Работа операционной системы Windows – сложный процесс, который возможен только при грамотном функционировании всех программных компонентов. Не менее сложно работает MacOS, но в ней пользователи не обладают возможностью следить за системными процессами. В Windows посмотреть все исполняемые файлы можно в «Диспетчере задач», и неопытных пользователей некоторые из них могут напугать. Ярким примером файла, который вызывает тревогу, является svchost.exe. Довольно часто в Windows svchost.exe грузит память или процессор, и возникает ощущение, что он является вирусом. Действительно ли это так? Давайте разбираться.

Svchost.exe: что это за процесс, какие у него функции и зачем нужен?

Распространенное мнение, что svchost.exe – это вирус имеет под собою основание, но на деле, чаще всего, никакой угрозы в себе данный процесс не несет. Если разбираться в функциональных обязанностях, возложенных на данный файл, он необходим чтобы подключать динамические библиотеки DLL для программ и служб, которые не могут без них работать. Каждая программа использует свой собственный файл svchost, который может быть расположен в различных папках операционной системы Windows.

Чаще всего файл svchost.exe можно найти по следующим адресам:

  • C:\WINDOWS\system32
  • C:\WINDOWS\Prefetch
  • С:\WINDOWS\winsxs\ amd64_microsoft-window
  • C:\WINDOWS\ServicePackFiles\i386

Если файл svchost.exe расположен в других папках – это повод забить тревогу, но далеко не показатель того, что он является вирусом. Действует данное правило и в обратном направлении, если svchost.exe даже и находится в одной из указанных выше папок, он вполне может оказаться вирусным программным обеспечением.

Определить в какой папке располагаются активные в данный момент процессы svchost.exe очень просто. Для этого выполните следующие действия:


В операционных системах Windows 8 и Windows 10 имеется возможность посмотреть через «Диспетчер задач» список служб, которые используют процесс svchost.exe. Сделать это просто - необходимо нажать на подозрительный процесс правой кнопкой и выбрать пункт «Перейти к службам». Стоит отметить, что названия многих служб навряд ли о чем-то смогут рассказать рядовому пользователю компьютера.

Процесс svchost.exe может не являться вирусом, и если он грузит систему, то здесь следует рассматривать 2 сценария:

  • Компьютер заражен вирусом, который рассылает спам, добывает криптовалюту для своих создателей или передает другие данные злоумышленникам;
  • Из-за невнимательности пользователь не замечает, что вредоносный процесс лишь скрывается под личиной системной библиотеки svchost.exe, на самом деле таковой не являясь.

Если компьютер заражен вирусом, и из-за этого процесс svchost.exe грузит Windows 10 или более раннюю версию операционной системы, то следует проверить компьютер популярными антивирусами. Обязательно установите Firewall, который позволит обеспечить сетевую безопасность компьютера.

Во втором случае следует распознать зловредный файл svchost.exe, который таковым не является, а после его удалить.

Как отличить svchost.exe вирус от системного файла

Если процесс svchost.exe грузит память или центральный процессор, то следует удостовериться в достоверности файла, на который он ссылается. Для этого внимательно проверьте имя исполняемого процесса. Ниже мы приведем несколько уловок злоумышленников, которые подменяют процесс svchost.exe на другой, но близкий по названию. Чаще всего применяются следующие схемы, чтобы замаскировать вирус:

Выше перечислены лишь самые распространенные варианты замаскировать вирус, но могут быть и другие. Внимательно посмотрите, чтобы процесс назывался svchost.exe и все буквы были прописаны латиницей.

В случае если вы нашли процесс, который маскируется под svchost.exe, но таковым не является, его следует удалить. Сделать это довольно просто, если использовать программу AVZ.

Как удалить svchost.exe с помощью программы AVZ

Известная антивирусная утилита AVZ способна обнаруживать и удалять нежелательные программы, в том числе и вирусные. Она распространяется бесплатно и обладает множеством полезных функций. Плюс программы AVZ в том, что ее не надо устанавливать на системный диск. AVZ можно запустить с флешки, внешнего жесткого диска или прямо из скачанного архива.

Чтобы удалить файл svchost.exe с использованием утилиты AVZ, необходимо выполнить следующие действия:


begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile("путь к вирусу ",""); DeleteFile("путь к вирусу "); BC_ImportAll; ExecuteSysClean; ExecuteWizard("TSW",2,3,true); BC_Activate; RebootWindows(true); end.

Вместо выделенных красным слов «Путь к вирусу» необходимо прописать местоположение вирусного процесса svchost. Выше мы уже рассказывали как определить где находится вирусный файл, который маскируется под svchost.exe. Копируем путь к нему (или прописываем вручную) и вставляем вместо выделенным красным слов. Внимание: Кавычки из скрипта удалять нельзя – только буквы выделенные красным.


После успешного удаления файла, который выдавал себя за svchost.exe, настоятельно рекомендуем проверить компьютер на наличие вирусов. Велика вероятность, что одна из программ генерирует новые файлы, которые автоматически запускаются в процессах и выдают себя за svchost.exe.

Довольно часто встречается ситуация, что компьютерные вирусы маскируются под системные процессы. Один из самых распространенных вариантов - вирус svchost.exe . Из-за того, что копий этого процесса в работе операционной системы Windows должно быть запущенно довольно много, вредоносному коду удается затеряться среди нормальных процессов системы.

Вы должны иметь представление о самом предназначении процесса svchost.exe, и уметь определять вирус, маскирующийся под этот процесс. Это необходимо для успешного удаления.

Для чего нужен процесс svchost.exe

Данный процесс используется системой Windows, для обеспечения работоспособности ее функций. Процесс обеспечивает работу сервисов и программ, которые работают с динамическими DLL библиотеками. При проверке запущенных процессов через диспетчер задач, вы увидите несколько копий svchost.exe - это совершенно нормально.

В качестве папок, в которых может располагаться системный процесс svchost.exe могут быть следующие варианты:

  • %system-disk%\windows\
  • %system-disk%\Мои документы\
  • %system-disk%\Windows\System32\drivers
  • %system-disk%\Windows\System32\
  • %system-disk%\Program Files\Common Files

Где переменная %system-disk% означает букву диска, на котором установлена операционная система Windows. Чаще всего это диск "С ".

Чтобы проверить месторасположения процесса, в диспетчере задач кликните на него правой кнопкой мыши, и выберите пункт "Открыть место хранения файла " или "Свойства ".

Если вы выбрали просмотр папки, где располагается процесс, она откроется в окне диспетчера файлов. Если вы решили просмотреть этот параметр через свойства, то вам нужен пункт "Расположение ".

Обратите внимание ! Нельзя диагностировать заражение процесса, основываясь только на его месторасположении, на системном диске.

Как вирусы маскируются под процесс svchost.exe

Большое количество копий svchost.exe, позволяет вирусным программ легко маскировать свое присутствие в системе, заменяя одну или несколько букв в названии процесса. Только если внимательно просмотреть все запущенные копии, и убедиться в корректности их названия, можно обнаружить вредоносный код (что далеко не всегда делают пользователи).

Ниже приведены варианты подмены названия.

  1. svcc host.exe - повторяется буква "c"
  2. svhost.exe - здесь наоборот, она пропущена
  3. svchostt .exe - в этом вредоносном процессе добавлена буква "t"
  4. svs host.exe - вместо буквы "c" используется "s"

Как вы можете заменить, основной алгоритм маскировки - это подставлять похожие по написанию буквы в название процесса, заменять или дублировать их.

Теперь запомните - есть только одно корректное наименование данного процесса:

SVCHOST.EXE

Как удалить вирус svchost

Если вы диагностировали у себя на компьютере зараженный процесс, и определили его месторасположение на диске, необходимо удалить его.

Для этого используется антивирусная утилита AVZ - .

После запуска программы нажимаем "Файл - выполнить скрипт ". У вас откроется окно для ввода кода.

Ниже представлен код скрипта - вам нужно скопировать его в программу.

Begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile("Укажите путь к файлу ",""); DeleteFile("Укажите путь к файлу "); BC_ImportAll; ExecuteSysClean; ExecuteWizard("TSW",2,3,true); BC_Activate; RebootWindows(true); end.

Жирным шрифтов выделены две строки - сюда вы должны вставить полный путь до вредоносного файла. Допустим, мы диагностировали в диспетчере задач вирус svcchost.exe (двойная "c " в названии), расположенный в папке c:\windows\system32 . Мы должны указать в коде скрипта вот такое значение:

c:\windows\system32\svcchost.exe

Это и будет полный путь до файла. У нас должно получиться следующее:

Если ваш компьютер подвергся заражению, обязательно проведите полное сканирование системы на вирусы.

Когда будете писать в коде скрипта путь и имя зараженного файла, используйте советы из второй главы (для определения целовой папки).

Заключение

Самый простой способ диагностировать вирус svchost.exe - это внимательно просмотреть весь список процессов в вашем диспетчере задач. Имейте ввиду - обязательно нужно просматривать процессы всех пользователей, в том числе и администраторов. Для этого отмечайте соответствующую галочку в диспетчере задач.

Svchost - системный модуль Windows, который служит для запуска различных служб. В Диспетчере задач любая из запущенных с помощью этого модуля служб определяется как «svchost».

Но существует множество вирусов, маскирующихся под svchost, самый распространенный из которых называется RAT. Неопытному пользователю персонального компьютера будет довольно сложно распознать такой вирус в Диспетчере, как впрочем, и обнаружить его во всей системе в целом. Поэтому, стоить отметить, что важным признаком наличия данного вируса в системе может стать сообщение, информирующее вас об ошибке, которая связана с svchost.exe и извещающее пользователя о том, что «память не может быть read». В этом случае необходимо предпринять действия, которые расскажут, как удалить svchost. Иначе ваш компьютер будет подвергнут серьезному сбою. Итак, давайте рассмотрим поэтапно, как нам избавиться от этого вируса.

Как уберечься от повторного заражения

Для начала необходимо обезопасить свой компьютер от повторного заражения вирусом, установив на него антивирусную программу.

Не стоит этого пугаться, так как данный способ весьма простой. Для начала, зайдите в редактор реестра и отыщите там ключ HKEY_Sоftwаre_Micrоsоft\Windоws\CurrеntVеrsion\RunSеrvicеs "PowerManager"="%WinDir%svchost.exe", после чего удалите его.

Svchost exe, как удалить, подскажет следующий шаг. Для этого откройте модуль предназначенный для управления службами Windows, найдите в списке PowerManager и, вызвав контекстное меню на данной службе, остановите ее.

Завершаем процесс вирусной программы

Третьим шагом будет завершение процесса вирусной программы.

Удаляя файлы вируса, будьте предельно осторожны, чтобы не удалить по ошибке «настоящий» svchost, который находится в папке %WINDIR%systеm32. Удалять его нельзя ни в коем случае. Поэтому перед тем как приступить к удалению, проверьте лишний раз себя на ошибку.

Svchost вирус, как удалить его окончательно, расскажет следующий шаг. Теперь нужно из реестра убрать автоматический запуск данной программы. Для этого запустите редактор реестра, отыщите и удалите в нем "svchоst" = "%WinDir%svchost.exe". Потом отыщите ключ и поменяйте его с %WINDIR%svchоst.cоm "%1" %* на "%1" %*.

Также в замене нуждается ключ . Его значение должно стать "Userinit"="%Sуstеm%usеrinit.еxe".

Ну и последний ключ, требующий изменений, это: }