Заметки Сис.Админа

Вирус SVCHOST.EXE и не вирус SVCHOST.EXE. Как определить и что делать?

Приветствую дороги друзья, читатели, посетители и прочие личности :)

Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе, заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами :)

virus

Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще :) ).

Поехали.

Что такое svchost.exe. Вирус? Куда бежать?!

Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.

svchost

Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным). Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.

Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.

Как распознать вирус svchost, а точнее гадости под него маскирующиеся

Начнем с того, что системный svchost.exe обитает исключительно в папке:

  • C:\WINDOWS\system32
  • C:\WINDOWS\ServicePackFiles\i386
  • C:\WINDOWS\Prefetch
  • С:\WINDOWS\winsxs\*

Где C:\ — диск куда установлена система, а * — длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be

Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).

Привожу несколько самых путей маскировки вирусами под этот процесс:

  • C:\WINDOWS\svchost.exe
  • C:\WINDOWS\system\svchost.exe
  • C:\WINDOWS\config\svchost.exe
  • C:\WINDOWS\inet20000\svchost.exe
  • C:\WINDOWS\inetsponsor\svchost.exe
  • C:\WINDOWS\sistem\svchost.exe
  • C:\WINDOWS\windows\svchost.exe
  • C:\WINDOWS\drivers\svchost.exe

И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:

  • svсhost.exe (вместо английской «c» используется русская «с»)
  • svch0st.exe (вместо «o» используется ноль)
  • svchos1.exe (вместо «t» используется единица)
  • svcchost.exe (2 «c»)
  • svhost.exe (пропущено «c»)
  • svchosl.exe (вместо «t» используется «l»)
  • svchost32.exe (в конец добавлено «32»)
  • svchosts32.exe (в конец добавлено «s32»)
  • svchosts.exe (в конец добавлено «s»)
  • svchoste.exe (в конец добавлено «e»)
  • svchostt.exe (2 «t» на конце)
  • svchosthlp.exe (в конец добавлено «hlp»)
  • svehost.exe (вместо «c» используется «e»)
  • svrhost.exe (вместо «c» используется «r»)
  • svdhost32.exe (вместо «c» используется «d» + в конец добавлено «32»)
  • svshost.exe (вместо «c» используется «s»)
  • svhostes.exe (пропущено «c» + в конец добавлено «es»)
  • svschost.exe (после «v» добавлено лишнее «s»)
  • svcshost.exe (после «c» добавлено лишнее «s»)
  • svxhost.exe (вместо «c» используется «x»)
  • syshost.exe (вместо «vc» используется «ys»)
  • svchest.exe (вместо «o» используется «e»)
  • svchoes.exe (вместо «st» используется «es»)
  • svho0st98.exe
  • ssvvcchhoosst.exe

Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.

process explorer

Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer, благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.

Как удалить вирус svchost.exe

В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ.
Что делаем:

  1. Скачиваем avz, распаковываем архив, запускаем avz.exe
  2. В окне программы выбираем “Файл” – “Выполнить скрипт“.
  3. Вставляем в появившееся окно скрипт:

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');
    DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.

    Где, как Вы понимаете, под словами «сюда вставлять путь к файлу (главное не перепутать кавычки)» нужно, собственно, вставить этот путь, т.е, например: C:\WINDOWS\system\syshost.exe прямо между », т.е получиться строки должны так:

    QuarantineFile('C:\WINDOWS\system\syshost.exe','');
    DeleteFile('C:\WINDOWS\system\syshost.exe');

  4. Жмем «Запустить«, предварительно закрыв все программы.
    выполнение скрипта svchost.exe
  5. Ждем перезагрузки системы
  6. Проверяем наличие файла
  7. Проводим полноценную проверку на вирусы и spyware.

Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру :)

Послесловие.

Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.
Буду рад почитать, послушать, поддержать и помочь 😉

PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла.

Тут коллега по тематике и духу попросил поделится ссылочкой на его на статью про чтение электронных книг на компьютере (ну .fb2 там и прочие). Мне не жалко, делюсь, благо, что тема полезная :)

  1. Ivan
    15 августа 2015 - 05:44

    Помогите пожалуйста, Svchost грузи ЦП на 25% оперативку на 15% не запуская ничего. он находится в папке систем32 думаю что не вирус. svchost.exe (netsvcs) PID:1060,в этом же процессе в корне ещё один svchost.exe );ocal servise ну и тд) PID:3724 . подскажите что делать грузит постоянно систему

    • sl
      15 августа 2015 - 19:04

      тоже что и всем, в первую очередь внимательно читать основную статью (в данном случае в начале все что касается Process Explorer, или его аналогов, а так же как с этим ПО собственно работать, и что делать с получаемыми из него данными), ну и собственно анализ полученных данных (на данный момент есть только PID, и местонахождение файлов, и ни слова например о версии и разрядности ОС, а так же с чем именно эти процессы взаимодействуют, т.е. нет никаких данных о дочерних процессах которые собственно и что то там грузят на ПК).

      • Ivan
        18 августа 2015 - 09:27

        OC 7 максимальная sp 1, х64 разрядная.а так снимок экрана бы показал тут вроде прикреплять нельзя фаил

        • sl
          18 августа 2015 - 14:58

          скрины не обязательны, запустите Process Explorer или Anvir Task Manager отсейте процессы жрущие ресурсы, и проанализируйте их.

          • sl
            18 августа 2015 - 15:02

            кстати, обязательно необходимо запускать данные приложения от имени администратора ввиду стандартно применяющихся в данной системе ограничений в правах пользователя, в противном случае выше описанные приложения будут работать не корректно!.

        • 18 августа 2015 - 16:08

          Можно ссылкой на сторонний обменник. А вообще лучше конечно на форуме у нас тему создавать.

  2. sl
    18 августа 2015 - 16:34

    все может быть — все быть может, хе хе я гуголплекс информации в секунду хе хе :D…

  3. sl
    18 августа 2015 - 16:40

    антиспам и движок сайта несколько странный, то безвозвратно лопает сообщения, то вставляет комментарии не пойми как и не пойми куда :D.

    • 18 августа 2015 - 18:07

      Подозреваю, что это у него только к Вам такое отношение :)

      • sl
        19 августа 2015 - 07:35

        уже прояснилось, — виноват региональный пров со своим кеширующим и не совсем корректно работающим оборудованием (хе хе при ближайшем рассмотрении выявилось так много глюков на его серверах, просто жесть) :D…

  4. Виктор Меркулов
    24 августа 2015 - 00:51

    Да большое спасибо за статью, за разъяснение! Немного меня успокоили! А то последнее время я обратил внимание, вроде ничего особого в Интернете не открываю, не качаю, а модем работает на всю катушку. Открыл диспетчер задач у меня этих svchost.exe – Хост-процесс для служб Windows на ноутбуке (которым все же редко пользуюсь в основном сижу за стационарным компьютером) набралось 13 штук тоже хорошего мало. Если попадется вирус, вряд ли я его замечу, (буквы могу не различить, и быть может цифру от буквы), но все же теперь могу быть более внимательным! Надежда хоть какая-то на Касперского. Так что еще раз большое спасибо за разъяснение!!!

  5. Виктор Меркулов
    24 августа 2015 - 01:04

    По разъяснениям заметно что прекрасно знаете свое на мой взгляд очень важное и полезное для всех дело!!!

  6. Карен
    31 августа 2015 - 11:00

    Подскажите что делать svchost нагружает ЦП 99%!!!Скажите это вирус или нет?

    • sl
      31 августа 2015 - 20:44

      Карен где анализ по данному процессу ?!

      и все решения данной проблемы описаны довольно подробно в статье и в комментах…

Отправить комментарий