Что такое svchost и почему грузит процессор — подробности

статьи
безопасность

Приветствую дороги друзья, читатели, посетители и прочие личности. Сегодня поговорим про такую вещь как svchost.

Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе, заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами :)

svchost иконка статьи

Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще :) ).

Поехали.

Что это за процесс SVCHOST и вирус или нет?

Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.

svchost - список процессов

Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным).

Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.

Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.

к содержанию ↑

Как распознать вирус svchost и сам файл

Начнем с того, что системный svchost.exe обитает исключительно в папке:

  • C:\WINDOWS\system32
  • C:\WINDOWS\ServicePackFiles\i386
  • C:\WINDOWS\Prefetch
  • С:\WINDOWS\winsxs\*

Где C:\ - диск куда установлена система, а * - длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be

Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).

Привожу несколько самых путей маскировки вирусами под этот процесс:

  • C:\WINDOWS\svchost.exe
  • C:\WINDOWS\system\svchost.exe
  • C:\WINDOWS\config\svchost.exe
  • C:\WINDOWS\inet20000\svchost.exe
  • C:\WINDOWS\inetsponsor\svchost.exe
  • C:\WINDOWS\sistem\svchost.exe
  • C:\WINDOWS\windows\svchost.exe
  • C:\WINDOWS\drivers\svchost.exe

И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:

  • svсhost.exe (вместо английской "c" используется русская "с")
  • svch0st.exe (вместо "o" используется ноль)
  • svchos1.exe (вместо "t" используется единица)
  • svcchost.exe (2 "c")
  • svhost.exe (пропущено "c")
  • svchosl.exe (вместо "t" используется "l")
  • svchost32.exe (в конец добавлено "32")
  • svchosts32.exe (в конец добавлено "s32")
  • svchosts.exe (в конец добавлено "s")
  • svchoste.exe (в конец добавлено "e")
  • svchostt.exe (2 "t" на конце)
  • svchosthlp.exe (в конец добавлено "hlp")
  • svehost.exe (вместо "c" используется "e")
  • svrhost.exe (вместо "c" используется "r")
  • svdhost32.exe (вместо "c" используется "d" + в конец добавлено "32")
  • svshost.exe (вместо "c" используется "s")
  • svhostes.exe (пропущено "c" + в конец добавлено "es")
  • svschost.exe (после "v" добавлено лишнее "s")
  • svcshost.exe (после "c" добавлено лишнее "s")
  • svxhost.exe (вместо "c" используется "x")
  • syshost.exe (вместо "vc" используется "ys")
  • svchest.exe (вместо "o" используется "e")
  • svchoes.exe (вместо "st" используется "es")
  • svho0st98.exe
  • ssvvcchhoosst.exe

Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.

process explorer и анализ svchost в нём

Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer, благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.

к содержанию ↑

Как удалить и решить проблему с SVCHOST или вирусом

В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ.
Что делаем:

  1. Скачиваем avz, распаковываем архив, запускаем avz.exe
  2. В окне программы выбираем “Файл” – “Выполнить скрипт“.
  3. Вставляем в появившееся окно скрипт:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');
    DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.

    Где, как Вы понимаете, под словами "сюда вставлять путь к файлу (главное не перепутать кавычки)" нужно, собственно, вставить этот путь, т.е, например: C:\WINDOWS\system\syshost.exe прямо между '', т.е получиться строки должны так:
    QuarantineFile('C:\WINDOWS\system\syshost.exe','');
    DeleteFile('C:\WINDOWS\system\syshost.exe');
  4. Жмем "Запустить", предварительно закрыв все программы.
    выполнение скрипта для очистки вируса svchost.exe
  5. Ждем перезагрузки системы
  6. Проверяем наличие файла
  7. Проводим полноценную проверку на вирусы и spyware.

Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру.

Впрочем, если и это не помогает, то есть еще небольшой способ (при учете конечно, что Вы сделали всё вышенаписанное), который может помочь.

к содержанию ↑

Проверка поврежденных системных файлов в целях лечения

В редких (сильно) случаях может помочь вариант проверки системных файлов, который есть в самой системе. Перейдите по пути "C:\ -> Windows  -> System32" (где диск C:\ - это тот, куда установлена система).

cmd запуск от имени администратора

Там найдите cmd.exe, нажмите на него правой кнопкой мышки и выберите пункт "Запуск от имени администратора".

проверка системных файлов для восстановления svchost.ext

В самой командной строке введите строку:

sfc /scannow

И дождитесь окончания процесса. Система проведет сканирование всех защищенных системных файлов и заменит все поврежденные файлы. Возможно это не вылечит сам svchost, но может починить сопутствующие файлы, которые приводит к нагрузкам и другим проблемам.

к содержанию ↑

Послесловие

Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.

Буду рад почитать, послушать, поддержать и помочь ;)

  • PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла.
  • PS2: Проблема может быть связана с работой в фоне обновления Windows. Возможно, что есть смысл его отключить или вообще произвести полную оптимизацию системы из этого материала (особенно для 10-ой версии системы)
  • PS3: Если ничего не помогает, то попробуйте пройтись Kaspersky Virus Remove Tool из этой статьи для очистки возможных svchost-разновидностей вируса

сказать «спасибо»подписатьсяобучаться
Хотите знать и уметь, больше и сами?

Мы предлагаем Вам скачать бесплатные книги от автора. Компьютеры, программы, администрирование, сервера, сети и другое. Не является рекламой. Предложение от sonikelf.ru

Скачать книги
Sonikelf's Project's логотип Sonikelf's Project's логотип Космодамианская наб., 32-34 Россия, Москва (916) 174-8226
10000
301 Цепочка комментария
359 Ответы по цепочке
5 Последователи
 
Популярнейший комментарий
Цепочка актуального комментария
251 Авторы комментариев
  Подписаться  
Уведомление о
Колюня

Первый!))
Спасибо за статью.

Anonimsan

Весьма познавательно. Маскировать вирус дав ему такое название умно. )
Прям статья мини урок для вирусописателей из разряда как замаскировать ваш вирус )))

constantineFOX

Здравствуйте. Позвольте полюбопытствовать, с чем связано написание статьи про этот вирус? Стал в последнее время активен? Или просто профилактика так сказать.

Миджа

Всем привет!!!

Спасибо! Познавательно!

Тока один вопрос он, этот вирус, может прям так и называться svchost.exe , как сам процесс
или обязательно какая-то буква будет изменена или цифра добавлена ??

assassins

Cпасибо Андрей , за информацию учтем ................................................................................................

Смирнов

Приветствую. Озадачили, раньше внимания не обращал (до15 запущенных процессов).
Посоветуйте, есть один подозрительный svchost.exe*32, и обитает в C:\Windows\SysWOW64. Я думал он отвечает за принтер-Служба HP CUE DeviceDiscovery.
Проверяю компьютер постоянно, вроде всё нормально. В общем нужен совет.

Import

Спасибо!

Vovan

Как всегда познавательно, доступно и самое главное ПОЛЕЗНО Когда-то перелопатил уйму информации в интернете по этому вопросу. Прямо новогодний подарок от Sonikа.

cthdth

Здравствуйте. Весьма нужная и полезная статья. Использую SvchostAnalyzer.

ЗЫ: Угу, помню тебя отлично, все время ник в комментах мелькает
ЗЫ: Приятно что Вы меня помните Андрей :) ( На форуме я Оптимус :) )

Anton

Ох попил у меня этот гад кровушки в свое время :) Касперский мне тогда не помог, было это лет пять назад... Спасло только форматирование диска.

рус

имхо, первая РЕАЛЬНО полезная статья за всю осень и зиму ) прям как в старые добрые :)

Рус

То ли я чото натворил с компом или что, но у меня ни одного процесса svhost O_o

Даниил

Огромнейшее спасибо !

Anya

Я раз удалила эту штуку, приняв ее за вирус, и пришел каюк Винде! Пришлось переустанавливать.

D1ablo

Такая проблема (не по теме, но возможно если получится сделайте и про это статью): сестринский ноут не контролирую, поэтому не могу сказать точно, что она с ним делает, что туда устанавливает, и на какие сайты заходит, но где-то месяц назад её ноут зажил собственной жизнью. Т.е. сам управлял мышкой, сам менял порядок расположение окон в экспресс-панели в Opera, а потом и сам начал печатать (при том не абракадабру, а вполне связный текст в приложениях вконтакте). Не долго думая быстро отрубил интернет у него и начал сканирование всеми возможными антивирусами, сканерами. Я так понял это был несанкционированный контроль через удаленный доступ. Просьба если сталкивались с такой проблемой, то напишите последовательность в решении этой пакости.
PS: После установки на компьютер брандмауэра этой пакости больше не было.

Виталий

Автору респект, за статью. Ну а так, чтоб народ не парился, есть масса прог., отображающих этот самый svchost.exe, к примеру Firewall COMODO выдаёт список активных процессов со всеми путями. Да в том же Виндовском Диспетчере Задач, как упоминал автор, можно посмотреть все пути процесса, описание, место хранения, перейти к запущенным в этом процессе службам. Другое дело скрытые процессы, с этим покруче, хотелось, чтоб автор осветил эту тему тоже, посоветовал бы программы для отображения, поиска скрытых процессов.
Всех С Наступающим !!!!

des

Спасибо, статья очень полезная!

Алексей

бывает так, что вирус внедряется в процесс svchost.exe и распознать такой вирус сможет не каждый.. ведь по всем свойствам, PID и путям всё четко и правильно..
с помощью программы, которую описывает автор процес эксплорер или подобной другой в свойствах процесса можно увидеть несколько другой путь..
например:
полный путь: C:\WINDOWS\system32\svchost.exe
путь запуска: C:\Documents and Settings\имя_компа\
и ключ может быть тоже ничем не отличающимся от оригинала
C:\WINDOWS\system32\svchost.exe -k imgsvc или -k LocalService, но скорее всего вы увидите -k NetworkService (это из опыта..)
ну так вот, если вы видите путь запуска отличный от "C:\WINDOWS\system32\" или по статье автора (см. статью) то могу сказать, что вирус живет в теле оригинального процесса svchost.exe
будьте бдительны..)

DES

рус
2011-12-26 14:20:22
имхо, первая РЕАЛЬНО полезная статья за всю осень и зиму ) прям как в старые добрые

Во многом согласен с автором. Все больше красивости, да мелочи без которых и так хорошо.
Толи уровень нашей компьютерной грамотности вырос (постоянных читателей), толи Соник продолжает упрощать свои статьи. Еще была статья про то как выбрать видео карту, для меня интересной :) Пожалуй все.
Дай бог наш уровень вырос а не статьи изменились. :)
Где статьи научившие пользоваться "Акронисом" и забыть про проблемы с системой, в принципе. И материалы подобного "веса" и масштаба ?
Даешь полноценный проект по созданию сайтов, товарищи!!! А? Скоро уже? :)

рус

Научиться работать с акроинсом могу даже я без всяких статей :p а вот про создание сайтов статью хотелось бы (только не на юкозе и народе o_o)

Alexandr177

Спасибо большое за статью, очень полезно

Musika

Приветствую,

имею вопросы:

- в приведённом Вами случае, если вирус(ы), в системе имеются, как они себя проявляют?
- и разве указание о компании производителе - в Process Explorer - (svchost.exe - Microsoft Corporation) - не является гарантией, что процесс не может быть заражён?

Спасибо.

Смущает комментарий от Алексей 2011-12-27 11:43:20

рус

Да, комод самый няшный фаервол, хочу статью про него :3

delauxD

Актуальный обзор, спасибо. Теперь будет по какой ссылке отправлять паникующих и страждущих, не вдаваясь в подробности... Есть еще мощная такая программка называется Process Monitor , в реальном времени видно, к какому процессу что обращается, включая файловую систему и реестр, т.е. если идут обращения к сомнительному файлу или идут запросы от оного в сеть, сразу видно, куда копать в случае подозрения на вирус. Кроме этого программа помогает выявлять системные ошибки. Есть фильтры по событиям, есть поиск, список событий можно сохранить в файл. Было бы неплохо написать по ней обзор.

Bamasajd

Спасибо за статью! Раз уж снова об AVZ... Я когда начинаю проверку с ее помощью, буквально через доли секунды процесс прерывается. В логе видно, что вроде что-то найдено, вот скрин: https://clip2net.com/404.html?url=%2Fs%2F1rint
Что предпринять можно?

Виталий

AVZ на Семёрке не работает, на Висте не пробовал, скорее всего тоже, она под Хрюшку заточена. Это нужно учитывать.

delauxD

Process Monitor показывает гораздо больше информации, чем Process Explorer. Другое дело, что не всякий в ней разберется.

Senjaja

Спасибо, Андрей, за статью! интересно! теперь применить бы на практике ;) А такой вот вопрос: а где этот вирус может прописаться для авто загрузки? видно ли его из под консоли "Службы" в Windows? а еще а обязательно и использовать AVZ для его удаления? если в общем то знаешь к нему путь? (или если он пытается себя защитить - из под любого Live CD)

delauxD

Не буду я ничего доказывать. В мои задачи это не входит. Разные программы для разных целей. Кому надо посмотреть, какие процессы запущены и не притаился ли среди них злобный враг используют Process Explorer как более продвинутый диспетчер задач. Кому нужно отследить обращения в реальном времени к реестру и более глубоко покопать, используют Process Monitor.

Виталий

Можете попробывать Process Hacker, кому интересно: https://sourceforge.net/projects/processhacker/files/
На мой взгляд, тоже интересное решение.