Заметки Сис.Админа

Вирус SVCHOST.EXE и не вирус SVCHOST.EXE. Как определить и что делать?

Приветствую дороги друзья, читатели, посетители и прочие личности :)

Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе, заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами :)

virus

Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще :) ).

Поехали.

Что такое svchost.exe. Вирус? Куда бежать?!

Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.

svchost

Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным). Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.

Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.

Как распознать вирус svchost, а точнее гадости под него маскирующиеся

Начнем с того, что системный svchost.exe обитает исключительно в папке:

  • C:\WINDOWS\system32
  • C:\WINDOWS\ServicePackFiles\i386
  • C:\WINDOWS\Prefetch
  • С:\WINDOWS\winsxs\*

Где C:\ — диск куда установлена система, а * — длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be

Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).

Привожу несколько самых путей маскировки вирусами под этот процесс:

  • C:\WINDOWS\svchost.exe
  • C:\WINDOWS\system\svchost.exe
  • C:\WINDOWS\config\svchost.exe
  • C:\WINDOWS\inet20000\svchost.exe
  • C:\WINDOWS\inetsponsor\svchost.exe
  • C:\WINDOWS\sistem\svchost.exe
  • C:\WINDOWS\windows\svchost.exe
  • C:\WINDOWS\drivers\svchost.exe

И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:

  • svсhost.exe (вместо английской «c» используется русская «с»)
  • svch0st.exe (вместо «o» используется ноль)
  • svchos1.exe (вместо «t» используется единица)
  • svcchost.exe (2 «c»)
  • svhost.exe (пропущено «c»)
  • svchosl.exe (вместо «t» используется «l»)
  • svchost32.exe (в конец добавлено «32»)
  • svchosts32.exe (в конец добавлено «s32″)
  • svchosts.exe (в конец добавлено «s»)
  • svchoste.exe (в конец добавлено «e»)
  • svchostt.exe (2 «t» на конце)
  • svchosthlp.exe (в конец добавлено «hlp»)
  • svehost.exe (вместо «c» используется «e»)
  • svrhost.exe (вместо «c» используется «r»)
  • svdhost32.exe (вместо «c» используется «d» + в конец добавлено «32»)
  • svshost.exe (вместо «c» используется «s»)
  • svhostes.exe (пропущено «c» + в конец добавлено «es»)
  • svschost.exe (после «v» добавлено лишнее «s»)
  • svcshost.exe (после «c» добавлено лишнее «s»)
  • svxhost.exe (вместо «c» используется «x»)
  • syshost.exe (вместо «vc» используется «ys»)
  • svchest.exe (вместо «o» используется «e»)
  • svchoes.exe (вместо «st» используется «es»)
  • svho0st98.exe
  • ssvvcchhoosst.exe

Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.

process explorer

Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer, благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.

Как удалить вирус svchost.exe

В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ.
Что делаем:

  1. Скачиваем avz, распаковываем архив, запускаем avz.exe
  2. В окне программы выбираем “Файл” – “Выполнить скрипт“.
  3. Вставляем в появившееся окно скрипт:

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');
    DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.

    Где, как Вы понимаете, под словами «сюда вставлять путь к файлу (главное не перепутать кавычки)» нужно, собственно, вставить этот путь, т.е, например: C:\WINDOWS\system\syshost.exe прямо между », т.е получиться строки должны так:

    QuarantineFile('C:\WINDOWS\system\syshost.exe','');
    DeleteFile('C:\WINDOWS\system\syshost.exe');

  4. Жмем «Запустить«, предварительно закрыв все программы.
    выполнение скрипта svchost.exe
  5. Ждем перезагрузки системы
  6. Проверяем наличие файла
  7. Проводим полноценную проверку на вирусы и spyware.

Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру :)

Послесловие.

Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.
Буду рад почитать, послушать, поддержать и помочь 😉

PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла.

Тут коллега по тематике и духу попросил поделится ссылочкой на его на статью про чтение электронных книг на компьютере (ну .fb2 там и прочие). Мне не жалко, делюсь, благо, что тема полезная :)

  1. Константин
    9 мая 2015 - 14:17

    Прочитал статью, очень подробно тут все описано. Но ответа на свой вопрос я так и не нашел(
    Проверил все свои svchost.exe процессы, а их оказалось аж 13, ни один из них не оказался вирусом. Все дружно живут в C:\WINDOWS\system32 и делят один файл. Но время от времени один, повторяю только один из них становится очень прожорливым и хавает почти 900 метров (скрин — https://pp.vk.me/c625327/v625327606/32d49/QlrJzw_4BKs.jpg). Из-за чего комп сильно лагает.

    Почему этот процесс становится таким прожорливым?

    • 9 мая 2015 - 16:53

      Приветствую.
      Нужно диагностировать момент прожорливости, желательно посмотреть через, например, TCPView — http://sonikelf.ru/kakie-processy-smotryat-v-internet-ili-tcpview-kak-element-setevoj-bezopasnosti/ — куда и что в этот момент стучится.

      • iNeonFox
        22 июня 2015 - 12:33

        Здраствуйте. У меня почти такая же проблемма, все svchost.exe процессы находятся в папке G:\Windows\System32, но один из них ест процессор на ~50% все время. Скачал ту программу (TCPView), но я не знаю, как ней пользоваться. Кстати, там показывается еще больше этих проццесов, чем в диспетчере задач.
        Скриншоты:
        shot.qip.ru/00KHSg-6XULWFoWx/
        shot.qip.ru/00KHSh-6yDSsDnl3/
        Спасибо за ответ.

  2. Александр
    12 мая 2015 - 20:12

    Здравствуйте! Такая проблема: статью прочёл, но никаких подобных файлов не обнаружил, в процессах много ..host-ов, но я не думаю, что это вирус. Недавно через поиск нашел файлы типа SMSчётотамSVChost.h/dll… Недавно на диске С был вирус EduAppBrowser. Удалился только через безопасный режим, но комп всё равно лагает. Вообще у меня подозрительно много процессов типа nssm.exe smss.exe wscntfy.exe и так далее. Очень прошу помочь.

  3. sl
    13 мая 2015 - 09:08

    читайте статью, читайте комменты, что осилите то и делайте =)…

    как и говорилось уже выше самое простое это скачайте DrWeb Live CD & Eset Live CD & Kaspersky Live CD и ими проверьте :)

  4. Руслан
    26 мая 2015 - 10:50

    Я один заметил открытый steam? xD

  5. Дима
    26 мая 2015 - 18:58

    автор, помогите сил уже нет лечить. ситуация такая — начались сильные лаги в вот, после проверки др веб обнаружил два трояна, один вылечил, другой не смог. проблема осталась, один из процессов svchost.exe съедает 100 мбайт памяти, но теперь ни др веб ни авз его не находят. сидит в систем 32. что делать? плиииз))

  6. Виталий
    1 июня 2015 - 08:09

    Здравствуйте, такая вот проблема, воспользовался этой программой, теперь черный экран, видно только курсор мыши! Что нужно делать теперь??)

    • Евгений
      21 июня 2015 - 00:07

      Такая же проблема. Удалил сам файл svchost и после перезагрузки черный экран. В безопасный режим также не получается зайти…

      • 21 июня 2015 - 05:16

        Потому, что Вы удалили системный svchost, а не вирусный.

  7. Daniil
    2 июня 2015 - 12:02

    пожалуйста помогите !!….у меня уже паника….AVG нашёл на моём компе троян и этот троян не один оказывается >.< да ещё те трояны находящиеся в C:\WINDOWS\system32 AVG удалить не может лишь отказал им в доступе

  8. Daniil
    2 июня 2015 - 12:06

    он вот эту ошибку выдал
    The AVG website is undergoing planned maintenance.
    Our site is currently experiencing technical difficulties.
    We are currently making improvements to our site. We sincerely apologize for the inconvenience and promise to be back up shortly. Rest assured that this website maintenance will not affect your AVG protection.
    For those of you who’ve come to the site to download our software, you can still do so at cnet.com.
    The AVG Team

  9. sl
    4 июня 2015 - 09:45

    сколько можно говорить то одно и тоже, выбирайте диск: http://www.comss.ru/list.php?c=bootcd , (качайте его на незараженном ПК) «нарезайте» (опять же на не зараженном ПК) на болванку или флэшку, загрузите свой зараженный ПК с полученного носителя (диск флэшка) и лечите свой ПК, — неужели уже это так сложно ?? О_о.

    • Daniil
      5 июня 2015 - 08:44

      да сложно…у меня это один единственный комп…и мне это если честно не совсем понятно…я с программами не в ладах….

      • sl
        5 июня 2015 - 09:10

        сочувствую, но, в любом случае, первый путь, придется скачивать вышеобозначенные образы, например в вашем случае как вариант с помощью знакомых-друзей, далее «закатывать» эти образы на болванки-флэшки, а так же параллельно читать мануалы по теме как этими образами и готовыми носителями на их основе правильно пользоваться, этот путь бесплатен, и это то что я могу порекомендовать, второй же путь предполагает то что, вы не знаете, и не хотите, в учиться самостоятельно все это освоить, этот путь предполагает только вызов специалиста на дом, будет ли это ваш знакомый, или же человек из сервис центра, решать вам.

        еще как вариант (вспомогательный), выложите логи (алерты) вашего антивируса за последнюю неделю.

        • Василий
          5 июня 2015 - 16:57

          Скромнее надо быть!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

          • sl
            7 июня 2015 - 09:37

            скромнее ?! в чем ?? О_о

  10. Галина
    9 июня 2015 - 01:14

    Большое спасибо! Выкорчевала!

  11. Дмитрий
    10 июня 2015 - 04:48

    Добрый день скажите кто знает что сделать?
    Я в общем сначала сделал потом уже ни чего не могу поделать.

    Ноутбук висел едва работал зашел и закрыл все св хосты комп завис все побелело даже я побелел подождал пять минут и вытащил батарею из компа.
    Сейчас он включается но не чего не показывается просто работает вентилятор и что сейчас делать??

    • sl
      10 июня 2015 - 08:29

      как вариант в самом начале при старте ноута жать F8, в появившемся меню выбрать запуск последней удачной конфигурации ПК,

      далее — ВНИМАТЕЛЬНО ЧИТАТЬ ОСНОВНУЮ СТАТЬЮ ДАННОГО ФОРУМА А НЕ ЗАНИМАТЬСЯ САМОДЕЯТЕЛЬНОСТЬЮ (ОТНОСИТСЯ КО ВСЕМ КТО НЕ ПОНИМАЕТ ЧТО ВООБЩЕ ДЕЛАЕТ!) что бы потом не вопить что мне делать и т.д.!

    • Василий
      10 июня 2015 - 15:30

      Интересно что за идиот научил так делать? В следующий раз просто сбросьте ноут с не ниже 9го этажа перед этим искупав его в тазике с водой комнатной температуры. После этого можете смело идти за новым в магазин!

      • 11 июня 2015 - 13:58

        Полегче с комментариями такого рода :)

        • Василий
          11 июня 2015 - 15:25

          А то что? Если человек идиот, то это надолго!

  12. Сатана
    11 июня 2015 - 01:26

    Статейка очень полезная, у меня файлик svchost.exe сидел в АппДате одного из пользователей и грузил проц на 50%. Удалил всё работает спасибо

    • 11 июня 2015 - 13:57

      Всегда пожалуйста, рады, если статья оказалась полезной

  13. Дмитрий
    18 июня 2015 - 14:14

    Василий тебя куда несет? Ты че разговаривать не умеешь нормально? Или у тебя все люди идиоты? Ты если по компьютерам че то понимаешь, то все кто что сделали не так для тебя идиоты? Свинья ты Василий!!! Умка нашелся залез еще же на сайт на этот кому то помощь нужна а он идиоты идиоты. Рот закрой свой навсегда!

  14. Coltm1911
    18 июня 2015 - 23:47

    У меня грузит систему один из svchost-ов примерно 5 мин. Сканирую антивирусником, но проблема остается

    • sl
      19 июня 2015 - 08:24

      в Process Explorer или например AnvirTask Manager жамкаете по соответствующему svchost процессу и смотрите зависимости которые взаимодействуют с данным процессом и соответственно нагружают этот процесс, далее по полученному анализу делаете выводы, т.е. смотрите уже на конкретно выявленные и загружающие этот svchost процессы.

  15. Brovastik
    24 июня 2015 - 20:21

    у меня аваст находит вирус который сидит в system32 и говорит что пытается сделать процесс Win64:Evo-gen [Susp] что мне делать ведь этот svchost от Microsoft,но еще вместе с ним там сидит svchost.exe.mui. и что с ним делать не знаю помогите пожалуйста!

    • sl
      25 июня 2015 - 08:24

      что делать ?! читать статью и комменты, благо что не так уж и много всего этого, и только потом если останутся неясности и вопросы спрашивать =).

  16. iNeonFox
    25 июня 2015 - 12:31

    Здраствуйте. У меня вот есть проблемма, все svchost.exe процессы находятся в папке G:\Windows\System32, но один из них ест процессор на ~50% все время. Проверял — вирус он или нет — он не вирус.
    Скриншоты:
    shot.qip.ru/00KHSg-6XULWFoWx/
    shot.qip.ru/00KHSh-6yDSsDnl3/
    Буду ждать ответа =)

    • sl
      25 июня 2015 - 13:57

      например от 19 июня мое сообщение прочтите внимательно.

  17. Серж
    6 июля 2015 - 02:32

    Здравствуйте, у меня антивирусное жаловался на C:\Windows\System32\svchost.exe писал что это вирус. Я прочитал вашу статью и так сделал теперь виндовс не загружается и чёрный экран. Что делать подскажите?

Отправить комментарий

Другие статьи, которые могут быть Вам интересны:
  • Как настроить роутер. Описание настроек. [опубликовано 3 сентября, 2012]
  • Как записать разговор или видеозвонок в Skype [опубликовано 7 ноября, 2013]
  • Как правильно выбрать процессор? Критерии выбора и руководство пользователя для всех и вся [опубликовано 26 апреля, 2013]
  • Собираем информацию о системе [Speccy] [опубликовано 21 января, 2012]
  • Как сделать снимок экрана в программе или игре [Screener] [опубликовано 28 мая, 2008]