процесу, якщо бути точним).
Відповідно, кожен svchost.exe обслуговує свій набір служб і програм, а тому, в залежності від кількості їх в Windows, число цих самих процесів svchost може варіюватися від штуки до декількох десятків. Ще раз для тих хто не зрозумів: це процеси системи і чіпати їх не треба.
Але дійсно, бувають ситуації, коли під цей процес маскуються віруси (ще раз хочу загострити увагу: саме маскуються, саме віруси, а не сам процес є шкідливим). Давайте розбиратися як їх вичислити і що з ними робити.
до змісту ↑Як розпізнати вірус svchost і сам файл
Почнемо з того, що системний svchost.exe мешкає виключно в папці:
- C: \ WINDOWS \ system32
- C: \ WINDOWS \ ServicePackFiles \ i386
- C: \ WINDOWS \ Prefetch
- З: \ WINDOWS \ winsxs \ *
Де C: \ - диск куди встановлена система, а * - довга назва папки на кшталт amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be
Якщо він знаходиться в будь-якому іншому місці, а особливо якимось дивом оселився в самій папці WINDOWS, то найбільш імовірно (майже 95,5%), що це вірус (за рідкісним винятком).
Наводжу кілька самих шляхів маскування вірусами під цей процес:
- C: \ WINDOWS \ svchost.exe
- C: \ WINDOWS \ system \ svchost.exe
- C: \ WINDOWS \ config \ svchost.exe
- C: \ WINDOWS \ inet20000 \ svchost.exe
- C: \ WINDOWS \ inetsponsor \ svchost.exe
- C: \ WINDOWS \ sistem \ svchost.exe
- C: \ WINDOWS \ windows \ svchost.exe
- C: \ WINDOWS \ drivers \ svchost.exe
І кілька самих часто використовуваних назв файлів, вірусами маскуються під svchost.exe :
- sv з host.exe (замість англійської "c" використовується російська "з")
- svch 0st.exe (замість "o" використовується нуль)
- svchos 1.exe (замість "t" використовується одиниця)
- svc chost.exe (2 "c")
- svhost.exe (пропущено "c")
- svchos l.exe (замість "t" використовується "l")
- svchost 32 .exe (до кінця додано "32")
- svchost s32 .exe (до кінця додано "s32")
- svchost s.exe (до кінця додано "s")
- svchost e.exe (до кінця додано "e")
- svchost t.exe (2 "t" на кінці)
- svchost hlp .exe (до кінця додано "hlp")
- sv ehost.exe (замість "c" використовується "e")
- sv rhost.exe (замість "c" використовується "r")
- sv dhost 32 .exe (замість "c" використовується "d" + в кінець додано "32")
- sv shost.exe (замість "c" використовується "s")
- svhost es .exe (пропущено "c" + в кінець додано "es")
- sv schost.exe (після "v" додано зайве "s")
- svc shost.exe (після "c" додано зайве "s")
- sv xhost.exe (замість "c" використовується "x")
- s ys host.exe (замість "vc" використовується "ys")
- svch est.exe (замість "o" використовується "e")
- svcho es .exe (замість "st" використовується "es")
- svho 0st 98 .exe
- ssvvcchhoosst.exe
Решта, в общем-то, теж бувають, але ці одні з найпопулярніших, так що майте на увазі і будьте пильні.
Подивитися назва файлу можна в диспетчері завдань, хоча я рекомендую відразу використовувати Process Explorer , Благо, використовуючи його, можна відразу подивитися шляху та іншу інформацію просто зробивши подвійний клік по процесу в списку.
до змісту ↑Як видалити і вирішити проблему з SVCHOST або вірусом
У видаленні цієї гидоти (якщо вона все таки нею є) нам допоможе старий-добрий AVZ .
Що робимо:
- викачуємо avz , Розпаковуємо архів, запускаємо avz.exe
- У вікні програми вибираємо "Файл" - "Виконати скрипт".
- Вставляємо в вікно, що з'явилося скрипт:
begin
SearchRootkit (true, true);
SetAVZGuardStatus (True);
QuarantineFile ( 'сюди вставляти шлях до файлу (головне не переплутати лапки)', '');
DeleteFile ( 'сюди вставляти шлях до файлу (головне не переплутати лапки)');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard ( 'TSW', 2,3, true);
BC_Activate;
RebootWindows (true);
end.
Де, як Ви розумієте, під словами "сюди вставляти шлях до файлу (головне не переплутати лапки)" потрібно, власне, вставити цей шлях, тобто, наприклад: C: \ WINDOWS \ system \ s ys host.exe прямо між ' ', тобто вийти рядки повинні так:
QuarantineFile ( 'C: \ WINDOWS \ system \ s ys host.exe', '');
DeleteFile ( 'C: \ WINDOWS \ system \ s ys host.exe'); - Тиснемо "Запустити", попередньо закривши всі програми.
- Чекаємо перезавантаження системи
- Перевіряємо наявність файлу
- проводимо повноцінну перевірку на віруси і spyware .
Ну і .. Посміхаємося і махаємо .. У сенсі радіємо життю і очищеного комп'ютера.
Втім, якщо і це не допомагає, то є ще невеликий спосіб (при обліку звичайно, що Ви зробили все вищенаписане), який може допомогти.
до змісту ↑Перевірка пошкоджених системних файлів з метою лікування
У рідкісних (сильно) випадках може допомогти варіант перевірки системних файлів, який є в самій системі. Перейдіть по шляху "C: \ -> Windows -> System32" (де диск C: \ - це той, куди встановлена система).
Там знайдіть cmd.exe, натисніть на нього правою кнопкою мишки і виберіть пункт "Запуск від імені адміністратора".
У самій командному рядку введіть рядок:
sfc / scannow
І дочекайтеся закінчення процесу. Система проведе сканування всіх захищених системних файлів і замінить всі пошкоджені файли. Можливо це не вилікує сам svchost, але може полагодити супутні файли, які призводить до навантажень і інших проблем.
до змісту ↑Післямова
Як завжди, якщо будуть якісь питання, доповнення та інші різниці, то пишіть в коментарях.
Буду радий почитати, послухати, підтримати і допомогти;)
- PS: Багато стикаються з тим, що svchost завантажує процесор і систему взагалі. Часто це пов'язано з тим, що в системі знаходиться вірус, що розсилає спам або створює інший шкідливий трафік, через що процес активно використовується оним. Як правило це лікується скануванням на віруси, spyware і установкою фаєрволла.
- PS2: Проблема може бути пов'язана з роботою в тлі поновлення Windows. Можливо, що є сенс його відключити або взагалі провести повну оптимізацію системи з цього матеріалу (Особливо для 10-ій версії системи)
- PS3: Якщо нічого не допомагає, то спробуйте пройтися Kaspersky Virus Remove Tool з цієї статті для очищення можливих svchost-різновидів вірусу
Що це за процес SVCHOST і вірус чи ні?