Переключись: [sonikelf.ru — основное] [sonikelf.com — Форум] [sonikelf.info — новости]

Главная » Интернет-защита и сетевая безопасность » Вирус SVCHOST.EXE и не вирус SVCHOST.EXE. Как определить и что делать?

Вирус SVCHOST.EXE и не вирус SVCHOST.EXE. Как определить и что делать?

Приветствую дороги друзья, читатели, посетители и прочие личности :)

Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе, заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами :)

virus

Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще :) ).

Поехали.

Что такое svchost.exe. Вирус? Куда бежать?!

Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.

svchost

Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным). Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.

Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.

Как распознать вирус svchost, а точнее гадости под него маскирующиеся

Начнем с того, что системный svchost.exe обитает исключительно в папке:

  • C:\WINDOWS\system32
  • C:\WINDOWS\ServicePackFiles\i386
  • C:\WINDOWS\Prefetch
  • С:\WINDOWS\winsxs\*

Где C:\ — диск куда установлена система, а * — длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be

Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).

Привожу несколько самых путей маскировки вирусами под этот процесс:

  • C:\WINDOWS\svchost.exe
  • C:\WINDOWS\system\svchost.exe
  • C:\WINDOWS\config\svchost.exe
  • C:\WINDOWS\inet20000\svchost.exe
  • C:\WINDOWS\inetsponsor\svchost.exe
  • C:\WINDOWS\sistem\svchost.exe
  • C:\WINDOWS\windows\svchost.exe
  • C:\WINDOWS\drivers\svchost.exe

И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:

  • svсhost.exe (вместо английской «c» используется русская «с»)
  • svch0st.exe (вместо «o» используется ноль)
  • svchos1.exe (вместо «t» используется единица)
  • svcchost.exe (2 «c»)
  • svhost.exe (пропущено «c»)
  • svchosl.exe (вместо «t» используется «l»)
  • svchost32.exe (в конец добавлено «32»)
  • svchosts32.exe (в конец добавлено «s32″)
  • svchosts.exe (в конец добавлено «s»)
  • svchoste.exe (в конец добавлено «e»)
  • svchostt.exe (2 «t» на конце)
  • svchosthlp.exe (в конец добавлено «hlp»)
  • svehost.exe (вместо «c» используется «e»)
  • svrhost.exe (вместо «c» используется «r»)
  • svdhost32.exe (вместо «c» используется «d» + в конец добавлено «32»)
  • svshost.exe (вместо «c» используется «s»)
  • svhostes.exe (пропущено «c» + в конец добавлено «es»)
  • svschost.exe (после «v» добавлено лишнее «s»)
  • svcshost.exe (после «c» добавлено лишнее «s»)
  • svxhost.exe (вместо «c» используется «x»)
  • syshost.exe (вместо «vc» используется «ys»)
  • svchest.exe (вместо «o» используется «e»)
  • svchoes.exe (вместо «st» используется «es»)
  • svho0st98.exe
  • ssvvcchhoosst.exe

Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.

process explorer

Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer, благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.

Как удалить вирус svchost.exe

В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ.
Что делаем:

  1. Скачиваем avz, распаковываем архив, запускаем avz.exe
  2. В окне программы выбираем “Файл” – “Выполнить скрипт“.
  3. Вставляем в появившееся окно скрипт:

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');
    DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.

    Где, как Вы понимаете, под словами «сюда вставлять путь к файлу (главное не перепутать кавычки)» нужно, собственно, вставить этот путь, т.е, например: C:\WINDOWS\system\syshost.exe прямо между », т.е получиться строки должны так:

    QuarantineFile('C:\WINDOWS\system\syshost.exe','');
    DeleteFile('C:\WINDOWS\system\syshost.exe');

  4. Жмем «Запустить«, предварительно закрыв все программы.
    выполнение скрипта svchost.exe
  5. Ждем перезагрузки системы
  6. Проверяем наличие файла
  7. Проводим полноценную проверку на вирусы и spyware.

Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру :)

Послесловие.

Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.
Буду рад почитать, послушать, поддержать и помочь ;)

PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла.

Тут коллега по тематике и духу попросил поделится ссылочкой на его на статью про чтение электронных книг на компьютере (ну .fb2 там и прочие). Мне не жалко, делюсь, благо, что тема полезная :)

ВАЖНО! Прежде чем писать - прочитайте комментарии, быть может, то, что Вам нужно, там уже есть. Так же, ознакомьтесь с правилами комментирования.

У проекта есть свой форум. Именно там Вы можете получить ответы на многие вопросы.

Что-то пригодилось и помогло? Понравился проект? Скажите спасибо и поделитесь ссылкой с друзьями!.

Не справляетесь сами, но не хотите платить сомнительным сервисам компьютерной помощи? Попросите меня.

Комментарии. Присоединяйтесь к обсуждению!

  1. Ольга
    28 мая 2014 - 08:50

    У меня НОД32 написал что в D:\Windows\System32\svchost.exe (у меня на этом диске все)обнаружен Троянский вирус — очистка невозможна. Комп глючит, Хром, Опера не открываются. что можно сделать? Можно ли заменить svchost.exe (может скачать где-нить) ?

    • sl
      3 июня 2014 - 09:37

      Ольга, во первых, без паники (давно здесь не появляюсь и все все еще на том же месте в большинстве топчутся :D,…опять же не читаете рекомендации, не однократно ранее уже онаписанные :)) :),…во вторых, качайте DrWeb Cureit например и на полное сканирование свой ПК с максимальными настройками эвристики (с отключенным после закачки интернетом, — желательно), а фраза «у меня на этом диске все» тоже не смертельна, — учитесь пользоваться LiveCD сборками которых в сети тоже кстати море просто напросто и большинство проблем с инфекцией покажутся Вам детским лепетом :)…

  2. Алексей
    3 июня 2014 - 20:28

    А у меня DrWeb Cureit постояно обнаруживает svchost.exe:1804 в оперативной памяти. Находит их 11 (одиннадцать) штук, сразу обезвреживает без моего вмешательства 1 (один), и пишет что очень сожалеет, но больше ничем помочь не может. И так каждую проверку, хоть через каждые полчаса. Поиск не дает адреса гнезда. Вирус? Как лечить?

    • sl
      5 июня 2014 - 09:57

      возможно что и вирус, по идее необходим более тщательный анализ для окончательного вердикта,… кстати что показывает сканирование с помощью AVZ ??, если им не умеете пользоваться то так же можно для начала загрузиться с свежей версии DrWeb Live CD и проверить ей (так же с максимальной эвристикой) полностью весь ПК,…или же попробуйте просканировать ПК (так же полностью) с помощью других Live CD антивирусных решений (но тоже только свежих версий)…

  3. Вадим
    30 июня 2014 - 16:32

    Здравствуйте, существует такая проблема:через какое-то время после перезагрузки отключается брандмауэр и вместе с ним перекрывается доступ к расшаренным папкам на этом компьютере.Хотя зайти к нему через радмин получается. При попытке его запустить кидает ошибку: не удалось запустить службу брандмауэр/общий доступ… и ошибка 5:отказано в доступе.
    После перезагрузки все снова работает. В логе нашел такие записи:Faulting application name: svchost.exe, version: 5.1.2600.5512, time stamp: 0xAcGenral.dll
    Faulting module name: 5.1.2600.5512, version: 000116e2, time stamp: 0x(null)
    Exception code: 0x(null)
    Fault offset: 0x(null)
    Faulting process id: 0x(null)
    Faulting application start time: 0x(null)
    Faulting application path: (null)
    Faulting module path: (null)
    Report Id: (null)
    Все это чудо стало происходить после установки xp sp3. Уже пробовал устанавливать все службы в состояние по умолчанию и перезапускал брандмауэр. На компе стоит обновленный нод4. В крайнем случае переустановлю, но если кто сталкивался, то буду признателен за советы.

    • sl
      3 июля 2014 - 15:25

      NOD как и любой другой антивирус не гарантирует 100% защиту !,…кроме SP3 другие, более новые, как минимум, критические, обновления, установлены ?! если нет то обязательно поставьте, далее, проверка системы с помощью команды sfc/ scannow, затем по накатанной, DrWeb LiveCD & G Data LiveCD и полное сканирование ПК, у Вас на данный момент как минимум там сидит троян или руткит…

  4. Алексей
    12 августа 2014 - 15:39

    Здравствуйте! У меня после выполнение скрипта не удалились svchost.exe. Хотя их путь C:\WINDOWS\system\svchost.exe. Пробовал вашим скриптом, обычным сканирование AVZ всего ПК с макс. эвристикой — нашел другие вирусы, но не svchost.exe. Подскажите, что делать?

    • sl
      15 августа 2014 - 10:25

      Как минимум DrWeb Live CD Вам в помощь (уже не один раз об этом было написано, все просто как дважды два)…

      И вообще что за ОС, и применялся ли при сканировании с помощью AVZ параметр AVZGuard (во включенном состоянии данная опция не позволяет инфекции «расползаться» по ПК) ??…

      • Алексей
        16 августа 2014 - 01:11

        AVZGuard не включал.

        • Алексей
          16 августа 2014 - 02:25

          Пробовал включить эту функцию, выдает ошибку. Просканил ещё раз с АВЗ — безрезультатно. Буду пробовать с DrWeb Live CD

          • sl
            19 августа 2014 - 23:13

            Алексей Вы не ответили на один из важных вопросов, — что за ОС (Операционная Система) установлена на Вашем ПК ??…

          • Алексей
            21 августа 2014 - 02:35

            Windows 7 Home Basic. Сегодня переустановил систему, вроде бы пока тихо. Свхостов много но они в нужной папке (system32). Но обнаружил другую проблему, если до переустановки. В интернет магазинах зачастую кнопки не нажимались типо «купить» «выбрать другой материал» сначала грешил на сайты, потом начало повторятся и на других. Подумал на вирусы, но и после переустановки системы( на ту же самую) проблема повторилась. Ранее всегда пользовался одной системой и устанавливал с этого же диска. Ничего подобного не наблюдал… Очень и очень странно.

      • Алексей
        21 августа 2014 - 13:08

        Пользуюсь антивирусом Аваст(бесплатной версией). Всегда при установке системы, ставлю его первым делом.

        П.С: Извините за назойливость)

        • sl
          22 августа 2014 - 08:38

          тогда понятно почему не запустился AVZ Guard на семерке он вроде и не должен работать, особенность AVZ, вроде, …что касается переустановки ОС, ранее я уже описывал эту процедуру (если хотите избавиться от всех глюков предыдущей установки), необходимо полностью переформатировать HDD и заново его переразметить (например с загрузочного диска Acronis, утилитой Acronis Disk Director), и «забить» все вновь созданные разделы «мусором» с помощью загрузочного диска например Victoria или аналогичным ПО для работы с HDD, только таким образом уйдут все предыдущие глюки, в противном же случае обычный формат диска, даже из загрузочного диска с установщиком ОС Windows эти проблемы не решит, обычное форматирование фактически представляет из себя затирание оглавлений оставляя само содержимое не тронутым на этом HDD, простой пример, книга, считайте что при форматировании удалено ее оглавление, содержание, ссылки на страницы, сами же страницы остаются фактически не тронутыми, за исключением случаев возникновения бедов, да и то только эти беды будут удалены-затерты, все остальное все так же останется, поэтому действительно чистовая установка возможна только после намеренного, полного, затирания всего HDD с помощью спец ПО…

          • Алексей
            22 августа 2014 - 13:42

            Благодарю за ответ! В самое ближайшее время займусь этой процедурой. И обязательно напишу о результате!!

  5. sl
    22 августа 2014 - 15:33

    Алексей не забудьте только предварительно сохранить важные данные на другой, обычно это внешний, например USB HDD, носитель, делать это желательно с помощью Live CD, желательно какого нибудь *nix диска (Ubuntu и т.д.) в противном случае после форматирования и очистки основного HDD восстановить затертое будет практически не реально, работать же в дальнейшем с этим USB HDD предпочтительно только после настроек (патчи и прочее закрытие брешей ОС) и установки и настройки хорошей защиты (соответствующее антивирусное ПО) а так же после всего этого сразу же создайте резервную копию раздела с установленной и настроенной ОС (например с помощью загрузочного диска с утилитой Acronis True Image, — созданную копию раздела предпочтительно так же хранить на внешнем USB HDD), и только после этого можно будет работать с сохраненными файлами из установленной ОС,…это как говорится минимально необходимые требования для сохранения полноценной работоспособности ОС,…кстати, учитесь пользоваться фаерволом, как минимум половина проблем отпадет при его правильном использовании и настройке…

  6. Максим
    2 сентября 2014 - 14:22

    Здравствуйте. У меня показывает, что файл svchost.exe находится в папке C:\Windows\SysWOW64.
    Установлена windows 7 x64. Это виру с или нет?

    • 2 сентября 2014 - 21:20

      Это нормально

      • Максим
        2 сентября 2014 - 22:18

        Но как раз он и грузит цп на 100%. Тепмература цп при этом доходит почти до 90 градусов.
        Каждый раз приходится закрывать процесс.
        И что делать?

        • sl
          3 сентября 2014 - 15:53

          Максим с помощью Process Explorer или Anvir Task Manager смотрите что именно грузит Ваш svchost.exe, конкретно сортировка по загрузке процессора & анализ зависимых файлов & процессов, далее в отсортированных зависимых файлах & процессах так же поиск по загрузке процессора, так и найдете виновника этого безобразия :)…

          • Максим
            3 сентября 2014 - 23:33

            Спасибо за ответ

  7. Ольга
    17 сентября 2014 - 16:57

    Здравствуйте. Не заходит вконтакт. Выводит белую страницу. Почистила host. Теперь выводит что страниа заблокирована. Действую дальше по вашей инструкции.. но все host., которые выходят в поиске под описания вирусов не попадают. Все в правильных папках. только названия..

    SVCHOST.EXE-05F624AB.pf — тип файла .pf
    svchost.exe.mui — тип фала .mui
    svchost.exe.mui
    x86_microsoft-windows-wmi-core-svc_31bf3856ad364e35_6.1.7601.17514_none_a2ba25bb55333799_winmgmt.exe_8f8eb7b1 — длинный непонятный, но он в правильной папке.
    SvcIni.exe — тип файла приложение.
    SvcIni.exe — тип файла приложение.

    Еще третий такой же, тип приложение. И еще два svchost.exe. тип файла приложение.

    о.о. Помогите, пожалуйста.

    • sl
      18 сентября 2014 - 08:39

      Ольга самый простой для Вас способ будет зайдя например на сервис вирус тотал просто напросто онлайн проверить все вызывающие у Вас подозрение файлы на инфекцию :)…

      • Ольга
        18 сентября 2014 - 16:48

        Проверила. Подозрительными счел только куки. Но они пустые. сейчас детально пробую открыть каждую папку на диске С, и каждый файл проверять. Большое спасибо за совет, но я совсем растерялась…

        Заглючили остальные со сети. По тому же типу что и контакт.

        Что происходит? И где искать этот злосчастный вирус??

        Может ли быть проблемы из-за того. что, вчерашние удаленные файлы host. — были нужными, а не вредноносными?Г

      • Ольга
        18 сентября 2014 - 17:13

        онлайн-антивирус может ошибаться? очень боюсь удалить что-нибудь не то. самое интересное, что при детальном осматривании, все-таки нащел. Второй файл по счету приходится удалять.

        Пишет что заражен «icon.ico». там аж 9 вирусов. А программа совершенно безобидная по хранению значков. Стоит ли ее удалять?

        • sl
          19 сентября 2014 - 09:14

          Ольга удаляйте, возможно что к именно этой программе прицепилась инфекция, попробуйте ее повторно скачать из сети и сразу же проверьте на вирусную инфекцию что бы выяснить было ли что то там изначально или же она была заражена уже на Вашем ПК,…по файлу host, с помощью AVZ выполните (закладки в меню ПО AVZ) -Файл — Восстановление системы — Очистка файла Hosts (поставьте галку на соотв. пункте) и нажмите — Выполнить отмеченные операции,…далее по системе, пробуйте скачать свежую версию DrWeb Cureit и с его помощью проверьте на максимальной эвристике весь Ваш ПК (все разделы HDD!), после проверки и возможной очистки, перезагрузите ПК, в браузер сразу же установите плагины (как минимум), AdBlock, NoScript, WOT и учитесь ими правильно пользоваться, без них Ваш ПК сильно уязвим,…кстати что за антивирусное ПО (штатная защита) установлена на Вашем ПК ??…

          • sl
            19 сентября 2014 - 09:25

            Ольга icon.ico это не программа а иконка, если антивирусное ПО говорит что этот файл инфекция то это означает как минимум что он заражен, или же целиком является инфекцией,…включено ли на Вашем ПК отображение расширений файлов (.exe, .ico, .lnk и т.д.) а так же скрытых файлов (необходимо обращаться с этими скрытыми файлами а так же и с расширениями, осторожно, если не уверены в том что это мусор или инфекция удалять самостоятельно их нельзя!) ?? если после включения этих опций у того же файла icon.ico появится дополнительное расширение, пример icon.ico.exe, то этот файл автоматически должен Вами помечаться как подозрительный-сомнительный и пройти онлайн проверку на возможное заражение …

Отправить комментарий
Комментарий может появиться не сразу или попасть в спам.