Переключись: [sonikelf.ru — основное] [sonikelf.com — Форум] [sonikelf.info — новости]

Главная » Интернет защита и сетевая безопасность » Вирус SVCHOST.EXE и не вирус SVCHOST.EXE. Как определить и что делать?

Вирус SVCHOST.EXE и не вирус SVCHOST.EXE. Как определить и что делать?

Приветствую дороги друзья, читатели, посетители и прочие личности :)

Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе, заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами :)

virus

Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще :) ).

Поехали.

Что такое svchost.exe. Вирус? Куда бежать?!

Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.

svchost

Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным). Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.

Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.

Как распознать вирус svchost, а точнее гадости под него маскирующиеся

Начнем с того, что системный svchost.exe обитает исключительно в папке:

  • C:\WINDOWS\system32
  • C:\WINDOWS\ServicePackFiles\i386
  • C:\WINDOWS\Prefetch
  • С:\WINDOWS\winsxs\*

Где C:\ – диск куда установлена система, а * – длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be

Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).

Привожу несколько самых путей маскировки вирусами под этот процесс:

  • C:\WINDOWS\svchost.exe
  • C:\WINDOWS\system\svchost.exe
  • C:\WINDOWS\config\svchost.exe
  • C:\WINDOWS\inet20000\svchost.exe
  • C:\WINDOWS\inetsponsor\svchost.exe
  • C:\WINDOWS\sistem\svchost.exe
  • C:\WINDOWS\windows\svchost.exe
  • C:\WINDOWS\drivers\svchost.exe

И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:

  • svсhost.exe (вместо английской “c” используется русская “с”)
  • svch0st.exe (вместо “o” используется ноль)
  • svchos1.exe (вместо “t” используется единица)
  • svcchost.exe (2 “c”)
  • svhost.exe (пропущено “c”)
  • svchosl.exe (вместо “t” используется “l”)
  • svchost32.exe (в конец добавлено “32″)
  • svchosts32.exe (в конец добавлено “s32″)
  • svchosts.exe (в конец добавлено “s”)
  • svchoste.exe (в конец добавлено “e”)
  • svchostt.exe (2 “t” на конце)
  • svchosthlp.exe (в конец добавлено “hlp”)
  • svehost.exe (вместо “c” используется “e”)
  • svrhost.exe (вместо “c” используется “r”)
  • svdhost32.exe (вместо “c” используется “d” + в конец добавлено “32″)
  • svshost.exe (вместо “c” используется “s”)
  • svhostes.exe (пропущено “c” + в конец добавлено “es”)
  • svschost.exe (после “v” добавлено лишнее “s”)
  • svcshost.exe (после “c” добавлено лишнее “s”)
  • svxhost.exe (вместо “c” используется “x”)
  • syshost.exe (вместо “vc” используется “ys”)
  • svchest.exe (вместо “o” используется “e”)
  • svchoes.exe (вместо “st” используется “es”)
  • svho0st98.exe
  • ssvvcchhoosst.exe

Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.

process explorer

Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer, благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.

Как удалить вирус svchost.exe

В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ.
Что делаем:

  1. Скачиваем avz, распаковываем архив, запускаем avz.exe
  2. В окне программы выбираем “Файл” – “Выполнить скрипт“.
  3. Вставляем в появившееся окно скрипт:

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');
    DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.

    Где, как Вы понимаете, под словами “сюда вставлять путь к файлу (главное не перепутать кавычки)” нужно, собственно, вставить этот путь, т.е, например: C:\WINDOWS\system\syshost.exe прямо между, т.е получиться строки должны так:

    QuarantineFile('C:\WINDOWS\system\syshost.exe','');
    DeleteFile('C:\WINDOWS\system\syshost.exe');

  4. Жмем “Запустить“, предварительно закрыв все программы.
    выполнение скрипта svchost.exe
  5. Ждем перезагрузки системы
  6. Проверяем наличие файла
  7. Проводим полноценную проверку на вирусы и spyware.

Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру :)

Послесловие.

Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.
Буду рад почитать, послушать, поддержать и помочь ;)

PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла.

Тут коллега по тематике и духу попросил поделится ссылочкой на его на статью про чтение электронных книг на компьютере (ну .fb2 там и прочие). Мне не жалко, делюсь, благо, что тема полезная :)

ВАЖНО! Прежде чем писать - прочитайте комментарии, быть может, то, что Вам нужно, там уже есть. Так же, ознакомьтесь с правилами комментирования.

ВАЖНО! На случай, если у Вас проблемы с закачкой антивирусов, то на страничке "Сборки" Вы всегда можете найти альтернативные ссылки на закачку популярных антивирусных утилит (dr.web, avz, spybot и пр.)

У проекта есть свой форум. Именно там Вы можете получить ответы на многие вопросы.

Что-то пригодилось и помогло? Понравился проект? Скажите спасибо и поделитесь ссылкой с друзьями!.

Не справляетесь сами, но не хотите платить сомнительным сервисам компьютерной помощи? Попросите меня.

Комментарии. Присоединяйтесь к обсуждению!

  1. Наталья
    9 октября 2013 - 14:47

    У меня файл svchost.exe находиться на диске D:Win32:Confi[wrm]. Можно ли считать его системным файлом? Если да, то как сделать чтобы Avast не просил его удалить? Комп виснет, выдает ошибку приложения svchost.exe.. Дублирую свой вопрос от 8.10

    • саша
      18 декабря 2013 - 20:14

      это сто пудов вирус я говорю вам

  2. Наталья
    9 октября 2013 - 14:55

    откликнетесь, пожалуйста!

    • sl
      9 октября 2013 - 15:29

      уже отвечал, просто похоже мое сообщение на модерации, – качайте например DrWeb LiveCD и чистьте свой ПК раз штатный антивирус не справляется,…уппс, еще раз перечитал Ваше сообщение, теперь я сам уже ступил :D, поправка к ранее сказанному, – по вышеуказанному адресу (D:Win32:Confi[wrm]) сидит инфекция (вот гляжу я и вижу только то что большинство посетителей упорно не хотят вникать в смысл основной статьи O_o !!!), разрешите Вашему штатному антивирусу ее удалить после чего обновите антивирусные базы (если не обновлены) и произведите повторно глубокое сканирование всего Вашего ПК на инфекцию с помощью этого же Avast…

  3. Валентин
    11 октября 2013 - 00:19

    Есть другое предположение. Вытащен шнур инета, отформатирован диск, уложена винда, установлены дрова, аваст и хром: втыкаем шнур и… О чудо! SVC без промедления даёт о себе знать! Запускаем браузер – пропадает весть онлайн звук. Начинаем играться с настройками сетевой карты. При минимальных настройках и снятой задачи hosta всё летает. Выставляем максимальные настройки – сетевая как-будто вообще отсутсвует на данной машине)))) и под значком звукового устройства восклицательный предупредитель появился)))
    Люди! проверьте сетевую карту! Скорее всего проблема в ней. Мне вообще очень крупно повезло: после грозы вылетела видяха, встроенный звук и кажется таки сетевая. Завтра куплю внешнюю и попробую выиграть у своего компа ещё пол-года его жизни)))

    • sl
      11 октября 2013 - 10:16

      не обязательно, уже тоже попадались ситуации когда на какое либо устройство была негативная реакция системы, возможно и такое что просто инфекция жестко прицепилась к какому то прерыванию или же порту системы…

      Чем именно делался формат HDD ??, стандартный-встроенный в Windows (да и многие другие) форматтер от современной инфекции (буткиты, руткиты и т.д.) уже довольно давно не помогает, первым делом проверьте загрузчики (IPL, IPV и т.д.) на Вашем HDD с помощью загрузочного диска с UVS (Осторожно!, данная утилита так же как и AVZ предназначена только для специалистов в области лечения ПК!, т.е. не для рядовых пользователей! – настоятельно рекомендую прочитать инструкцию перед его применением!) скорее всего увидите мнооого чего “интересного” на своем ПК, в виде подмененных загрузочных областей (имейте ввиду если на ПК установлен загрузчик Grub и/или аналогичный, действия по очистке основной загрузочной записи необходимо предпринимать только в случае 100% уверенности что эта загрузочная запись так сказать левая, кроме того после этой очистки Grub и т.д. придется переустановить-восстановить для его правильной работы), а так же в большинстве своем сомнительных и даже опасных ключей в автозапуске, например CLSID, а так же без цифровых подписей, отсутствующих, и т.д., которые опять же в большинстве своем будут указывать на якобы не существующие файлы-библиотеки (чаще всего так маскируется полиморфная инфекция)…

      P.S. Перед процедурой лечения рекомендую сохранить все важные данные на резервный источник, например USB HDD, USB Flash (данные устройства-диски так же должны предварительно быть проверены) все процедуры по очистке-замене загрузочных областей на разделах HDD (если Вы все же собрались их заменить самостоятельно) рекомендую выполнять только на неактивной ОС с помощью загрузочного диска с UVS, в противном случае в активной ОС и при наличии “вредной” инфекции Вы рискуете потерять целые разделы или же весь HDD (некоторые вирусы пытаются блокировать замену загрузочных областей и делают разделы не читаемыми, – обычно это RAW структура)…

  4. eqmlista
    14 ноября 2013 - 15:08

    Вот и у меня вчера появилась эта проблема, svchost.exe на 99% загружает процессор, все рекомендованные Вами программы показывают его, файл, в C:Windows/system32 и ни одна, как вредоносная программа. AnVir Task Manager видит, что она перегружает компьютер, но обозначает его как оч.хороший. Вот и сейчас я могу работать на компе, только остановив этот процесс, но не работает ни одно звуковое устройство, как впрочем и должно быть. И вот что делать и как быть уже не знаю.

  5. Лёша
    16 ноября 2013 - 20:11

    Добрый вечер! Сделал как всё написано в статье только в скрипте указал на оригинальный файл svchost который находился: “C:\WINDOWS\system32\svchost.exe” комп перзагрузился, после ОС стала с ограниченной функциональностью (классический вид окон, нет звука, ничего не копируется).
    Через некоторое время мне удалось востановить файл svchost.exe (с другого винчестера) на своё прежнее место, но это не помогло, так же пытался (пуск-> выполнить-> sfc /scannow) тоже не помогло, пытался востановить через “консоль востановления” результатов нет, всё как и прежде.

    Вопрос: как запустить svchost.exe?
    Нужно ли переустанавливать ОС (что очень затруднительно, для этого компьютера)?
    Возможно ли нормальная работа ОС?

    • Данилка
      15 декабря 2013 - 12:55

      Тоже столкнулся. Но помогло восстановление системы =)

  6. Жду скорого отаета
    17 ноября 2013 - 19:29

    Такая проблема: включил ПК, вылетела табличка(первый раз) “запустить программу от имени администратора: svchost.exe”. Я нажал ” да” . Через несколько секунд вылетела табличка” возможно эта программа работает некорректно” я случайно нажал”зауптить от имени администратора”, прочитал статью, действительно был вирус (для тех кто незнал на win 7 размер svchost.exe равен 40-42 кб, он же был 82 кб(материал уже из другой статьи)) удалил, открыл steam от имени админимтратора, все вышло, файл опять возвратился на свое место(автор у тебя допущена небольшая ошибка в C:/Windows/ обязательно должен быть файл svchost.exe, иначе не зауститься не одно приложени) но все время стало высвечиваться окно с “запустом от имеи администратора” помогите, как исправить? Заранее спасибо.

  7. sl
    19 ноября 2013 - 10:34

    eqmlista

    а посмотреть в том же AnvirTaskManager чем именно занят этот процесс не судьба ?? – подсказка (если не настроена программа) на панели управления вкладка Вид поставить галку на пункте, Детальная информация, а так же для каждой вкладки (Автозагрузка, Приложения, Процессы, Сервисы, Лог) установить галки (там же на вкладке Вид-Столбцы) поставить галки в неактивных пунктах, далее в меню Детальная информация проставить недостающие галки и настройки в закладках Свойства, Версия, DLL, Файлы, Соединения, Производительность и т.д., после чего внимательно просмотреть все пункты в вышеназванных закладках на предмет прожорливого приложения отъедающего ресурсы у перегруженного процесса svchost.exe…

    Лёша

    для такого рода решения проблем предварительно вообще то сначала делают: 1) резервную копию реестра, 2) и бекап системного раздела,…что же касается скрипта, в начале, “разберите” какие именно изменения он произвел в том же реестре,…кроме того, тот же AVZ делает бэкапы вносимых изменений (естественно если это было заложено в скрипт) которые находятся (автосоздаются) в корне папки с этой программой,…(если не поможет или же не сохранен бэкап) как вариант импорт соответствующих веток реестра относящихся к удаленному ранее файлу с аналогичного ПК (с такой же версией ОС),…впредь не допускайте ранее описанных ошибок (не однократно уже подчеркивалось – будьте внимательны с производимыми изменениями!)

    Жду скорого отаета

    смотрите параметры запуска для этого файла на незараженном ПК с аналогичной версией ОС, и копируйте данные настройки на свой ПК…

    P.S. для всех, при возникновении сомнительных ситуаций рекомендую произвести полное сканирование Вашего ПК на инфекцию с помощью свежей версии любого антивирусного загрузочного диска-сканера,…и вообще многие Ваши проблемы исходят из ненастроенных должным образом ОС, как пример: включена служба удаленного реестра, открыты общие административные ресурсы, разрешен удаленный доступ, отсутствуют пароли-не отключены (в том числе на неиспользуемых) учетных записях пользователей, разрешено сканирование сети на предмет отложенных-сетевых заданий, не установлен (или же не настроен должным образом) фаервол, не установлено (или же тоже, не настроено должным образом) ПО контроля за сетевым трафиком, и т.д. и т.п.,…и все это при подключенной и фактически ни чем, как выше уже и было описано, не контролируемой (самим же пользователем) сети интернет…

    P.P.S. пока Вы не начнете более серьезно относиться к чтению и вниканию в суть возникающих проблем и их решений, а так же не начнете более тщательно защищать свой ПК от этих угроз, считаю, продолжение каких либо дискуссии – бесполезной тратой времени…

    • CorryZeron
      27 ноября 2013 - 16:13

      Подскажите, пожалуйста, svchost.exe находится C:\Users\–\AppData\Roaming\web\svchost.exe
      Нужно ли его удалять или это не вирус? (Антивирус не считает его вирусом.)
      Из-за него по несколько раз в день вылетает видеодрайвер. А из-за него потому, что как только я его выключаю в диспетчере задач – драйвер начинает работать. Но один svchost в диспетчере всё-равно остается. Множественные перестановки драйверов, установки новых и старых версий разными способами так ничего и не дали (в интернете по конкретно этой проблеме статей не нашел). Буду очень благодарен за помощь.

      • sl
        2 декабря 2013 - 10:47

        svchost должен находиться только в местах описанных в основной статье – читайте до “просветления” основную статью!…

        P.S. папки типа AppData обычно создаются так называемым Portable т.е. не зависимым-не устанавливаемым от ОС софтом, – выясняйте самостоятельно данный момент (что именно устанавливалось Вами на Ваш же ПК известно только Вам же самим), если же Вы ни чего не устанавливали (тем более что, системные файлы типа svchost как и описывается в основной статье должны находиться только в указанных-разрешенных местах!) смело удаляйте все “левое”…

  8. Oren
    5 декабря 2013 - 03:30

    все перепробывал, но ничего не выходит…
    удаление приложения проходит успешно, но при перезапуске ОНО появляется под другим ID
    что еще можно сделать???

    • sl
      5 декабря 2013 - 08:26

      1). что именно, 2). и от чего именно пробовалось, – из Вашего вопроса ничего толком не понятно ?!…

      • Oren
        5 декабря 2013 - 22:58

        проц загружен на100%, а грузит его svchost.exe
        скачал прогу.
        нашел через id процесс, попытался удалить через avz
        скрипт выполнен правильно. комп перезагрузился но проблема осталась…
        через ProcessExplorer нахожу конкретный процесс и останавливаю

        • sl
          6 декабря 2013 - 09:51

          а вот теперь уже понятно,…значит Вы до сих пор не обнаружили и не устранили “корень” возникшей проблемы, то что Вы удалили возможно является только телом вируса но не его компонентами которые способны восстанавливаться при перезагрузках ПК,…берите AnvirTask Manager или же Process Explorer и ройтесь в автозапуске и запущенных процессах и службах (предварительно конечно же настроив эти программы), устраните найденные проблемы (перед всеми процедурами рекомендую сделать бэкап системного раздела, а так же реестра системы, на независимый носитель, сохранив бэкапы на не системный раздел HDD установленный в этот ПК, далее рекомендую скопировать эти бэкапы на другой-независимый носитель, но уже из среды Live CD-DVD *nix системы, все это необходимо для того что бы снизить риск переноса инфекции на независимый источник),…далее возьмите диск с свежей загрузочной версией UVS (сейчас это версия 3.81.1) и проверьте все разделы HDD Вашего ПК на инфицирование а так же на подозрительные файлы и записи в автозапуске,…в любом случае процесс поиска и устранения проблемы обычно длителен и трудоемок, что бы найти и устранить проблему от Вас потребуется усидчивость и внимательность, – вирусная инфекция обычно как говорится “на поверхности не валяется”…

  9. eqmlista
    5 декабря 2013 - 22:45

    Всё перепроверил,как написано, но безрезультатно. Самое интересное, что перегрузка появляется только при включенных модемах, как по проводам, так и посредством Вай-Фай, но не сразу, а через какой-то промежуток времени иногда до 1 часа. При попытки перезапустить процесс – иногда получается, а иногда что-то пропадает из тех служб, которыми этот файл управляет, но всё время разные, так чтобы два раза подряд был один и тот же эффект ещё не было. У меня стоит лицензионный Нод32 – ничего не видит, ни аваст, ни Касперский, ни др.Веб- тоже.

    • eqmlista
      5 декабря 2013 - 22:49

      В догонку: если работает какая-либо другая программа, которая требует много ресурса или несколько программ, этот самый “свхост”, как бы делится пространством, снижая свою прожорливость, но так чтобы загрузка ЦП была 100%.

      • sl
        6 декабря 2013 - 09:56

        первым делом переустановите (удалить-перезагрузить-затем вновь установить) драйвера проблемных устройств, если не поможет то дальнейшие действия аналогичны посту выше…

  10. sl
    6 декабря 2013 - 10:04

    …если же по каким либо причинам, самостоятельно, Вам не удается найти и устранить возникшую проблему (такое тоже возможно иначе бы все проблемы решались влет :)), рекомендую обращаться на специализированные сайты (Вирустотал, Вирусинфо и т.д.) занимающиеся поиском и лечением вирусной инфекции…

  11. 9 декабря 2013 - 10:06

    Как вариант :)

  12. Назар
    9 декабря 2013 - 18:30

    Не помогает

    • sl
      11 декабря 2013 - 08:16

      хех, мне такого рода сообщения напоминают один из анекдотов, где Петька с Василием Ивановичем сидят за штурвалом самолета и:

      Василий Иванович – Петька, прибор ?!,
      Петька – 200 !,
      Василий Иванович – чего 200 ??,
      Петька – а чего прибор ??

      :smile:

  13. Roman
    16 декабря 2013 - 20:27

    У меня вроде пропало )))) я в поиске в был svchost.exe и мне выдало где что находиться а потом авз и все вроде убил )) Спасибо полезная статья !!!!!!!!!

  14. Viatka61
    17 декабря 2013 - 18:55

    В диспетчере задач тоже появилась svchost.exe.Поиском нашел вот эти 2-SVCHOST.EXE-3530F672.pf папка С:\WINDOWS\Prefetch и svchost папка С;\WINDOWS\sistem32.Подскажите пожалуйста,который нужно удалять?

    • 17 декабря 2013 - 22:57

      Если sistem32, а не system32, то его.

    • саша
      18 декабря 2013 - 20:20

      1обязательно удалите второй не трогайте

      • sl
        19 декабря 2013 - 15:05

        саша

        внимательнее надо бы быть, Sonikelf правильно уже подсказал, sistem32, & system32, обращайте внимание на детали !…

  15. Антон
    21 декабря 2013 - 00:47

    Спасибо заработало!
    Но спустя какое то время опять такая же ситуация…
    Повторил попытку…снова заработало…интересно что будет дальше!

    • sl
      23 декабря 2013 - 10:39

      Антон…как бы по проще объяснить то,…Вы сейчас как при уборке комнаты, – с пола, смываете грязные следы, но забываете при этом отмыть саму обувь, которой собственно то и следите, : в общем удаляете последствия, забывая найти и удалить саму причину данной проблемы :)…

  16. Шахмурат
    28 марта 2014 - 13:21

    аваст нашел этот вирус и закинул в карантин и все равно компьютер при подключении к интернету виснет

    • 28 марта 2014 - 14:08

      Значит не факт, что дело только в этом вирусе. Попробуйте Dr.WebLiveCD

Комментарий может появиться не сразу или попасть в спам.