Заметки Сис.Админа

Приветствую дороги друзья, читатели, посетители и прочие личности.

Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе, заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами :)

Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще :) ).

Поехали.

Что такое svchost.exe. Вирус? Куда бежать?!

Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.

Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным). Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.

Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.

Как распознать вирус svchost, а точнее гадости под него маскирующиеся

Начнем с того, что системный svchost.exe обитает исключительно в папке:

• C:\WINDOWS\system32
• C:\WINDOWS\ServicePackFiles\i386
• C:\WINDOWS\Prefetch
• С:\WINDOWS\winsxs\*

Где C:\ - диск куда установлена система, а * - длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be

Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).

Привожу несколько самых путей маскировки вирусами под этот процесс:

• C:\WINDOWS\svchost.exe
• C:\WINDOWS\system\svchost.exe
• C:\WINDOWS\config\svchost.exe
• C:\WINDOWS\inet20000\svchost.exe
• C:\WINDOWS\inetsponsor\svchost.exe
• C:\WINDOWS\sistem\svchost.exe
• C:\WINDOWS\windows\svchost.exe
• C:\WINDOWS\drivers\svchost.exe

И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:

• svсhost.exe (вместо английской "c" используется русская "с")
• svch0st.exe (вместо "o" используется ноль)
• svchos1.exe (вместо "t" используется единица)
• svcchost.exe (2 "c")
• svhost.exe (пропущено "c")
• svchosl.exe (вместо "t" используется "l")
• svchost32.exe (в конец добавлено "32")
• svchosts32.exe (в конец добавлено "s32")
• svchosts.exe (в конец добавлено "s")
• svchoste.exe (в конец добавлено "e")
• svchostt.exe (2 "t" на конце)
• svchosthlp.exe (в конец добавлено "hlp")
• svehost.exe (вместо "c" используется "e")
• svrhost.exe (вместо "c" используется "r")
• svdhost32.exe (вместо "c" используется "d" + в конец добавлено "32")
• svshost.exe (вместо "c" используется "s")
• svhostes.exe (пропущено "c" + в конец добавлено "es")
• svschost.exe (после "v" добавлено лишнее "s")
• svcshost.exe (после "c" добавлено лишнее "s")
• svxhost.exe (вместо "c" используется "x")
• syshost.exe (вместо "vc" используется "ys")
• svchest.exe (вместо "o" используется "e")
• svchoes.exe (вместо "st" используется "es")
• svho0st98.exe
• ssvvcchhoosst.exe

Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.

Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer, благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.

Как удалить вирус svchost.exe

В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ.
Что делаем:

1. Скачиваем avz, распаковываем архив, запускаем avz.exe
2. В окне программы выбираем “Файл” – “Выполнить скрипт“.
3. Вставляем в появившееся окно скрипт:
   

   begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');
DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

   Где, как Вы понимаете, под словами "сюда вставлять путь к файлу (главное не перепутать кавычки)" нужно, собственно, вставить этот путь, т.е, например: C:\WINDOWS\system\syshost.exe прямо между '', т.е получиться строки должны так:

   QuarantineFile('C:\WINDOWS\system\syshost.exe','');
DeleteFile('C:\WINDOWS\system\syshost.exe');


4. Жмем "Запустить", предварительно закрыв все программы.
   
5. Ждем перезагрузки системы
6. Проверяем наличие файла
7. Проводим полноценную проверку на вирусы и spyware.

Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру.

Впрочем, если и это не помогает, то есть еще небольшой способ (при учете конечно, что Вы сделали всё вышенаписанное), который может помочь.

Проверка и поврежденных системных файлов в целях лечения svchost.exe

В редких (сильно) случаях может помочь вариант проверки системных файлов, который есть в самой системе. Перейдите по пути "C:\ -> Windows  -> System32" (где диск C:\ - это тот, куда установлена система).

Там найдите cmd.exe, нажмите на него правой кнопкой мышки и выберите пункт "Запуск от имени администратора".

В самой командной строке введите строку:

sfc /scannow

И дождитесь окончания процесса. Система проведет сканирование всех защищенных системных файлов и заменит все поврежденные файлы. Возможно это не вылечит сам svchost, но может починить сопутствующие файлы, которые приводит к нагрузкам и другим проблемам.

Послесловие

Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.

Буду рад почитать, послушать, поддержать и помочь ;)

• PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла.
• PS2: Проблема может быть связана с работой в фоне обновления Windows. Возможно, что есть смысл его отключить или вообще произвести полную оптимизацию системы из этого материала (особенно для 10-ой версии системы)
• PS3: Если ничего не помогает, то попробуйте пройтись Kaspersky Virus Remove Tool из этой статьи для очистки возможных svchost-разновидностей вируса