Переключись: [sonikelf.ru — основное] [sonikelf.com — Форум] [sonikelf.info — новости]

Главная » Интернет защита и сетевая безопасность » Вирус SVCHOST.EXE и не вирус SVCHOST.EXE. Как определить и что делать?

Вирус SVCHOST.EXE и не вирус SVCHOST.EXE. Как определить и что делать?

Приветствую дороги друзья, читатели, посетители и прочие личности :)

Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе, заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами :)

virus

Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще :) ).

Поехали.

Что такое svchost.exe. Вирус? Куда бежать?!

Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.

svchost

Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным). Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.

Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.

Как распознать вирус svchost, а точнее гадости под него маскирующиеся

Начнем с того, что системный svchost.exe обитает исключительно в папке:

  • C:\WINDOWS\system32
  • C:\WINDOWS\ServicePackFiles\i386
  • C:\WINDOWS\Prefetch
  • С:\WINDOWS\winsxs\*

Где C:\ – диск куда установлена система, а * – длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be

Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).

Привожу несколько самых путей маскировки вирусами под этот процесс:

  • C:\WINDOWS\svchost.exe
  • C:\WINDOWS\system\svchost.exe
  • C:\WINDOWS\config\svchost.exe
  • C:\WINDOWS\inet20000\svchost.exe
  • C:\WINDOWS\inetsponsor\svchost.exe
  • C:\WINDOWS\sistem\svchost.exe
  • C:\WINDOWS\windows\svchost.exe
  • C:\WINDOWS\drivers\svchost.exe

И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:

  • svсhost.exe (вместо английской “c” используется русская “с”)
  • svch0st.exe (вместо “o” используется ноль)
  • svchos1.exe (вместо “t” используется единица)
  • svcchost.exe (2 “c”)
  • svhost.exe (пропущено “c”)
  • svchosl.exe (вместо “t” используется “l”)
  • svchost32.exe (в конец добавлено “32″)
  • svchosts32.exe (в конец добавлено “s32″)
  • svchosts.exe (в конец добавлено “s”)
  • svchoste.exe (в конец добавлено “e”)
  • svchostt.exe (2 “t” на конце)
  • svchosthlp.exe (в конец добавлено “hlp”)
  • svehost.exe (вместо “c” используется “e”)
  • svrhost.exe (вместо “c” используется “r”)
  • svdhost32.exe (вместо “c” используется “d” + в конец добавлено “32″)
  • svshost.exe (вместо “c” используется “s”)
  • svhostes.exe (пропущено “c” + в конец добавлено “es”)
  • svschost.exe (после “v” добавлено лишнее “s”)
  • svcshost.exe (после “c” добавлено лишнее “s”)
  • svxhost.exe (вместо “c” используется “x”)
  • syshost.exe (вместо “vc” используется “ys”)
  • svchest.exe (вместо “o” используется “e”)
  • svchoes.exe (вместо “st” используется “es”)
  • svho0st98.exe
  • ssvvcchhoosst.exe

Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.

process explorer

Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer, благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.

Как удалить вирус svchost.exe

В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ.
Что делаем:

  1. Скачиваем avz, распаковываем архив, запускаем avz.exe
  2. В окне программы выбираем “Файл” – “Выполнить скрипт“.
  3. Вставляем в появившееся окно скрипт:

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');
    DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.

    Где, как Вы понимаете, под словами “сюда вставлять путь к файлу (главное не перепутать кавычки)” нужно, собственно, вставить этот путь, т.е, например: C:\WINDOWS\system\syshost.exe прямо между, т.е получиться строки должны так:

    QuarantineFile('C:\WINDOWS\system\syshost.exe','');
    DeleteFile('C:\WINDOWS\system\syshost.exe');

  4. Жмем “Запустить“, предварительно закрыв все программы.
    выполнение скрипта svchost.exe
  5. Ждем перезагрузки системы
  6. Проверяем наличие файла
  7. Проводим полноценную проверку на вирусы и spyware.

Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру :)

Послесловие.

Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.
Буду рад почитать, послушать, поддержать и помочь ;)

PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла.

Тут коллега по тематике и духу попросил поделится ссылочкой на его на статью про чтение электронных книг на компьютере (ну .fb2 там и прочие). Мне не жалко, делюсь, благо, что тема полезная :)

ВАЖНО! Прежде чем писать - прочитайте комментарии, быть может, то, что Вам нужно, там уже есть. Так же, ознакомьтесь с правилами комментирования.

ВАЖНО! На случай, если у Вас проблемы с закачкой антивирусов, то на страничке "Сборки" Вы всегда можете найти альтернативные ссылки на закачку популярных антивирусных утилит (dr.web, avz, spybot и пр.)

У проекта есть свой форум. Именно там Вы можете получить ответы на многие вопросы.

Что-то пригодилось и помогло? Понравился проект? Скажите спасибо и поделитесь ссылкой с друзьями!.

Не справляетесь сами, но не хотите платить сомнительным сервисам компьютерной помощи? Попросите меня.

Комментарии. Присоединяйтесь к обсуждению!

  1. Ольга
    28 мая 2014 - 08:50

    У меня НОД32 написал что в D:\Windows\System32\svchost.exe (у меня на этом диске все)обнаружен Троянский вирус – очистка невозможна. Комп глючит, Хром, Опера не открываются. что можно сделать? Можно ли заменить svchost.exe (может скачать где-нить) ?

    • sl
      3 июня 2014 - 09:37

      Ольга, во первых, без паники (давно здесь не появляюсь и все все еще на том же месте в большинстве топчутся :D,…опять же не читаете рекомендации, не однократно ранее уже онаписанные :)) :),…во вторых, качайте DrWeb Cureit например и на полное сканирование свой ПК с максимальными настройками эвристики (с отключенным после закачки интернетом, – желательно), а фраза “у меня на этом диске все” тоже не смертельна, – учитесь пользоваться LiveCD сборками которых в сети тоже кстати море просто напросто и большинство проблем с инфекцией покажутся Вам детским лепетом :)…

  2. Алексей
    3 июня 2014 - 20:28

    А у меня DrWeb Cureit постояно обнаруживает svchost.exe:1804 в оперативной памяти. Находит их 11 (одиннадцать) штук, сразу обезвреживает без моего вмешательства 1 (один), и пишет что очень сожалеет, но больше ничем помочь не может. И так каждую проверку, хоть через каждые полчаса. Поиск не дает адреса гнезда. Вирус? Как лечить?

    • sl
      5 июня 2014 - 09:57

      возможно что и вирус, по идее необходим более тщательный анализ для окончательного вердикта,… кстати что показывает сканирование с помощью AVZ ??, если им не умеете пользоваться то так же можно для начала загрузиться с свежей версии DrWeb Live CD и проверить ей (так же с максимальной эвристикой) полностью весь ПК,…или же попробуйте просканировать ПК (так же полностью) с помощью других Live CD антивирусных решений (но тоже только свежих версий)…

  3. Вадим
    30 июня 2014 - 16:32

    Здравствуйте, существует такая проблема:через какое-то время после перезагрузки отключается брандмауэр и вместе с ним перекрывается доступ к расшаренным папкам на этом компьютере.Хотя зайти к нему через радмин получается. При попытке его запустить кидает ошибку: не удалось запустить службу брандмауэр/общий доступ… и ошибка 5:отказано в доступе.
    После перезагрузки все снова работает. В логе нашел такие записи:Faulting application name: svchost.exe, version: 5.1.2600.5512, time stamp: 0xAcGenral.dll
    Faulting module name: 5.1.2600.5512, version: 000116e2, time stamp: 0x(null)
    Exception code: 0x(null)
    Fault offset: 0x(null)
    Faulting process id: 0x(null)
    Faulting application start time: 0x(null)
    Faulting application path: (null)
    Faulting module path: (null)
    Report Id: (null)
    Все это чудо стало происходить после установки xp sp3. Уже пробовал устанавливать все службы в состояние по умолчанию и перезапускал брандмауэр. На компе стоит обновленный нод4. В крайнем случае переустановлю, но если кто сталкивался, то буду признателен за советы.

    • sl
      3 июля 2014 - 15:25

      NOD как и любой другой антивирус не гарантирует 100% защиту !,…кроме SP3 другие, более новые, как минимум, критические, обновления, установлены ?! если нет то обязательно поставьте, далее, проверка системы с помощью команды sfc/ scannow, затем по накатанной, DrWeb LiveCD & G Data LiveCD и полное сканирование ПК, у Вас на данный момент как минимум там сидит троян или руткит…

Комментарий может появиться не сразу или попасть в спам.