Как удалить вирус маскирующийся под файл svchost. Процесс svchost и как отличить его от маскирующегося под него вируса

Случалось ли вам, зайдя в Диспетчер задач вашей операционной системы, обнаружить несколько запущенных копий одного и того же файла под названием svchost.exe? Что это за файл и способен ли он нанести вред вашему компьютеру? Можно и нужно ли его удалять? Об этом и о многих других вопросах, связанных с этим файлом, мы поговорим в данной статье.

Определение

Svchost.exe - общее название главного процесса для служб, запускаемых из динамических библиотек в линейке ОС Windows. Каждая служба, которая обращается к файлу svchost.exe, запускает на персональном компьютере свою копию этого файла. Таким образом, в диспетчере задач может отображаться сразу несколько десятков его копий. Такая система придумана для того, чтобы сохранить как можно больше свободного места в памяти устройства.

Безопасен ли этот файл?

Сам файл svchost.exe является важным компонентом операционной системы и никой угрозы в себе не таит. Однако нередко вредоносный код, подхваченный в Сети, маскируется под этот файл. Расчет сделан на то, что файл с таким именем вам будет труднее обнаружить и вы побоитесь его удалять, посчитав системным.

Где находится этот файл?

Распознать, является ли вирусом тот или иной запущенный процесс с именем svchost, достаточно просто. В первую очередь необходимо знать, где может быть расположен настоящий, безопасный файл svchost.exe:

• C:\WINDOWS\system32
• C:\WINDOWS\ServicePackFiles\i386
• C:\WINDOWS\Prefetch
• С: \WINDOWS\winsxs\любая папка, находящаяся в данном разделе.

Если вы нашли файл svchost по любому другому пути, знайте - вы имеете дело с вирусом. Исключения составляют лишь антивирусные и некоторые другие программы, которые также создают одноименные папки, но угрозы для вашего компьютера не представляют.

Как посмотреть, какие службы запущены с помощью svchost?

Рассмотрим данный вопрос на примере ОС Windows 7.

1. Зажмите одновременно клавиши Ctrl+Alt+Del и выберите пункт "Запустить диспетчер задач".
2. Перейдите на вкладку процессы и выберите пункт "Отображать процессы всех пользователей".
3. В открывшемся списке вы сможете увидеть, сколько копий файла запущено на вашем компьютере в данный момент и от имени какого пользователя. Необходимо знать, что системный файл svchost.exe может быть запущен только от имени пользователей LOCAL SERVICE, SYSTEM, NETWORK SERVICE или Система. Если файл вызван именем локальной машины, вы имеете дело с вирусом.
4. Чтобы посмотреть, какая служба запустила конкретную копию файла, щелкните по данной копии из списка правой кнопкой мыши и выберите пункт "Перейти к службам" или выберите копию из списка левой кнопкой мыши и откройте соседнюю вкладку "Службы".
5. Чтобы узнать, что представляет собой та или иная служба и какие функции она выполняет на компьютере, нажмите на кнопку "Службы…" в нижнем правом углу открывшегося окна.

Как удалить вирус, маскирующийся под svchost?

Если у вас возникли подозрения, что ваш компьютер заражен вирусом, который маскируется под файл svchost, самым правильным решением будет скачать программу, специально разработанную для удаления с компьютера файлов такого типа. Примером такой программы может послужить Security Task Manager или антивирусная утилита AVZ . После удаления подозрительных файлов вам необходимо будет перегрузить компьютер и провести полную проверку системы на вирусы. Только после этого вы сможете быть полностью уверены, что избавились от вируса, и этот файл больше не угрожает безопасности компьютера.

Как удалить вирус svchost.exe? Поражение вирусами процесса SVCHOST.EXE весьма распространенное явление. Связано это с тем, что Windows использует процессы svchost.exe одновременно в разных целях. Поэтому, вирусу выгодно затеряться среди них и действовать, как резиденту. Симптомы обычно проявляются в сильной или полной загрузке компьютера. Перестает работать сеть и интернет. Если в диспетчере задач находится много подозрительных процессов svchost.exe, это еще не значит, что у вас вирус.

Windows использует этот процесс для многих вещей, например, для обновления ОС. Признаком, вызывающим подозрение на наличие вируса, является активный процесс svchost.exe, запущенный от пользователя. Если вы видите данный процесс запущенный не от NETWORK SERVICE, LOCAL SERVICE или SYSTEM, а от вашей учетной записи, то вероятно на компьютере троян.

К сожалению, действия подобных вирусов иногда приводят к сильному повреждению системы. Эта проблема решается двумя способами. Либо полной , либо восстановлением реестра. Опишем простые рекомендации, которые ответят на вопрос “Как удалить троянский вирус в svchost.exe?”. Заметим, что перед проверкой антивирусом, необходимо отключиться от интернет и локальной сети, то есть выдернуть кабель из сетевой карты. Подключить USB накопители, которыми пользуетесь.

1. Итак, первое, что мы можем посоветовать, это поставить хороший антивирус. Далеко не все программы для удаления вирусов подходят для проверки. Но есть несколько программных решений, которые должны помочь в борьбе с вирусом, засевшим в SVCHOST.EXE.
2. Отключите службу восстановления системы (актуально для Windows XP). Делается это так. Правой кнопкой по Мой Компьютер -> Свойства -> закладка Восстановление системы -> поставить галочку Отключить восстановление системы на всех дисках. Делается это для того, чтобы вирус svchost.exe не вернулся после лечения.
3. Проверьте автозагрузку. Нажмите Пуск -> Выполнить (для Win 7 командная строка доступна сразу) -> введите “msconfig”. В ней не должно быть файлов svchost.exe.

1. Скачайте CureIT — http://www.freedrweb.com/cureit и проверьте все логические диски и флешки в безопасном режиме Windows.

В принципе, CureIT можно и не качать, а воспользоваться качественным антивирусом с обновленными сигнатурами, но лучше перестраховаться и проверить все двумя разными способами. Возможно после проверки, потребуется восстановить ключи реестра Windows. Если что-то не получается, то всегда можно позвонить по и заказать услугу удаления вирусов. А тем, кому данные рекомендации показались недостаточными, советуем ознакомиться с статьей про то, — там показан подробный способ удаления вирусов вручную.

Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» - Win32.HLLP.Neshta (классификация Dr.Web).

Этот «самозванец» копирует себя в директорию Windows, заражает файлы с расширением «exe» и забирает системные ресурсы (оперативную память, интернет-трафик). Впрочем, он способен и на другие гадости. Известны случаи инфицирования, когда вирусный svchost загружает ОЗУ компьютера на 98-100% , отключает интернет-канал, нарушает функционирование локальной сети.

Файлы svсhost - добрые и злые, или кто есть кто

Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».

Истинный процесс

Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка - «ещё 29 вариантов»).

Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):

• SYSTEM;
• LOCAL SERVICE;
• NETWORK SERVICE.

Хакерская подделка

Может находиться в следующих директориях:

• C:\Windows
• C:\Мои документы
• C:\Program Files
• C:\Windows\System32\drivers
• C:\Program Files\Common Files
• C:\Program Files
• C:\Мои документы

Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.

Например:

• svch0st (цифра «ноль» вместо литеры «o»);
• svrhost (вместо «с» буква «r»);
• svhost (нет «с»).

Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.

Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).

Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.

Способ №1: очистка утилитой Comodo Cleaning Essentials

Cleaning Essentials - антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).

Где скачать и как установить?

1. Откройте в браузере comodo.com (официальный сайт производителя).

Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.

2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.

3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).

Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».

4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.

5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».

6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».

Как настроить и очистить ОС?

1. Выберите режим «Custom scan» (выборочное сканирование).

2. Подождите немного, пока утилита обновит свои сигнатурные базы.

3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).

4. Нажмите «Scan».

5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.

Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.

Вспомогательные утилиты

В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.

Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.

Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.

Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:

1. На вкладке «Система» откройте раздел «Процессы».
2. Проанализируйте все активированные процессы svchost:
   • кликните правой кнопкой по файлу;
   • выберите «Свойства»;
   • посмотрите его текущую директорию. Если она отличная от С:\Windows\system32\, вероятней всего, что исследуемый объект является вирусом.

В случае обнаружения зловреда:

1. Дополнительно просмотрите в его поле графу «Оценка» (safe - безопасный) и подпись.
2. Если эти свойства также не соответствуют характеристикам доверенного системного файла, снова активируйте контекстное меню (клик правой кнопкой). А затем последовательно запустите функции «Приостановить» и «Удалить».
3. Продолжайте проверку, возможно, вирус создал и запустил свои копии. От них тоже в обязательном порядке необходимо избавиться!

Способ №2: использование системных функций

Проверка автозагрузки

1. Кликните «Пуск».
2. Наберите в поисковой строке msconfig и нажмите «Enter».
3. В окне «Конфигурация системы» перейдите на вкладку «Автозагрузка».
4. Просмотрите команды (колонка «Команда»), запускающие элементы при запуске Windows, и их расположение (директории, ключи реестра в колонке «Расположение»):
   • Все директивы, содержащие svchost, отключите (уберите кликом галочку возле записи). Это 100% вирус. Системный процесс с одноимённым названием никогда не прописывается в автозагрузке.
   • Откройте директорию зловреда (указана в «Расположение») и удалите его. Для нейтрализации ключа в реестре используйте штатный редактор regedit: «Win + R» → regedit → Enter.

Анализ активных процессов

1. Нажмите «Ctrl + Alt + Del».
2. Кликните по вкладке «Процессы».
3. Проверьте свойства всех активных svchost (имя, расширение, размер, местоположение). При анализе ориентируйтесь на данные сервиса filecheck.ru и характеристики, приведенные в этой статье.

Кликните правой кнопкой по имени образа. В меню выберите «Свойства».

В случае обнаружения вируса:

• в свойствах объекта узнайте его расположение (скопируйте или запомните);
• нажмите «Завершить процесс»;
• перейдите в директорию зловреда и удалите его при помощи штатной функции (клик правой кнопкой → Удалить).

Если сложно определить: доверенный или вирус?

Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.

1. Откройте в браузере virustotal.com.
2. Нажмите «Выберите файл».
3. В проводнике Windows откройте директорию процесса, который необходимо проверить, выделите его кликом, а затем нажмите «Открыть».
4. Для запуска сканирования кликните «Проверить!». Файл загрузится из ПК на сервис и автоматически начнётся сканирование.
5. Ознакомьтесь с результатами проверки. Если большинство антивирусов детектируют объект как вирус, его необходимо удалить.

Юзеры, которые часто используют Диспетчер задач, замечали, что в списке рабочих процессов отображается несколько служб svchost.exe. Но не все, а тем более неопытные пользователи, знают, что такое svchost.exe в Диспетчере задач и за что он отвечает.

Что такое svchost.exe?

Svchost.exe – это системный исполняемый (как следует из названия) файл для ОС Windows. Он отвечает за запуск некоторых приложений и функций, снижая нагрузку на центральный процессор и RAM. Поэтому удалять его из системы нельзя (кроме случаев, когда под эту службу маскируется вредоносное ПО или когда можно отключить неиспользуемые службы, о чем написано в статье « »).

Если в Диспетчере задач отображается несколько копий svchost.exe, не переживайте, поскольку их количество зависит от числа запущенных программ: чем их больше, тем больше этих служб.

Принцип работы процесса

Этот процесс есть почти в каждой версии ОС Windows, но его потенциал раскрылся только с релизом Windows XP. До этого он в основном отвечала за сетевые соединения, с помощью которых компьютер подключается к интернету. Но разработчики Microsoft решили на этом не останавливаться, поэтому теперь служба предназначена для запуска фоновых локальных процессов, относящихся к динамическим библиотекам, которые имеют расширение «.dll».

Интересно! Динамические библиотеки невозможно запустить в обычном режиме.

svchost.exe позволяет сохранять ресурсы компьютера, потому что при использовании службы не нужно физически запускать исполняемый файл. Поэтому уменьшается количество процессов, загружающих RAM и виртуальную память ПК. Именно из-за этого в Диспетчере задач одновременно отображается несколько служб с одинаковым названием.

Помимо этого, файл svchost.exe автоматически запускается при старте Windows, независимо от того, какие программы «висят» в . Поэтому полное отключение лишних служб и приложений не повлияет на его загрузку.

Причины загрузки ресурсов

Нередко пользователи замечают, что процесс загружает один из ресурсов (процессор или оперативную память) устройства, независимо от того, запущены программы или нет. На это есть разные причины.

Вирусы

Главная причина – вредоносное ПО, которое попало на компьютер и «маскируется» под файл svchost.exe. Отсортируйте процессы в Диспетчере задач по названию и посмотрите, от чьего имени запущены эти службы. Если это сделано от имени учетной записи пользователя (вашей записи), значит это «проделки» вируса. Если в графе «Имя пользователя» указано: Local Service, Network Service или System, такой файл безопасен.

Если вы думаете, что обнаружили вирус, нажмите по процессу ПКМ → Открыть расположение файла. Так вы определите местоположение зловреда и проверите его через портал VirusTotal.com . Но лучше сразу просканировать систему с помощью программ Dr.Web CureIt или Malwarebytes Anti-Malware . Дело в том, что удаление одного исполняемого файла не поможет избавиться от вируса, поскольку на компьютере наверняка имеются вспомогательные фрагменты, которые восстановят его после перезагрузки или просто не дадут удалить.

Загрузка обновлений

Поскольку в большинстве случаев пользователь не меняет настройки ОС, в Windows по умолчанию установлена автоматическая загрузка обновлений. Это тоже «обязанность» svchost.exe. Для отключения загрузки обновлений:

Проблемные программы

Эта причина свойственна тем пользователям, которые устанавливают на компьютер огромное количество программ и приложений, и не следят за ними. Чтобы выявить ненужный софт, установите на ПК программу Process Explorer . Она поможет определить, какие программы отбирают ресурсы устройства, но при этом вы не пользуетесь ними.

Еще одно преимущество Process Explorer – она тесно работает с сервисом проверки файлов на вредоносное ПО – VirusTotal, поэтому поможет отличить системные службы от вирусов.

Чтобы проверить файл, выделите его в окне программы → Options → VirusTotal.com → Check VirusTotal.com.

Использование µTorrent

Часто ресурсы компьютера грузит программа µTorrent при скачивании файлов. Для снижения нагрузки на процессор:Как распознать вирус?

Распознать вирус, который маскируется под файл svchost.exe, легко. Он запускается от имени учетной записи юзера или любых других процессов, кроме Local Service, Network Service или System.

Еще одна характерная особенность – «ошибки» в названии. Процессы с названием svhost, svchosts или прочие – это зловреды, которые нужно удалить.

«Чистка» системы

Если вы обнаружили на компьютере вирус, маскирующийся под файл svchost.exe, запустите углубленное сканирование системы установленным антивирусным ПО.

Важно! Наверняка сканирование установленным ПО не принесет результат.

Но лучше используйте специальные утилиты от известных компаний: Dr.Web CureIt, Malwarebytes Anti-Malware или Kaspersky Rescue Disc . Они выявят и обезвредят вредоносное ПО.

Видео

Дополнительную информацию о процессе svchost.exe вы узнаете на видео.

Довольно часто встречается ситуация, что компьютерные вирусы маскируются под системные процессы. Один из самых распространенных вариантов - вирус svchost.exe . Из-за того, что копий этого процесса в работе операционной системы Windows должно быть запущенно довольно много, вредоносному коду удается затеряться среди нормальных процессов системы.

Вы должны иметь представление о самом предназначении процесса svchost.exe, и уметь определять вирус, маскирующийся под этот процесс. Это необходимо для успешного удаления.

Для чего нужен процесс svchost.exe

Данный процесс используется системой Windows, для обеспечения работоспособности ее функций. Процесс обеспечивает работу сервисов и программ, которые работают с динамическими DLL библиотеками. При проверке запущенных процессов через диспетчер задач, вы увидите несколько копий svchost.exe - это совершенно нормально.

В качестве папок, в которых может располагаться системный процесс svchost.exe могут быть следующие варианты:

• %system-disk%\windows\
• %system-disk%\Мои документы\
• %system-disk%\Windows\System32\drivers
• %system-disk%\Windows\System32\
• %system-disk%\Program Files\Common Files

Где переменная %system-disk% означает букву диска, на котором установлена операционная система Windows. Чаще всего это диск "С ".

Чтобы проверить месторасположения процесса, в диспетчере задач кликните на него правой кнопкой мыши, и выберите пункт "Открыть место хранения файла " или "Свойства ".

Если вы выбрали просмотр папки, где располагается процесс, она откроется в окне диспетчера файлов. Если вы решили просмотреть этот параметр через свойства, то вам нужен пункт "Расположение ".

Обратите внимание ! Нельзя диагностировать заражение процесса, основываясь только на его месторасположении, на системном диске.

Как вирусы маскируются под процесс svchost.exe

Большое количество копий svchost.exe, позволяет вирусным программ легко маскировать свое присутствие в системе, заменяя одну или несколько букв в названии процесса. Только если внимательно просмотреть все запущенные копии, и убедиться в корректности их названия, можно обнаружить вредоносный код (что далеко не всегда делают пользователи).

Ниже приведены варианты подмены названия.

1. svcc host.exe - повторяется буква "c"
2. svhost.exe - здесь наоборот, она пропущена
3. svchostt .exe - в этом вредоносном процессе добавлена буква "t"
4. svs host.exe - вместо буквы "c" используется "s"

Как вы можете заменить, основной алгоритм маскировки - это подставлять похожие по написанию буквы в название процесса, заменять или дублировать их.

Теперь запомните - есть только одно корректное наименование данного процесса:

SVCHOST.EXE

Как удалить вирус svchost

Если вы диагностировали у себя на компьютере зараженный процесс, и определили его месторасположение на диске, необходимо удалить его.

Для этого используется антивирусная утилита AVZ - .

После запуска программы нажимаем "Файл - выполнить скрипт ". У вас откроется окно для ввода кода.

Ниже представлен код скрипта - вам нужно скопировать его в программу.

Begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile("Укажите путь к файлу ",""); DeleteFile("Укажите путь к файлу "); BC_ImportAll; ExecuteSysClean; ExecuteWizard("TSW",2,3,true); BC_Activate; RebootWindows(true); end.

Жирным шрифтов выделены две строки - сюда вы должны вставить полный путь до вредоносного файла. Допустим, мы диагностировали в диспетчере задач вирус svcchost.exe (двойная "c " в названии), расположенный в папке c:\windows\system32 . Мы должны указать в коде скрипта вот такое значение:

c:\windows\system32\svcchost.exe

Это и будет полный путь до файла. У нас должно получиться следующее:

Если ваш компьютер подвергся заражению, обязательно проведите полное сканирование системы на вирусы.

Когда будете писать в коде скрипта путь и имя зараженного файла, используйте советы из второй главы (для определения целовой папки).

Заключение

Самый простой способ диагностировать вирус svchost.exe - это внимательно просмотреть весь список процессов в вашем диспетчере задач. Имейте ввиду - обязательно нужно просматривать процессы всех пользователей, в том числе и администраторов. Для этого отмечайте соответствующую галочку в диспетчере задач.