Процесс svchost.exe грузит windows, что делать? как удалить svchost вирус и отличить его от системного файла

Содержание:

Что такое Service Host Process (svchost.exe)?

Вот ответ, согласно Microsoft:

Но это не очень проясняет ситуацию. Некоторое время назад Microsoft начала менять большую часть функционала Windows, службы, которые запускались из файлов EXE, заменялись тему, которые используют DLL-файлы. С точки зрения программирования это делает код более многоразовым и его, возможно, легче поддерживать в актуальном состоянии. Проблема в том, что вы не можете запускать DLL-файл непосредственно из Windows так же, как и исполняемый файл. Вместо этого оболочка, загружаемая из исполняемого файла, используется для размещения этих DLL-сервисов. Итак, появился процесс Service Host (svchost.exe).

Вирусы, маскирующиеся под svchost.exe

Так как процесс svchost является очень популярным в Диспетчере задач, разработчики вредоносного ПО стараются всячески замаскироваться под него. Поэтому в ДЗ встречаются такие названия, как:

  • exe;
  • exe;
  • exe;
  • exe и другие.

Обратите внимание, что в каждом из отмеченных процессов отсутствует буква или присутствует лишний символ. Это заставляет пользователей закрыть глаза на сильную нагрузку процессора

Удостовериться, что условная задача «svchostt.exe» выполняется вирусной программой, можно через Диспетчер задач:

Откройте Диспетчер.

Перейдите в раздел «Подробности».

  • Кликните ПКМ по подозрительной операции.
  • Выберете пункт «Открыть расположение файла».

Если файл находится в несистемной директории (все папки кроме «System32», «SysWOW64», «WinSxS»), то процесс является следствием вмешательства вирусов.

Убрать вредоносную программу поможет любой антивирус, будь то Kaspersky или Avast. Но перед этим не забудьте удалить процесс из Диспетчера задач.

Службы, использующие svchost

  • Оповещатель Alerter – выполняет функцию отправки заданным получателям.
  • Application Management – управляет установкой программ.
  • Система событий – поддерживает рассылку оповещений о служебных событиях.
  • Обозреватель компьютеров – осуществляет поиск компьютеров в сети.
  • Server – поддержка доступа к общим файлам в сети.
  • DHCP–клиент обеспечивает управление сетевой конфигурации с помощью IP–адресов и Domain Mail Servicies.
  • Клиент отслеживания изменившихся связей – следит за изменением связей NTFS файлов и их перемещениями.
  • DNS–клиент запоминает и кэширует доменные имена, разрешает к ним доступ.
  • Диспетчер логических дисков — поиск томов жестких дисков.
  • Messenger — обмен сообщениями с администраторами, а также службами оповещений.
  • Диспетчер автоматических подключений удаленного доступа – формирует подключения удаленного доступа.
  • Удаленный вызов процедур – управление службой удаленного вызова процедур.
  • Диспетчер подключений путем удаленного доступа – создание подключений по сети.
  • Удаленный реестр – изменение параметров реестра удаленными пользователями.
  • Съемные ЗУ – подключение съемных носителей.
  • Маршрутизация и удаленный доступ – настройка маршрутизации для глобальных сетей организаций.
  • Уведомление о системных событиях — учет системных событий, например, смены регистрации Windows или отключения электропитания.
  • Планировщик заданий – отвечает за настройку автоматического запуска задач.
  • Телефония – служба обеспечивает подключение телефонии и Voice IP–подключений.
  • Служба времени – осуществляет синхронизацию и подстройку времени и даты на компьютере.

Отключаем автоматическое обновление Windows

Операционная система Windows по умолчанию обновляется автоматически, проверяя наличие новых файлов на сервере Microsoft. Так как разработчик регулярно публикует исправления для ОС, то и процесс обновления превращается в ежедневную рутину, при которой компьютер нагружается почти полностью.

Выходом из ситуации станет отключение «svchost.exe» на Виндовс, но перед этим нужно убедиться, что причина именно в этом.

Проверяем хост-процесс и отключаем автообновление по такому алгоритму:

  1. Открываем «Диспетчер задач», выделяем правой кнопкой мыши процесс «svchost» с самым большим потреблением ресурсов и жмем «Перейти к службам».

В списке синим цветом выделяются службы, ответственные за запуск процесса. Если это wuauserv», то в просадках компьютера виновен Центр обновления Windows.

  1. Чтобы отключить его, переходим в меню «Пуск/Панель управления/Система и безопасность/Центр обновления Windows». В разделе «Настройка параметров» выбираем «Не проверять наличие обновлений» и снимаем обе галочки.

Подтверждаем изменения нажатием «ОК».

  1. Это же действие желательно продублировать другим способом, введя в поисковой строке Пуска запрос «Службы».

В списке ищем «Центр обновления Windows» и нажимаем на кнопку «Стоп».

Кликнув по службе правой кнопкой мыши и выбрав «Свойства», меняем статус «Тип запуска» на «Отключена».

Кликаем «ОК» и перезагружаем систему.

Если после перезагрузки никаких улучшений замечено не было, то переходим к следующему способу.

Лучшие практики для исправления проблем с svchost

Аккуратный и опрятный компьютер – это главное требование для избежания проблем с svchost. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.

Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.

Следующие программы могут вам помочь для анализа процесса svchost.com на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным – шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.

Svchost.exe: что это за процесс, какие у него функции и зачем нужен?

Распространенное мнение, что svchost.exe – это вирус имеет под собою основание, но на деле, чаще всего, никакой угрозы в себе данный процесс не несет. Если разбираться в функциональных обязанностях, возложенных на данный файл, он необходим чтобы подключать динамические библиотеки DLL для программ и служб, которые не могут без них работать. Каждая программа использует свой собственный файл svchost, который может быть расположен в различных папках операционной системы Windows.

Чаще всего файл svchost.exe можно найти по следующим адресам:

  • C:\WINDOWS\system32
  • C:\WINDOWS\Prefetch
  • С:\WINDOWS\winsxs\ amd64_microsoft-window
  • C:\WINDOWS\ServicePackFiles\i386

Если файл svchost.exe расположен в других папках – это повод забить тревогу, но далеко не показатель того, что он является вирусом. Действует данное правило и в обратном направлении, если svchost.exe даже и находится в одной из указанных выше папок, он вполне может оказаться вирусным программным обеспечением.

Определить в какой папке располагаются активные в данный момент процессы svchost.exe очень просто. Для этого выполните следующие действия:

  • Нажмите на клавиатуре комбинацию клавиш ctrl+ald+delete и запустите «Диспетчер задач».
  • В «Диспетчере задач» необходимо выбрать сверху пункт «Подробности», и в нем лучше отсортировать запущенные процессы по имени, чтобы было проще найти svchost.exe.
  • Далее отыщите активные файлы svchost.exe, и около каждого из них будет отображаться информация о том, как много оперативной памяти или мощности процессора они «отъедают». Если один или несколько процессов svchost.exe грузят систему слишком сильно – проверьте его адрес. Для этого правой кнопкой мыши нажмите на «тяжелый» процесс и выберите пункт «Свойства».
  • Откроется меню, в котором будет указано местоположение работающего файла svchost.exe, и на основании указанной папки можно сделать определенные выводы.

В операционных системах Windows 8 и Windows 10 имеется возможность посмотреть через «Диспетчер задач» список служб, которые используют процесс svchost.exe. Сделать это просто — необходимо нажать на подозрительный процесс правой кнопкой и выбрать пункт «Перейти к службам». Стоит отметить, что названия многих служб навряд ли о чем-то смогут рассказать рядовому пользователю компьютера.

Процесс svchost.exe может не являться вирусом, и если он грузит систему, то здесь следует рассматривать 2 сценария:

  • Компьютер заражен вирусом, который рассылает спам, добывает криптовалюту для своих создателей или передает другие данные злоумышленникам;
  • Из-за невнимательности пользователь не замечает, что вредоносный процесс лишь скрывается под личиной системной библиотеки svchost.exe, на самом деле таковой не являясь.

Если компьютер заражен вирусом, и из-за этого процесс svchost.exe грузит Windows 10 или более раннюю версию операционной системы, то следует проверить компьютер популярными антивирусами. Обязательно установите Firewall, который позволит обеспечить сетевую безопасность компьютера.

Во втором случае следует распознать зловредный файл svchost.exe, который таковым не является, а после его удалить.

Поиск проблемной службы

Для определения проблемной службы, грузящей ОЗУ или процессор, подойдет встроенный Диспетчер задач Windows. Можно использовать бесплатный аналогичный софт с расширенными возможностями — Process Explorer. Программа может потребоваться в том случае, если поиск и исправление стандартными методами не помогает.

Для определения проблемной службы нужно:

  1. Открыть Диспетчер задач при помощи комбинации клавиш Ctrl+Alt+Del, выбрав соответствующий пункт в появившемся меню.
  2. Перейти во вкладку «Процессы», отфильтровать список по нагрузке на центральный процессор. Процесс может называться svchost в Windows 7 и XP либо «Узел службы» на более поздних версиях системы.
  3. Развернув процесс или перейдя в свойства процесса из контекстного меню (вызывается правой кнопкой мыши), можно увидеть список служб, с которыми работает процесс.

Компьютер стал тормозить и зависать. Какие могут быть причины?

Итак, проблема состоит в следующем: компьютер начал неожиданно тормозить, зависать, при этом программы перестают отвечать, а нажатия на кнопки ни к чему не приводят.

Причиной может послужить длительный активный серфинг в интернете, из-за которого система накапливает гигабайты временных файлов.

Базовым решением для лечения компьютера может являться удаление кэша специальными «программами-чистильщиками» с последующей дефрагментацией. Если это не помогло, попробуйте сделать откат к более раннему состоянию при помощи Восстановления системы.

Естественно, это вариант уместен, если вы создавали точку восстановления (Свойства системы → Защита системы → Создать).

Если ни перезагрузка Windows, ни Восстановление системы не смогли помочь, то, возможно, причина проблемы кроется в процессе svchost.exe.

Чем же вообще является файл svchost.exe в Windows 7, 8 или 10. Дословно это название расшифровывается, как Service Host – главный процесс для служб, загружаемых из динамических библиотек системы. Использование единого процесса svchost.exe для работы нескольких сервисов позволяет существенно уменьшить затраты оперативной памяти.

svchost.exe грузит процессор или память

Вот это очень распространённая проблема. И ход действий здесь весьма интересен.

  1. Нужно определить имя службы, которая потребляет системные ресурсы.
    Итак, пойдём по шагам. Для Windows 7 нужно отобразить процесс “ИД Процесса” или “pID” – отобразит в диспетчере задач идентификатор процесса, чтобы можно было однозначно идентифицировать и отличать один svchost.exe от другого.
    Для Windows 8, например, в диспетчере все процессы уже сгруппированы по PID-ам.

  2. Запоминаем PID и для Windows 7 переходим на вкладку “Службы”.

    Там упорядочиваем по PID и ищем наш злополучный PID, изучаем список служб…

  3. Если служба вам не нужна – её можно смело отключить. Если нужна – попробовать настроить.
    Извечный вопрос “Какие службы нужны, а какие можно смело отключить?” – В Интернете миллион инструкций, мой ответ – если вы твёрдо уверены, что это вам не надо – остановите, поработайте. Запишите, что отключили. Все конфигурации различные, кто-то работает без сети вообще – может отключить многое. Кто-то без принтера, поиска файлов, оформления – отключает другое.
    Лично по своему опыту – компьютер задышал посвободнее, когда я отключил службу обновления, брандмауэр, защитник Windows (т.к. использую стороннее антивирусное решение), службу индексирования и темы. Также можно безопасно отключить и другие, но лучше почитайте соответствующие мануалы. Список служб ведь не такой большой – нужно смотреть только те, которые относятся к данному процессу, который потребляет много ресурсов.
  4. PROFIT. И всё.

Практика показала, что такая оптимизация достаточно эффективна. Ну а некоторые службы можно не отключать, а перевести на ручной запуск.

Исправить высокую загрузку ЦП Svchost.exe (netsvcs)

Очистка диска начинает вычислять, сколько занимаемого дискового пространства вы можете освободить. Хорошо, что вы можете часто обновлять драйвер устройства, чтобы устранить проблему с EXE. Чтобы убедиться, что все svchosts проверены и исправить любую верхнюю память или Использование процессора svchost, вы можете взглянуть на следующие методы. На самом деле, Svchost k чрезвычайно важен в процессе Windows, поскольку он отвечает за загрузку других служб Windows для гораздо большей функциональности.

Вредоносные программы, как правило, наносят ущерб вашей системе, поэтому их всегда приятно восстановить. Вредоносное ПО использует многие порты Windows для подключения к Интернету, что является одной из основных причин высокой загрузки ЦП netsvcs. Во-первых, вы должны убедиться, что ваш компьютер хорошо защищен от шпионского ПО. Последнее, что вам нужно сделать, это восстановить файл HOST на вашем компьютере, поскольку на него обычно влияет svchost.exe. Иногда простая перезагрузка компьютера помогает избавиться от проблемы. Особенно если вы работаете с большим количеством устаревшего оборудования, с которым я работаю для большинства своих клиентов.

Почему запущено так много svchost.exe?

При запуске системы, Svchost.exe проверяет часть раздела реестра со службами и создает список служб, которые ему необходимо загрузить. Каждый сеанс Svchost.exe может содержать группирование служб. Это сделано для уменьшения количества различных запущенных служб и улучшает отладку, если в этом будет необходимость. К примеру, один процесс svchost.exe запускает три службы связанные с брандмауэром. Согласитесь, ведь удобно видеть один процесс, чем три? Если ошибка случается в одной из трех запущенных служб, то это колоссально упрощает отладку и решение проблемы. И это касается остальных служб, которые может загружать svchost.exe и группировать их в один.

Где посмотреть, какие службы запускает svchost.exe

Вы можете посмотреть в редакторе реестра службы, которые запускает svchost.exe. Для этого нажмите Win+R и введите regedit, чтобы запустить редактор реестра. Далее перейдите по пути:

Вы также можете проверить список служб с которыми связан svchost.exe через командную строку. Для этого запустите командную строку от имени админа и введите команду:

Когда вы видите в диспетчере задач, что Служба узла (svchost.exe) грузит вашу систему, в частности ЦП, память или диск, то это может быть не то, что вы себе представляли, и грузить могут совершенно другие службы. К примеру, мы запускаем обновления Windows 10 в центре обновлений, и у нас svchost.exe будет грузить процессор, память или диск почти до 100%. Когда обновления установятся, то процесс svchost.exe больше не будет грузит вашу систему. В другом случае, может быть запущена автоматическая проверка защитником Windows, и в этот момент у вас будет грузится система до 70-90%. Нужно всего лишь подождать. В некоторых других случаях это может быть вирус.

Как узнать, что за служба связанна с svchost.exe

Жмем Ctrl+Shift+Esc, чтобы открыть диспетчер задач. Далее смотрим, что именно у нас под нагрузкой. В моем случае я вижу, что «Узел службы: локальная система» грузит мой диск. Раздвигаю список «Узла службы», и там куча служб. Я бегло посмотрел и обнаружил, что там есть такая служба как «Центр обновления Windows«, далее я перешел в параметры центра обновлений и обнаружил, что идет установка новых обновлений для системы. Я просто пережду, и мой диск после окончания всех процессов по обновлению, перестанет грузиться.

К примеру, если вы не знаете, что за служба в списке «Узла служб», то нажмите правой кнопкой мыши по службе и выберите «Открыть службу«. Там вы обнаружите описание данной службы и для чего она нужна. Вы также можете выбрать «Поиск в Интернете» для описания данной службы.

Способ №2: использование системных функций

Проверка автозагрузки

  1. Кликните «Пуск».
  2. Наберите в поисковой строке msconfig и нажмите «Enter».
  3. В окне «Конфигурация системы» перейдите на вкладку «Автозагрузка».
  4. Просмотрите команды (колонка «Команда»), запускающие элементы при запуске Windows, и их расположение (директории, ключи реестра в колонке «Расположение»):
  5. Все директивы, содержащие svchost, отключите (уберите кликом галочку возле записи). Это 100% вирус. Системный процесс с одноимённым названием никогда не прописывается в автозагрузке.
  6. Откройте директорию зловреда (указана в «Расположение») и удалите его. Для нейтрализации ключа в реестре используйте штатный редактор regedit: «Win + R» → regedit → Enter.

Анализ активных процессов

  1. Нажмите «Ctrl + Alt + Del».
  2. Кликните по вкладке «Процессы».
  3. Проверьте свойства всех активных svchost (имя, расширение, размер, местоположение). При анализе ориентируйтесь на данные сервиса filecheck.ru и характеристики, приведенные в этой статье.

Кликните правой кнопкой по имени образа. В меню выберите «Свойства».

В случае обнаружения вируса:

  • в свойствах объекта узнайте его расположение (скопируйте или запомните);
  • нажмите «Завершить процесс»;
  • перейдите в директорию зловреда и удалите его при помощи штатной функции (клик правой кнопкой → Удалить).

Как остановить Svchost.exe (netsvcs), вызывающий высокую загрузку ЦП

Решение 1. Просканируйте свой компьютер на вирусы.

Из-за множества вирусов и вредоносного ПО иногда вы можете столкнуться с проблемами, связанными с высокой загрузкой ЦП / памяти svchost.exe. Чтобы исправить это, сначала просканируйте всю систему с помощью Антивирусная программа. Вы можете использовать Защитник Windows.

Решение 2. Отключите службу, которая вызывает высокую загрузку ЦП «svchost».

Откройте диспетчер задач> перейдите к процессам и найдите Показать процессы.

Щелкните правой кнопкой мыши файл svchost.exe с высоким уровнем использования> Перейти к службам.

Узнайте, какой процесс использует ЦП.

  • Выполнить поиск
  • Попробуйте последовательно останавливать службы

Следуй этим шагам:

  • Выберите услугу
  • Щелкните правой кнопкой мыши> Остановить службу.

Чтобы отключить службу:

  • Откройте Выполнить> введите services.msc > Enter.
  • В разделе «Управление службами»> щелкните службу правой кнопкой мыши> выберите Свойства.

Тип запуска Установите Отключено> ОК и перезапустите.

Решение 3. Очистите журналы средства просмотра событий

Шаг 1: Открыть Run. (Нажмите Win + R)

Шаг 2: введите eventvwr.msc > Enter.

Шаг 3. С левой стороны дважды щелкните Журналы Windows > щелкните правой кнопкой мыши заявление > выберите Очистить журнал.

Шаг 4. Проделайте то же самое для Безопасность, Настроить, Системаи Перенаправленные события.

Шаг 5: Перезагружать ваш компьютер сейчас.

Решение 4. Загрузите и установите последние обновления Windows

Откройте Центр обновления Windows в настройках, а затем нажмите Проверить наличие обновлений. Теперь, если доступно какое-либо новое обновление, загрузите и установите его.

Спасибо, что прочитали эту статью. Оставляйте комментарии к своим отзывам.

Как вирусы работают через svсhost?

Svchost грузит память мешая нормальной работе компьютера. Замаскированный вирус перенаправляет трафик интернета, благодаря чему отъедает значительную часть ресурсов процессора и оперативной памяти. Вредоносное программное обеспечение размещают на на диске с установленной Windows, а действия выполняемые им прячут так, чтобы они были не заметны в диспетчере задач. Вирус может маскироваться под системный процесс. Это увеличивает для него срок жизни, что напрямую влияет на количество действий и наносимого вреда.

При открытии диспетчера задач, нужно тщательно проверить пользователя от имени, которого запущено выполнение данной задачи. Windows запускает главный процесс от имени: LOCAL SERVISE, NETWORK SERVICE, система.

Все svсhost.ехе системные и не запускаются от имени пользователя. Все что выполняется текущим пользователем, используется вредоносным ПО.

ПОСМОТРЕТЬ ВИДЕО

Внимательно посмотрите на написание названия. Оно может по начертанию напоминать svchost.ехе, но отличается буквой или цифрой (svch0st.ехе – вместо буквы «о» используется ноль, svchoоst.ехе – две буквы «о», svеhost.ехе – вместо буквы «с» написана «е»). Данные названия выполняемых программ, как правило вредоносны.

Системный svchost.exe расположен: для 32 битной Windows в папке C:\WINDOWS\system32, а для 64 битной C:\WINDOWS\SysWOW64. На скриншоте видно месторасположение C:\WINDOWS, данный процесс скорее вредоносен. При обнаружении вируса или вредоносной утилиты, запустите антивирусную проверку (Dr.Web Cure IT).

Если нет конфликтов программного обеспечения, провели проверку и нет вирусов, а 100% загрузка процессора никуда не ушла, то можно воспользоваться спец софтом (Process Explorer), чтобы определить какая программа так сильно влияет на процессор. Как видно на скриншоте Wіndows происходит обновление системы.

Программа Process Explorer помогает определить что влияет на процесс svchost

Если центр обновления грузит систему, то отключите или назначьте работу по расписанию, чтобы он проверял, скачивал и устанавливал обновления тогда, когда вы не используете компьютер.

Отключение автоматического обновления системы помогает снизить нагрузку на оперативную память компьютера

Теперь вы знаете что такое Svchost и почему Svchost грузит процессор.

И обнаружив в его списке процессов массу записей с одинаковым содержимым — svchost — многие пользователи впадают в преждевременную панику. Обычно это происходит тогда, когда работоспособность системы находится под вопросом — все виснет, окна не реагируют, не помогает даже перезагрузка. Первым из процессов попадающим под подозрение обычно оказывается exe-шник svchost? Действительно ли хост процесс служб Windows повинен в перегрузке процессора? И если это так, то как с этим бороться?

Generic Host Process for Win32 Services, а именно так расшифровывается название рассматриваемой службы Windows, — является критически важной утилитой операционной системы. Отключить данную службу нельзя, так как в противном случае станет невозможным использование одного из важнейших инструментов Windows — разделяемых между приложениями библиотек подпрограмм — так называемых dll-библиотек

А так как вся архитектура Windows базируется на таких библиотеках, то работа с отключенным svchost.exe — абсолютно нереальна.

Проблема заключается в том, что хакеры предпочитают маскировать свои вредоносные программы под один из системных процессов и Generic Host Process — идеальный кандидат для таких манипуляций.

Почему svchost может грузить процессор?

На самом деле причин может быть много. Чаще всего это случается из-за того, что включено автоматическое обновление ОС Windows или svchost — оказывается вирусом, либо заражен им.

Для начала отключим службу автоматического обновления. Для этого откройте панель управления, откройте раздел система и безопасность.

В этом разделе выберите пункт администрирования.

Перед вами откроется окно проводника со ссылками. Вам нужно открыть ссылку службы.

В службах находим «центр обновления Windows» — открываем его и отключаем эту службу. Так же следует поменять тип запуска, с автоматического на ручной. После этого все сохраняем и перезагружаем ПК.

Важно! Если после перезагрузки ПК, svchos.exe все еще грузит процессор, попробуйте узнать службы, которые используются этим процессом и отключить их (подобно отключению центра обновления, см. выше)

Для этого щелкните правой кнопкой мышки по процессу в диспетчере задач и выберите пункт перейти к службам. Далее вы увидите службы, которые используют данный процесс. Эти службы можно частично отключить без ущерба для работоспособности ОС Windows. Отключать нужно по 1 службе и смотреть за работоспособностью Windows.

Еще одним способом избавиться от тормозов из-за этого процесса — это попробовать восстановить систему. Достаточно воспользоваться даже стандартными средствами самой ОС, особенно если грузить процессор svchost стал совсем недавно, после каких-нибудь изменений или установки софта на ПК.

Удаление троянской программы

троянского коня

Первым делом, запустите редакторование системного реестра, набрав regedit в строке «Выполнить» из меню «Пуск». Найдите ключ вида: »PowerManager»=»%WinDir%svchost.exe.

После того как PowerManager будет отключен, зайдите в «Диспетчер задач», вручную отключите процесс svchost.exe. Необходимо вручную удалить файлы:

  • svchostc.exe;
  • svchosts.exe;
  • svchost.exe;
  • msin32.dll;
  • nostar.ini;
  • svchost.com;
  • SYSHOST.DLL;
  • msrt32.dll;
  • c1.txt;
  • c2.txt;
  • sysini.ini;
  • c3.txt;
  • svchost.com;
  • SYSHOST.DLL;
  • msrt32.dll

Будьте бдительны: «рабочий» svchost находится в каталоге %WINDIR%system32. Удалять его нельзя.

Принцип работы службы

Если посмотреть на список процессов в «Диспетчере задач», можно увидеть несколько служб Svchost.exe (netsvcs). Что это и почему так происходит, станет понятно, если разобраться в основных принципах работы данного компонента.

Вообще, в процессах может присутствовать от четырех (минимум) и более таких компонентов, но все они относятся к одной группе (netsvcs). Принцип работы процесса состоит в том, чтобы запускать системные процессы через специальные svc-хосты с помощью инструмента Services.exe. В этом случае сопутствующие компоненты любой программы (например, динамические библиотеки DLL, которые обычным способом к исполнению системой не принимаются) загружаются в оперативную память. Как считается, это позволяет ускорить старт исполняемых приложений (в том числе и пользовательских).

Если сложно определить: доверенный или вирус?

Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.

  1. Откройте в браузере virustotal.com.
  2. Нажмите «Выберите файл».
  3. В проводнике Windows откройте директорию процесса, который необходимо проверить, выделите его кликом, а затем нажмите «Открыть».
  4. Для запуска сканирования кликните «Проверить!». Файл загрузится из ПК на сервис и автоматически начнётся сканирование.
  5. Ознакомьтесь с результатами проверки. Если большинство антивирусов детектируют объект как вирус, его необходимо удалить.

Как удалить svchost.exe с помощью программы AVZ

Известная антивирусная утилита AVZ способна обнаруживать и удалять нежелательные программы, в том числе и вирусные. Она распространяется бесплатно и обладает множеством полезных функций. Плюс программы AVZ в том, что ее не надо устанавливать на системный диск. AVZ можно запустить с флешки, внешнего жесткого диска или прямо из скачанного архива.

Чтобы удалить файл svchost.exe с использованием утилиты AVZ, необходимо выполнить следующие действия:

  1. Запускаем программу AVZ и выбираем в появившемся меню пункты «Файл» — «Выполнить скрипт».
  2. Дорабатываем следующий скрипт:

begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile(‘путь к вирусу’,»); DeleteFile(‘путь к вирусу’); BC_ImportAll; ExecuteSysClean; ExecuteWizard(‘TSW’,2,3,true); BC_Activate; RebootWindows(true); end. Вместо выделенных красным слов «Путь к вирусу» необходимо прописать местоположение вирусного процесса svchost. Выше мы уже рассказывали как определить где находится вирусный файл, который маскируется под svchost.exe. Копируем путь к нему (или прописываем вручную) и вставляем вместо выделенным красным слов

Внимание: Кавычки из скрипта удалять нельзя – только буквы выделенные красным

  1. Теперь вставляет переделанный скрипт в открытое окно программы AVZ и жмем на кнопку «Запустить».
  2. Далее программа сделает все самостоятельно, после чего компьютер будет перезагружен.

После успешного удаления файла, который выдавал себя за svchost.exe, настоятельно рекомендуем проверить компьютер на наличие вирусов. Велика вероятность, что одна из программ генерирует новые файлы, которые автоматически запускаются в процессах и выдают себя за svchost.exe.

(425 голос., средний: 4,53 из 5)

Способ №1: очистка утилитой Comodo Cleaning Essentials

Cleaning Essentials — антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).

Где скачать и как установить?

2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.

3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).

4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.

5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».

6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».

Как настроить и очистить ОС?

1. Выберите режим «Custom scan» (выборочное сканирование).

2. Подождите немного, пока утилита обновит свои сигнатурные базы.

3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).

5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.

Вспомогательные утилиты

В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.

Autorun Analyzer

Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.

Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.

KillSwitch

Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:

  1. На вкладке «Система» откройте раздел «Процессы».
  2. Проанализируйте все активированные процессы svchost:
  3. кликните правой кнопкой по файлу;
  4. выберите «Свойства»;
  5. посмотрите его текущую директорию. Если она отличная от С:Windowssystem32, вероятней всего, что исследуемый объект является вирусом.

В случае обнаружения зловреда:

  1. Дополнительно просмотрите в его поле графу «Оценка» (safe — безопасный) и подпись.
  2. Если эти свойства также не соответствуют характеристикам доверенного системного файла, снова активируйте контекстное меню (клик правой кнопкой). А затем последовательно запустите функции «Приостановить» и «Удалить».
  3. Продолжайте проверку, возможно, вирус создал и запустил свои копии. От них тоже в обязательном порядке необходимо избавиться!
Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector