Вирус SVCHOST.EXE и не вирус SVCHOST.EXE. Как определить и что делать?
Приветствую дороги друзья, читатели, посетители и прочие личности 
Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе, заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами
Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще ).
Поехали.
Что такое svchost.exe. Вирус? Куда бежать?!
Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.
Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным). Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.
Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.
Как распознать вирус svchost, а точнее гадости под него маскирующиеся
Начнем с того, что системный svchost.exe обитает исключительно в папке:
- C:\WINDOWS\system32
- C:\WINDOWS\ServicePackFiles\i386
- C:\WINDOWS\Prefetch
- С:\WINDOWS\winsxs\*
Где C:\ – диск куда установлена система, а * – длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be
Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).
Привожу несколько самых путей маскировки вирусами под этот процесс:
- C:\WINDOWS\svchost.exe
- C:\WINDOWS\system\svchost.exe
- C:\WINDOWS\config\svchost.exe
- C:\WINDOWS\inet20000\svchost.exe
- C:\WINDOWS\inetsponsor\svchost.exe
- C:\WINDOWS\sistem\svchost.exe
- C:\WINDOWS\windows\svchost.exe
- C:\WINDOWS\drivers\svchost.exe
И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:
- svсhost.exe (вместо английской “c” используется русская “с”)
- svch0st.exe (вместо “o” используется ноль)
- svchos1.exe (вместо “t” используется единица)
- svcchost.exe (2 “c”)
- svhost.exe (пропущено “c”)
- svchosl.exe (вместо “t” используется “l”)
- svchost32.exe (в конец добавлено “32″)
- svchosts32.exe (в конец добавлено “s32″)
- svchosts.exe (в конец добавлено “s”)
- svchoste.exe (в конец добавлено “e”)
- svchostt.exe (2 “t” на конце)
- svchosthlp.exe (в конец добавлено “hlp”)
- svehost.exe (вместо “c” используется “e”)
- svrhost.exe (вместо “c” используется “r”)
- svdhost32.exe (вместо “c” используется “d” + в конец добавлено “32″)
- svshost.exe (вместо “c” используется “s”)
- svhostes.exe (пропущено “c” + в конец добавлено “es”)
- svschost.exe (после “v” добавлено лишнее “s”)
- svcshost.exe (после “c” добавлено лишнее “s”)
- svxhost.exe (вместо “c” используется “x”)
- syshost.exe (вместо “vc” используется “ys”)
- svchest.exe (вместо “o” используется “e”)
- svchoes.exe (вместо “st” используется “es”)
- svho0st98.exe
- ssvvcchhoosst.exe
Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.
Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer, благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.
Как удалить вирус svchost.exe
В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ.
Что делаем:
- Скачиваем avz, распаковываем архив, запускаем avz.exe
- В окне программы выбираем “Файл” – “Выполнить скрипт“.
- Вставляем в появившееся окно скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');
DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Где, как Вы понимаете, под словами “сюда вставлять путь к файлу (главное не перепутать кавычки)” нужно, собственно, вставить этот путь, т.е, например: C:\WINDOWS\system\syshost.exe прямо между ”, т.е получиться строки должны так:
QuarantineFile('C:\WINDOWS\system\syshost.exe','');
DeleteFile('C:\WINDOWS\system\syshost.exe');
- Жмем “Запустить“, предварительно закрыв все программы.
- Ждем перезагрузки системы
- Проверяем наличие файла
- Проводим полноценную проверку на вирусы и spyware.
Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру
Послесловие.
Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.
Буду рад почитать, послушать, поддержать и помочь 
PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла.
Тут коллега по тематике и духу попросил поделится ссылочкой на его на статью про
чтение электронных книг на компьютере (ну .fb2 там и прочие). Мне не жалко, делюсь, благо, что тема полезная
Пригодилось? Расскажи друзьям:
# статья редактировалась [21.03.2012], # автор:
Sonikelf
Первый!))
Спасибо за статью.
Турбометла, блин
Пожалуйста.
Весьма познавательно. Маскировать вирус дав ему такое название умно. )
Прям статья мини урок для вирусописателей из разряда как замаскировать ваш вирус )))
Ручной спам?
Почему сразу спам? По моему первый коментарый это реально спам (хотя флуд наверно скорее)
аааа понял ссылка на мой сайт)) совпало
Здравствуйте. Позвольте полюбопытствовать, с чем связано написание статьи про этот вирус? Стал в последнее время активен? Или просто профилактика так сказать.
Часто спрашивают просто. Да и поднял почту – раньше тоже было много вопросов по этой теме.
Плюс, судя, по статистике гугла, в рунете делают в месяц где-то 10000-30000 запросов по теме. Значит актуальненько.
Да и читающим новичкам/средним-айтишникам будет полезно знать, наверняка столкнутся в практике.
Всем привет!!!
Спасибо! Познавательно!
Тока один вопрос он, этот вирус, может прям так и называться svchost.exe , как сам процесс
или обязательно какая-то буква будет изменена или цифра добавлена ??
Да, может так и называться, если лежит по другому пути.
Всем привет!!!
Спасибо. Терь буду оч. внимательным.
P.S. И воспользуюсь советом Walvater. Комментарий ниже
C:\Windows\System32 у меня он лежит в этой папке это вирус или нет?
Думаю может
, если программист писавший вирус был достаточно талантлив .
Cпасибо Андрей , за информацию учтем ……………………………………………………………………………………
Мм.. А чего точек столько?
Приветствую. Озадачили, раньше внимания не обращал (до15 запущенных процессов).
Посоветуйте, есть один подозрительный svchost.exe*32, и обитает в C:\Windows\SysWOW64. Я думал он отвечает за принтер-Служба HP CUE DeviceDiscovery.
Проверяю компьютер постоянно, вроде всё нормально. В общем нужен совет.
SysWOW64 это как папка System32 в 32-битных Windows. В 64-битных есть обе эти папки, и наличие в ней svchost нормально. Ваш процесс svchost.exe*32 действительно принадлежит принтерам HP, насколько я знаю. Не знаю только, в правильном ли месте он у вас находится. По идее – да.
Попробуйте Svchost Process Analyzer
А вообще чего в дебри лазить. На этом сайте все уже есть. ) Ставьте и все там будет видно.
Живой пример. – плюс в контекстном меню (правой кнопкой 1 клик) каждого файла внизу есть возможность проверки на сайте Virus Total.
Всем привет!!!
Спасибо, Walvater!
Проверить то проверил. Результат на Virus Total, для C:\Windows\SysWOW64 1/43 (Win32.TrojanHorse). Да, но на сам процесс AnVir.exe выдало 2/43 (Virus.Win32.Part.a; Trojan.Win32.Agent.a (fs)). Т.е. мой (svchost) “подозрительный”, всё же менее подозрительный.
Все нормально
Я с этой, блин, битностью забыл совсем про SysWOW64. Надо будет добавить в статью как руки дойдут.
Всем спасибо.
И с наступающим Новым годом!
Взаимно
Спасибо!
Пожалуйста
Как всегда познавательно, доступно и самое главное ПОЛЕЗНО Когда-то перелопатил уйму информации в интернете по этому вопросу. Прямо новогодний подарок от Sonikа.
Спасибо. Хотя подарок будет помощней..
Ура! Да здравствует Sonik!
Здравствуйте. Весьма нужная и полезная статья. Использую SvchostAnalyzer.
ЗЫ: Угу, помню тебя отлично, все время ник в комментах мелькает
( На форуме я Оптимус 
)
ЗЫ: Приятно что Вы меня помните Андрей
Привет
Всегда пожалуйста, рад, что пригодилось.
SvchostAnalyzer хорошая вещь, но мне как-то привычней по старинке..
ЗЫ: Про форум не знал, теперь буду и там узнавать
Простите, а что за форум?
Форум проекта
Ох попил у меня этот гад кровушки в свое время
Касперский мне тогда не помог, было это лет пять назад… Спасло только форматирование диска.
Да, вредненькая штука, одно время тоже возился по молодости..
имхо, первая РЕАЛЬНО полезная статья за всю осень и зиму ) прям как в старые добрые
Пугающий комментарий
А остальные чафо тогда? 
То ли я чото натворил с компом или что, но у меня ни одного процесса svhost O_o
Звучит странно
Рус, если правильно написано svhost, то радоваться надо.
Огромнейшее спасибо !
Огромнейшее пожалуйста
Я раз удалила эту штуку, приняв ее за вирус, и пришел каюк Винде! Пришлось переустанавливать.
Одна из причин по которой я и написал эту статью – чтобы не удаляли по ошибке
Такая проблема (не по теме, но возможно если получится сделайте и про это статью): сестринский ноут не контролирую, поэтому не могу сказать точно, что она с ним делает, что туда устанавливает, и на какие сайты заходит, но где-то месяц назад её ноут зажил собственной жизнью. Т.е. сам управлял мышкой, сам менял порядок расположение окон в экспресс-панели в Opera, а потом и сам начал печатать (при том не абракадабру, а вполне связный текст в приложениях вконтакте). Не долго думая быстро отрубил интернет у него и начал сканирование всеми возможными антивирусами, сканерами. Я так понял это был несанкционированный контроль через удаленный доступ. Просьба если сталкивались с такой проблемой, то напишите последовательность в решении этой пакости.
PS: После установки на компьютер брандмауэра этой пакости больше не было.
Вы сами себе ответили:
А вообще вот статьи, велком как говорится – http://sonikelf.ru/tag/faervoll/
Огромное Спасибо за оперативный ответ!))
Это был бэкдор
Необязательно
Это больше похоже на скрытно установленный Radmin, ну это мне так кажется.
Скорее обычный удаленный доступ
Автору респект, за статью. Ну а так, чтоб народ не парился, есть масса прог., отображающих этот самый svchost.exe, к примеру Firewall COMODO выдаёт список активных процессов со всеми путями. Да в том же Виндовском Диспетчере Задач, как упоминал автор, можно посмотреть все пути процесса, описание, место хранения, перейти к запущенным в этом процессе службам. Другое дело скрытые процессы, с этим покруче, хотелось, чтоб автор осветил эту тему тоже, посоветовал бы программы для отображения, поиска скрытых процессов.
Всех С Наступающим !!!!
Комод громоздок, хотя про него, скорее всего в январе, будет толстющая статья.
По скрытым процессам тоже когда-нибудь напишу, все руки не доходят.
С наступающим.
Про Comodo, пожалуйста, потолще статью. Как-то ставил, так вообще ничего почти не работало, кроме как сам Comodo, при чем на разных настройках. В интернете почти ничего не нашел по”комоду”.(так что вопрос кто тупил, я или “комод” так и остался не выясненным)
По комоду статья уже написана и выглядит пугающе обширно. Там много всего и весьма подробно, думаю, что понравится. Читатели платной подписки вроде довольны весма.
В общем, ждите, будет что почитать.
Спасибо, статья очень полезная!
Всегда пожалуйста
бывает так, что вирус внедряется в процесс svchost.exe и распознать такой вирус сможет не каждый.. ведь по всем свойствам, PID и путям всё четко и правильно..
с помощью программы, которую описывает автор процес эксплорер или подобной другой в свойствах процесса можно увидеть несколько другой путь..
например:
полный путь: C:\WINDOWS\system32\svchost.exe
путь запуска: C:\Documents and Settings\имя_компа\
и ключ может быть тоже ничем не отличающимся от оригинала
C:\WINDOWS\system32\svchost.exe -k imgsvc или -k LocalService, но скорее всего вы увидите -k NetworkService (это из опыта..)
ну так вот, если вы видите путь запуска отличный от “C:\WINDOWS\system32\” или по статье автора (см. статью) то могу сказать, что вирус живет в теле оригинального процесса svchost.exe
будьте бдительны..)
Спасибо за комментарий
вот у меня именно такая фигня чё с ней делать
Алексей у меня кокраз вот так и есть NetworkService будтьте добры подскажите как его удалить и не вынести винду на =)
у меня тоже такая же фигня
хеееелп
рус
2011-12-26 14:20:22
имхо, первая РЕАЛЬНО полезная статья за всю осень и зиму ) прям как в старые добрые
Во многом согласен с автором. Все больше красивости, да мелочи без которых и так хорошо.
Пожалуй все.
Толи уровень нашей компьютерной грамотности вырос (постоянных читателей), толи Соник продолжает упрощать свои статьи. Еще была статья про то как выбрать видео карту, для меня интересной
Дай бог наш уровень вырос а не статьи изменились.
Где статьи научившие пользоваться “Акронисом” и забыть про проблемы с системой, в принципе. И материалы подобного “веса” и масштаба ?
Даешь полноценный проект по созданию сайтов, товарищи!!! А? Скоро уже?
Ну тут уж кому как.
Я на вскидку могу назвать 10-15 серьезных статей за заявленный срок (осень-зима). Примерно столько же, а может и поменьше, было статей про украшательства и мелкие настройки. В общем, не знаю, кому как, что кажется, но я стараюсь держать баланс между легкими статейками по мелочам для обычных пользователей и толстыми для тех кто посерьезней шарит в вопросе.
ЗЫ: Пользуйтесь кнопкой “Ответить”
Научиться работать с акроинсом могу даже я без всяких статей :p а вот про создание сайтов статью хотелось бы (только не на юкозе и народе o_o)
Юкоз и народ – дурной тон
Спасибо большое за статью, очень полезно
Всегда пожалуйста
Приветствую,
имею вопросы:
- в приведённом Вами случае, если вирус(ы), в системе имеются, как они себя проявляют?
- и разве указание о компании производителе – в Process Explorer – (svchost.exe – Microsoft Corporation) – не является гарантией, что процесс не может быть заражён?
Спасибо.
Смущает комментарий от Алексей 2011-12-27 11:43:20
Приветствую.
1. Зависит от вируса, у всех разные цели. Может быть троян, может червь рассылающий спам, может еще что-то. Зависит от фантазии вирусописателя.
2. Не является
Musika, зря тебя смущает мой комментарий..)
я лично делал такие бэкдоры.. на основе опенсорса одного известного трояна-бэкдора..
так вот, еще раз скажу, тело может работать внедряясь абсолютно в любой процесс, запущенный в системе.. будь то svchost.exe, explorer.exe или любой другой, какой автору вируса больше нравится..
и еще раз скажу, только по поведению можно узнать такой вирь.. к примеру не будет же процесс explorer.exe в сетевой активности файрволла ссылаться на удаленный адрес, где он управляется..;)
“Microsoft Corporation” – ха!
очнись.. я говорю не про тело вируса.. а про внедрение процесса в другой процесс..
такие трояны забирают все гарантии, что обещает тебе майкрософт корпорэйшн..)
Да, комод самый няшный фаервол, хочу статью про него :3
Актуальный обзор, спасибо. Теперь будет по какой ссылке отправлять паникующих и страждущих, не вдаваясь в подробности… Есть еще мощная такая программка называется Process Monitor http://download.sysinternals.com/Files/ProcessMonitor.zip, в реальном времени видно, к какому процессу что обращается, включая файловую систему и реестр, т.е. если идут обращения к сомнительному файлу или идут запросы от оного в сеть, сразу видно, куда копать в случае подозрения на вирус. Кроме этого программа помогает выявлять системные ошибки. Есть фильтры по событиям, есть поиск, список событий можно сохранить в файл. Было бы неплохо написать по ней обзор.
Зачем, если есть Process Explorer о котором уже написана статья.
Спасибо за статью! Раз уж снова об AVZ… Я когда начинаю проверку с ее помощью, буквально через доли секунды процесс прерывается. В логе видно, что вроде что-то найдено, вот скрин: http://clip2net.com/s/1rint
Что предпринять можно?
это на форум
Попробуйте LiveCD, возможно, что вирус блокирует работу утилиты
AVZ на Семёрке не работает, на Висте не пробовал, скорее всего тоже, она под Хрюшку заточена. Это нужно учитывать.
Это Ваши догадки. AVZ прекрасно работает, что под XP, что под Вистой, что под Win7. Доказано миллионами пользователей.
И мной))) Нас уже 1 000 001!
Кстати про AVZ. Ни у меня на семерке, ни у друзей, у которых чистил, не включается AVZGuard, пишет ошибку активации. Также ничего не происходит при попытке “Установить драйвер расширенного мониторинга процессов”. И лично у меня (на других не пробовал) программа закрывается с ошибкой, если выставить максимальный уровень эвристики. Что это может быть? )
На часть вопросов сам уже нашел ответ.
Специально скачал вот отсюда: http://z-oleg.com/secur/avz/download.php AVZ – 4.37 , как всё было так и осталось. Видимо у меня Винда не правильная или руки не оттуда стали расти. Правда ранее когда была ХР всё рабило без проблем почему-то. А сейчас происходит, ровно такая же остановка как у Bamasajd, и это не действие вируса точно. В общем не буду спорить, я все ровно ей больше не пользуюсь. Есть масса других утилит не менее достойных.
1. Проблема явно локальная
2. Каких таких утилит?
Думаю здесь можно что-то выцепить: http://www.comss.ru/list.php?c=virus_scanners – к примеру,
да масса чего, при желании всё можно найти, в общем без AVZ вполне себе можно обходиться, хотя повторюсь на ХР она очень помогала, именно на ХР. И вообще некая лаборатория К…, к которой имеет отношение и AVZ по-моему если не ошибаюсь, довольно-таки косячная, её продукты работают так-же, а может и несколько хуже, чем многие бесплатные решения – это моё мнение сложившееся на практическом опыте. В общем поздравляю Вас еще раз с наступающим Новым Годом!
Process Monitor показывает гораздо больше информации, чем Process Explorer. Другое дело, что не всякий в ней разберется.
Больше? В чем?
Давайте не будем голословны, кидайте примеры, желательно со скринами.
Спасибо, Андрей, за статью! интересно! теперь применить бы на практике
А такой вот вопрос: а где этот вирус может прописаться для авто загрузки? видно ли его из под консоли “Службы” в Windows? а еще а обязательно и использовать AVZ для его удаления? если в общем то знаешь к нему путь? (или если он пытается себя защитить – из под любого Live CD)
Прописаться может везде, смотреть лучше AnVir Task Manager или чем-то подобным.
AVZ использовать не обязательно, но удобно. Особенно с учетом того, что обычный антивирус может его не очень заметить, а вот собственная бдительность – да.
Из под LiveCD сложно защитить себя, часто вирус просто не в теме, что его собираются разобрать на запчасти из под линуха с антивирусом.
Не буду я ничего доказывать. В мои задачи это не входит. Разные программы для разных целей. Кому надо посмотреть, какие процессы запущены и не притаился ли среди них злобный враг используют Process Explorer как более продвинутый диспетчер задач. Кому нужно отследить обращения в реальном времени к реестру и более глубоко покопать, используют Process Monitor.
Мда, позиция ясна.
Ну удачи.
Можете попробывать Process Hacker, кому интересно: http://sourceforge.net/projects/processhacker/files/
На мой взгляд, тоже интересное решение.
я и имел ввиду,что зная путь к вирусу можно удалить его без помощи AVZ через любой подходящий LiveCD с файловым менеджером:)
… никаких помощников – антивирусов…только ты и он…как рыцарский поединок один на один…честная сталь…охи-ахи дамы-хозяйки компьютера…ловкий удар по клавише DEL…и ура!!!фанфары!!!победа!!!В общем – романтика:)
А где про Live CD ?
Ну Вы даете.
Замахнулись на серьезную тему ( файловых вирусов) , потратили время на иллюстрированную статью,
и в итоге ограничились скриптом AVZ.
Добрый вечер, у меня была проблема, аваст выкидывал сообщение что блокирует вредоносные сайты их многочисленные названия, процесс указывал svchosts.exe, проверила на вирусы утилитами, что-то почистилось, но проблема оставалась, сделала то что написано в статье, теперь не нахожу меню пуска, в папке сетевые подключения пусто, хотя интернет работает, антивирус больше не работает, оказывается svchosts.exe по-моему пропал, я через рекомендуемую Вами програмку только поняла что его нет. Подскажите как действовать дальше?
Здравствуйте , очень позновательная статья! я хочу кое что пояснить,у меня в папке system имеется еще папка system32 и в ней тот самый файл под названием svhost. AVZ пишет что никакой угрозы нет,но судя по этой статье угроза всетаки есть! расскажите как мне с этим бороться,буду очень признателен
Привет
Имееться вопрос,не совсем по теме.
Заметил в процессах run32.exe или run32.dll , причём в огромном колличестве.
Уверен что virustrojan.
Но не хочет удаляться.
Вообщем сам вопрос: Зачем делать вирус блокирующий все ПО, от него толку для разработчика = нулю, и как удалить подобные файлы не задевая svchost.exe,winlogon.exe,explorer.exe ?
Привет всем. У меня проблема такова – комп тормозит жутко, файл находится там где надо, никаких атак не выдаёт. Подскажите в чём проблема…
спасибо за инструкцию! только можете мне, чайничку, объяснить, что там надо вставлять в скобки? мой svchost.exe запускается от имени пользователя. Я не знаю, где его путь просмотреть, что б вставить в скобы!
(((
Доброго времени суток. После удаления вируса svchost.exe через avz действия с файлами и программами стали недоступны,отсутствует папка сетевые подключения,да и восстановление системы стало невозможным. Я в отчаянии. Неужели придется переустанавливать систему??
У меня синий экран появляется когда я делаю полную проверку, что это вирус или глюк системы?
У меня была точно такая же проблема как описал автор, но скрипт не работал, в процессах висел svchost.exe от имени пользователя и он убивался, но через несколько секунд снова появлялся. Выход нашел след. образом: убивается explorer.exe затем svchost.exe, затем выполняется explorer.exe и svchost.exe уже не появляется в процессах, затем через AVZ выполнял скрипт и после перезагрузки все работет отлично.
Может ли в диспетчере задач работать по два одинаковых процесса svchost.exe [имя пользователя]- NETWORK SERVICE и LOCAL SERVICE.
а я убирал, убирал, убирал и псле недели пыток он исчез
Я наблюдал svchost.Exe только одним процессом,когда было запущенно много программ,смело можно предположить что он системный а не вирусный.Ну а сейчас у меня кроме браузера ничего незапущено посмотрел в диспетчер задач его нету,однако некий taskhost.Exe присутствует,как я понял это тоже какойто системный процесс.
svchost.exe действительно системный процесс. Несколько дней мучался с проблемой загруженности системы ,пока неусановил Kaspersky Virus Removal Tool . Был обнаружен какой-то вирус в C:\WINDOWS\system32.
Кстати , у меня стоит dr.Web так он эту заразу невидит.
По поводу антивирусов.Касперский я тоже использую только полный продукт Internet Sequrity,также рекомендую штатный сканер который есть в win7 наверное все знают Windows Defender,как то давно нашол шпионский модуль с помощью него,однако касперский его незамечал.По повуду svchost.exe неспешите его удалять узнайте место нахождение процесса и если окажется,что он всёже находится в дериктории в которой он недолжен находиться как было описанно выше тогда удаляйте.Просто если удалить неисследуя его место нахождение можно просто напросто грохнуть винду что будет неслишком приятно.
я нашел как ты и сказал в папке виндоус svchost 95процентво что это вирус у тебя написано,я удалил теперь ошибку при запуск в игру либо браузер не выбивает но теперь когда захожу допустим в кс мне выбивает открыть с помощью?что мне делать?
Здравствуйте.
У меня Win7
svchost.exe у меня расположен: C:\Windows\System32\svchost.exe,
но еще один в C:\Windows\System32\svchost.exe\upd\svchost.exe и др.Веб показывает его как Trojan.Click64484.
Что это? И что сэтим делать?
thank you , it”s really work , I download program avz and I enter the script and work
problem resolve
как удалить SVhost на Windows 7 ,если программа PR EX не подходит?может как-то вручную?если можно поподробнее опишите.
скачал, вписал begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile(‘C:\WINDOWS\svchost.exe’,”);
DeleteFile(‘C:\WINDOWS\svchost.exe’);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard(‘TSW’,2,3,true);
BC_Activate;
RebootWindows(true);
end.
начало что-то происходить, комп перезагрузился. Захожу в диспетчер задач и снова там svchost.exe штук 10… и все в папке windows32. почему не удалился??? что делать??? у меня виндоус 7
C:\Windows\System32 у меня они все лежат в этой папке это вирус или нет?
У меня раньше такая вещь была…выходила надпись от центра безопастности.Запустить или нет процесс svchost1.exe.Куда либо я не нажимал,после перезагрузки выходила эта надпись.Жаль,что раньше не знал про ваш сайт,да позно было.У меня материнская плата згорела.Может ли быть это из за вируса
У Меня Такая проблема я Выполнил скрипт Но он не помог! Антивирус показывает что Нету Вируса а Вконтакт Зайти не Могу И При Первой Же Перезанрузке Компьютера Сново Клацаю в Браузере а Вирус Есть! Что Делать Прошу о помощи В skype alex86_99 Люди Умоляю:)
У Меня Такая проблема я Выполнил скрипт Но он не помог! Антивирус показывает что Нету Вируса а Вконтакт Зайти не Могу И При Первой Же Перезанрузке Компьютера Сново Клацаю в Браузере а Вирус Есть! Что Делать Прошу о помощи В skype alex86_99 Люди Умоляю:)
Такая же проблема..подскажите что нибудь…
У меня этот svchost.exe время от времени ведёт очень активную связь с инетом. Название и расположение их вроде в норме. Это вирус или так и должно быть?
сайт хорош! очень много полезной информации! Но! Мне уже не помочь никак( диспетчер не запускается,реестр тоже,все файлы съел какой-то Penetrator,постоянно выскакивают какие-то ошибки и тд! При запуске AVZ сразу же закрывается обратно,Spyware вообще не устанавливется,процесс виснет на 98%,просто беда! решил веник новый покупать,а этот на мусорку!
У меня XP SP3, svchost прописан тут:
[img]http://ipic.su/img/img7/fs/kiss_2kb.1356419336.png[/img]
Это нормально?
В первом посте я ошибся, svchost.exe обнаружен тут:
C:\WINDOWS\$NtServicePackUninstall$
C:\WINDOWS\system32
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\SoftwareDistribution\Download\e6ee13bab691afad01f3e7fa891e3f3d
Присутствует так-же:
SMSvcHost.exe тут: C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation
SMSvcHost.exe.config тут: C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation
у меня не так давно при загрузке винды стало выскакивать окошко “ошибка инициализации приложения 0х0000135″, а приложение это svohost.exe (вместо “c” – “o”) и адрес С:/WINDOWS – скажите – я правильно понимаю что вляпался?))) и чего ошибка выскакивает??
У меня тоже этот svchost.exe ну а если это не вирус что делать чтобы окно больше не появлялось?
Читайте статью.
я начал проверку на вирусы и чужие файлы на компе это нормально
Что мне делать если я это всё сделал а у мя теперь комп не грузится что делать подскажите?
У Меня Такая проблема я Выполнил скрипт Но он не помог! Антивирус показывает что Нету Вируса а Вконтакт Зайти не Могу И При Первой Же Перезанрузке Компьютера Сново Клацаю в Браузере а Вирус Есть! Что Делать Прошу о помощи
…так у кого не грузится система, для начала что именно за система ?? если ХР то делайте восстановление системы с помощью установочного диска (второе меню загрузочного диска: установка системы – Восстановление “R”),…кстати судя по некоторым постам (или это действительно так или я что то не понял) некоторые не разобравшись что именно делают грохают системный файл из директории system32 O_o если это так то тем самым Вы сами делаете свою систему не работоспособной, читайте внимательнее и не делайте то чего не понимаете !
Nemura
…каким именно образом Вы определили что вирус есть (из Вашего поста это не совсем понятно) ??
Спасибо огромное………за вечер 3 раза менял систему а проблема не решилась вот прочел вашу статью и вроде бы помогло!))))))
Доброго времени суток )
Я столкнулся с такой же проблемой, и так при включение компьютера у меня буквально через несколько минут запускается процесс svchost.exe который находится в папке C:WINDOWS/System32.
При отключение процесса система начинает приходить в себя ) но опять же через несколько минут появляется этот процесс и жутко виснет систему, подскажите что делать в этом случае, я прочит всю тему целиком скачал все необходимое для проверки. И АВЗ тоже но боюсь сломать систему запуском данного скрипта….. Подскажите что делать.
извините но по моему этот процесс подключает динамические библиотеки .dll или я ошибаюсь?Тот же процесс используют и вирусы маскируясь под нужные системе процессы.Или я не прав?
а у меня путь расположения svchost таков:
C:\Users\Гринюк\AppData\Local\Temp\svchost.exe
и доктор вэб определил его как троян, удалил он его, но svchost появился снова!хэлп!
Такой же путь, только имя юзера другое, скрипт в AVZ не помогает =(
скачал avz , распаковал, открыл .ехе и он сразу же вырубаеться, что делать?
вопросы в принципе одинаковые, пора бы чуть к ним прислушиваться и читать рекомендации повнимательнее, к примеру возьмите Анализатор процесса svchost.exe, или ProcessExplorer, если же не хватает опыта то, Cureit (запустить в безопасном режиме ПК затем запустить из Cureit полное сканирование этого ПК) или DrWebLiveCD (загрузиться с этого диска) и поставить так же на полное сканирование этот ПК (Cureit & DrWebLiveCD должны быть обязательно свежие версии!), можете воспользоваться и другими бесплатными программами, например (CCE) Comodo Cleaning Essentials (дополнительно скачайте для нее антивирусные базы с сайта Comodo или comss.ru), так же есть и CCE LiveCd, вообще лечащих утилит просто море…
ХЭЛП!
А вот у меня такой случай с этим svchost. Может это и не вирус, но глюк -100%
Сам процесс svchost (или точнее одна из его копий) запускается как расширение драйверов WMI (из описания через Анвир взял) с идентификатором 1588. Потом появляется глюк. идентификатор процесса становится 1640 и что самое главное от него слетает звук (как бы дров нет совсем на звук) и через него gо пути C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5 … дальше не помню появляется вирус мгновенно удаляемый dr. Web, и еще 1 вирус в самой папке WINDOWS/
После перезагрузки звук снова на месте как и дрова. Весь ПК просканил – нет вирусов, при чем сканил разными прогами. Драма повторяется несколько раз на день…Соник помоги – в чём тут дело
Пожалуйста помогите!Я удалила svchost с помощью avz и теперь у меня не загружается рабочий стол. Что делать?
Димира
попросите знакомых (нормально разбирающихся в ПК) восстановить Вашу ОС,…и впредь не делайте то чего сами не понимаете
…
Влад
просканируйте ПК с помощью LiveCD антивирусного диска (UVS LiveCD в том числе), просмотрите логи сканирования (особенно загрузочных областей HDD), если не получается справиться самостоятельно обратитесь за помощью на virustotal…
Не тупите,скачайте касперского,он вам его сразу удалит,сам пробывал))Я чуть не обоссался когда увидел надпись что я взломан!Афигеть)
Спасибо SL и Sanya_chelovek_51 – буду пробовать
У меня svchost управляет 15 службами скажите почему?
ваня
перечислите что именно (какие именно службы и от чьего имени) связано с svchost…
Круто не знал!
P.S. админ с batnik.com ты как сдесь оказался?
братан спасибо очень очень очень очень очень очень очень очень помог я желаю тебе счастья и удачи в делах и сказал какие вирусы имеет в пк благодарю
У меня такая проблема
Не логинется в соц сетях и поисковиках,пишет отправьте смс и блаблабла
Аваст не помогает,излазил весь комп и нашел в процессах много “svchost” и тут я понял,что это именно то, что мне нужно
Прочитал вашу статью
Скачал программу “svchostanalyzer”
она выявила опасный файл “svchost”
Вся проблема в том,что он не хочет удаляться,а антивирус его не видит :C
скажите что делааать
fakel
с помощью AVZ провели полное сканирование ??…
Здарова! Спасибо за совет, НО вирус я удалил скриптом AVZ, а теперь все приложения EXE, я их запускаю вирус сразу запускается, АВАСТ удаляет его и все опять начинается, ни во что зайти нельзя, что делать. Еще вопрос, я его не понял хорошо! Если выше пути указаны и там свчост.ексе сидит, это не вирус? В поцессах та 10 штук, – Хост- процесс для виндолс! Ответь!