Что такое svchost и почему грузит процессор?

статьи
безопасность

Приветствую дороги друзья, читатели, посетители и прочие личности. Сегодня поговорим про такую вещь как svchost.

Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе, заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами :)

virus

Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще :) ).

Поехали.

Что это за процесс SVCHOST и вирус или нет?

Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.

svchost

Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным). Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.

Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.

к содержанию ↑

Как распознать вирус svchost и сам файл

Начнем с того, что системный svchost.exe обитает исключительно в папке:

  • C:\WINDOWS\system32
  • C:\WINDOWS\ServicePackFiles\i386
  • C:\WINDOWS\Prefetch
  • С:\WINDOWS\winsxs\*

Где C:\ - диск куда установлена система, а * - длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be

Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).

Привожу несколько самых путей маскировки вирусами под этот процесс:

  • C:\WINDOWS\svchost.exe
  • C:\WINDOWS\system\svchost.exe
  • C:\WINDOWS\config\svchost.exe
  • C:\WINDOWS\inet20000\svchost.exe
  • C:\WINDOWS\inetsponsor\svchost.exe
  • C:\WINDOWS\sistem\svchost.exe
  • C:\WINDOWS\windows\svchost.exe
  • C:\WINDOWS\drivers\svchost.exe

И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:

  • svсhost.exe (вместо английской "c" используется русская "с")
  • svch0st.exe (вместо "o" используется ноль)
  • svchos1.exe (вместо "t" используется единица)
  • svcchost.exe (2 "c")
  • svhost.exe (пропущено "c")
  • svchosl.exe (вместо "t" используется "l")
  • svchost32.exe (в конец добавлено "32")
  • svchosts32.exe (в конец добавлено "s32")
  • svchosts.exe (в конец добавлено "s")
  • svchoste.exe (в конец добавлено "e")
  • svchostt.exe (2 "t" на конце)
  • svchosthlp.exe (в конец добавлено "hlp")
  • svehost.exe (вместо "c" используется "e")
  • svrhost.exe (вместо "c" используется "r")
  • svdhost32.exe (вместо "c" используется "d" + в конец добавлено "32")
  • svshost.exe (вместо "c" используется "s")
  • svhostes.exe (пропущено "c" + в конец добавлено "es")
  • svschost.exe (после "v" добавлено лишнее "s")
  • svcshost.exe (после "c" добавлено лишнее "s")
  • svxhost.exe (вместо "c" используется "x")
  • syshost.exe (вместо "vc" используется "ys")
  • svchest.exe (вместо "o" используется "e")
  • svchoes.exe (вместо "st" используется "es")
  • svho0st98.exe
  • ssvvcchhoosst.exe

Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.

process explorer

Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer, благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.

к содержанию ↑

Как удалить и решить проблему с SVCHOST или вирусом

В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ.
Что делаем:

  1. Скачиваем avz, распаковываем архив, запускаем avz.exe
  2. В окне программы выбираем “Файл” – “Выполнить скрипт“.
  3. Вставляем в появившееся окно скрипт:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');
    DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.

    Где, как Вы понимаете, под словами "сюда вставлять путь к файлу (главное не перепутать кавычки)" нужно, собственно, вставить этот путь, т.е, например: C:\WINDOWS\system\syshost.exe прямо между '', т.е получиться строки должны так:
    QuarantineFile('C:\WINDOWS\system\syshost.exe','');
    DeleteFile('C:\WINDOWS\system\syshost.exe');
  4. Жмем "Запустить", предварительно закрыв все программы.
    выполнение скрипта svchost.exe
  5. Ждем перезагрузки системы
  6. Проверяем наличие файла
  7. Проводим полноценную проверку на вирусы и spyware.

Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру.

Впрочем, если и это не помогает, то есть еще небольшой способ (при учете конечно, что Вы сделали всё вышенаписанное), который может помочь.

к содержанию ↑

Проверка поврежденных системных файлов в целях лечения

В редких (сильно) случаях может помочь вариант проверки системных файлов, который есть в самой системе. Перейдите по пути "C:\ -> Windows  -> System32" (где диск C:\ - это тот, куда установлена система).

cmd запуск от имени администратора

Там найдите cmd.exe, нажмите на него правой кнопкой мышки и выберите пункт "Запуск от имени администратора".

проверка системных файлов для восстановления svchost.ext

В самой командной строке введите строку:

sfc /scannow

И дождитесь окончания процесса. Система проведет сканирование всех защищенных системных файлов и заменит все поврежденные файлы. Возможно это не вылечит сам svchost, но может починить сопутствующие файлы, которые приводит к нагрузкам и другим проблемам.

к содержанию ↑

Послесловие

Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.

Буду рад почитать, послушать, поддержать и помочь ;)

  • PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла.
  • PS2: Проблема может быть связана с работой в фоне обновления Windows. Возможно, что есть смысл его отключить или вообще произвести полную оптимизацию системы из этого материала (особенно для 10-ой версии системы)
  • PS3: Если ничего не помогает, то попробуйте пройтись Kaspersky Virus Remove Tool из этой статьи для очистки возможных svchost-разновидностей вируса



Sonikelf's Project's логотип Космодамианская наб., 32-34 Россия, Москва (916) 174-8226
  • кстати, из приведенного скрина, для чего у вас так много запущено одноименных процессов chrome.exe ?!, Adguard кстати лучше бы заменить на например плагин uBlock (значительно менее прожорлив, кроме всего прочего еще и бесплатен, в отличие от вашего монстрика) :).

    • Там половина скорее всего вирусные, запущенные из других мест и другими пользователями.
      Отсюда и тормоза.

      • так в любом случае если она понимает что делает то, пусть завершит все лишние процессы (к svchost.exe это пока не относится), те же chrome.exe все для начала позавершать а дальше уже по обстоятельствам и дальнейшему анализу процессов :)...

  • Странно... Вчера так долго писала большой комментарий, а сегодня его здесь нет :(

  • ответить
    Артур

    У меня svchost.exe находится здесь C:\Windows\SysWOW64. Это нормально?

    • ответить
      Денис

      Так статью прочитайте(это вирусняк)

  • Артур, если у вас 64 битная ОС то это нормальное его место положение (учитесь внимательно читать информацию и комментарии, - относится ко всем читателям !), и тем не менее онлайн проверку ни кто не отменял, "скормите" данный файл например сервису вирустотал (надеюсь что тем же например гуглом и этим самым вирустотал объяснять нет необходимости как пользоваться ?) на проверку антивирусным движкам.

  • Теперь все комментарии пропали :(

  • Ок, напишу это ещё раз.

    1. "...озвучьте режим в котором работает канал к которому подключен HDD на вашем ноуте" - где это? Нахожу диспетчер устройств C:\Windows\System32\devmgmt.msc но в нём не знаю, где это смотреть? http://clip2net.com/s/3HrBjWG

    2. "... так много запущено одноименных процессов chrome.exe" - это в Хроме открыто несколько окон плюс активны несколько дополнений, переводчики, WOT, Adblock Plus. При попытке завершить эти процессы, закрываются окна или процессы вылетают.

    3. "Там половина скорее всего вирусные, запущенные из других мест и другими пользователями.
    Отсюда и тормоза." - я пользуюсь интернетом от Мегафона, скорость не космическая, и не чувствую, чтоб сильно менялась, а комп, бывает, виснет и при новом включении, когда просто пытаюсь на нём что-то найти.

    • Вот, пропустило

    • 1 да там, но вкладка IDE ATA/ATAPI контроллеры, далее на вкладке "Первичный канал IDE", "Вторичный канал IDE" и т.д. "жамкаете" по надписи мышкой, и уже в самой появившейся панельке с примерным названием "Свойства канала" на вкладке, "Дополнительные параметры", смотрите параметры, "Режим передачи" (для подключенного устройства должен стоять, - DMA, если доступно), и "Текущий режим передачи" (для подключенного устройства обычно должно быть что то вроде, Режим ультра DMA: 5), если же вместо DMA там будет режим PIO то это так же приведет к чрезмерно медленной работе ПК.

      2 ну так закройте на время тестов все лишнее (рекомендуется для поиска, причин и следствий, установить или Anvir Task Manager или Process Explorer и делать анализ процессов непосредственно ими, если же собираетесь делать это с помощью Диспетчера процессов то как минимум активируйте опцию, в нем, с примерным названием, - отображать процессы всех пользователей), или вам нравится в ворохе из этих процессов искать первопричины тормозов ПК ?!

      3 в контексте вашей проблемы, интернет провайдер и собственно пользователи процессов (в том же Диспетчере задач) как бы несколько разные вещи, скорость интернета и тормоза ПК часто несколько не связанные друг с другом вещи (см. пункт 2).

  • ответить
    Иван Рогач

    в общем почитал комментарии ,по ним понял что я Удалил НЕ вирус ,а нужный файл ,теперь у меня черный экран с курсором
    Как мне восстановить этот файл ?

    • первый вариант, режим восстановления, с загрузочного диска с этой же ОС,

      второй вариант, LiveCD диск (разновидностей WinPE навалом) с него загрузиться настроить и подключить интернет и скачать данный файл из сети интернет, поместить данный файл в свою директорию,

      третий вариант, установочный диск плюс LiveCD, распаковка установочного архива с данным файлом и копирование его же в свою директорию,

      четвертый вариант, опять же с LiveCD, поиск копии и копирование данного файла в свою директорию из установочных директорий ОС, у большинства это (пример приведен для 32 разрядной ОС) C:\WINDOWS\system32\dllcache

  • а еще и пятый вариант (для этого LiveCD должен быть с такой же версией ОС что установлена и на вашем ПК), загружаетесь с Live CD и делаете копирование данного файла в свою директорию, из виртуального каталога с LiveCD (временно распаковывается или в ОЗУ или на HDD вашего ПК пока работает данная виртуальная ОС) .

  • ответить
    Любомир

    C:\Users\Liubomyr\AppData\Local\svshost что скажете?

  • Если svchost.exe находится в C:\Windows\SysWOW64 вирус?

  • ответить
    Вячеслав

    Огромное спасибо , как только стал проверять место "прописки" один из файлов вдруг исчез .

  • подскажите это вирус
    С:\Пользователи\Danila\AppData\Local\Temp\svchost1

    • Почему Вы не хотите читать статью?

  • Всё нашёл

  • Если один svchost использует 26000 кб это вирус?

  • ответить
    Сергей

    Вечер добрый!
    Статья прочитал, очень занимательно, но проблема в другом
    В последнее время компьютер зависает жёстко, но только в случае сайтов с медиатрафиком (напр. ютюб и вк) т.е. когда нажимаю плэй всё зависает, alt+ctrl+del не работает, только выключение с кнопки. Что делать , помогите пжлста, аваст никаких вирусов не находит(

    А насчёт svchost.exe, у меня они все в system32, только один процесс (svchost*32) находится в windows\SysWOW64 - это нормально?? просто эту папку вы в статье не указывали, буду очень благодаерен за консультацию, заранее спасибо!!

    • Приветствую.
      По зависаниям, начинайте с тестов стабильности.
      И прочей диагностики.

      По syswow - иногда может быть, но надо смотреть. На счет "все" - это сколько и как называются? :)

  • ответить
    Михаил

    Основная проблема и ошибка людей которые читают статью, не знают где это файл находится.
    Просто зайдите в диспетчер задач, найдите этот процесс что жрет всё, и нажмите на нем расположение файла.
    Потом на этом файле, "свойства" смотрите путь и скопируйте в скрипт и допишите название файла который тоже в свойствах. Так-как все пишут больше всего название и путь со статьи...

  • ответить
    Дмитрий

    Дело в том, что у меня ни один процесс "свхоста" не отслеживается в диспетчере задач. Он показывается только в мониторе производительности, через который нельзя отследить откуда файл работает, что усложняет мне задачу. Я чётко вижу svchost.exe.exe который кушает за мой счёт больше остальных программ в три раза, и уверен что это вирус. Закрыть пробовал, компьютер мог спокойно выдохнуть на 1 минуту, после чего процесс автоматически запускается, и начинает жрать чрезмерно много CPU. Пробовал найти в самых популярных местах, безрезультатно.
    Помогите.

    • ответить
      Дмитрий

      Кажется нашёл!!! Определил по связанным модулям.
      Образ: svchost.exe.exe
      Полный путь: C:/Windows/Microsoft/svchost.exe.exe
      Вирусня?

      • Дважды exe. Скорее всего да.

      • как минимум, если все именно так как и написано, т.е. двойное расширение .exe.exe то это 100% вирус...

    • ответить
      Александр

      Решается очень просто,отключением службы обновления Windows.Если конечно антивирус молчит.

  • Благодарю!!!
    Ты просто спас меня, винде 3 года и не хотел заново нечего качать (Были важные файлы и у меня попросту не было столько памяти на съемном накопители)
    Я уже впал в депрессию и тут случилось чудо! Блин аж слов нету как тебя отблагодарить !
    В YouTube показывают не то что нужно, на других форумах тоже не то. Только ты помог!
    Спасибо :)
    Еще вирус нагружал систему, что было не возможно смотреть даже видео. Блокировал доступ в папку "Microsoft" и другие папки системы, а тут раз и все разблокировалось.
    Еще раз Спасибо !

  • Спс Помогло)

  • ответить
    Givikap120

    У меня вирус назывался svchost.exe, тобишь хорошо замаскировался, так как у меня включены расширения, то у меня он назывался svchost.exe.exe и я сразу его раскрыл, а находился он в папке C:\Windows\Microsoft\ но прикол в том, что у меня на компе такой папки НЕТ, то есть ВООБЩЕ НЕТ. И еще способ как его раскрыть: нажимаете Подробно в диспетчере задач, там будет много таких хостов, и у того у кого другое название - вирус. А настоящие "хосты" в основной панели диспетчера вообще не отображались! Только вирус.

  • ответить
    дмитрий

    как же быть?при загрузке avz на экране с правой стороны высветилась надпись(найдена вредоносная програма,windows удоляет ее).больше загрузить avz мне не удалось,хотя и делал из официального сайта.

    • Добавить AVZ в исключения антивируса или отключить тот на время работы с программой

  • ответить
    Тимур

    У меня файл называется sv.chost.exe.exe при этом он находится в C:\Windows\Microsoft а туда я попасть не могу пишет Отказано в доступе

  • Здравствуйте, Сис.Админ.
    До сих пор имею ХР :-) и такие svhostы:
    SVCHOST.EXE-3530F672.pf на C:\WINDOWS\Prefetch
    svchost на C:\WINDOWS\system32
    SMSvcHost на C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319
    SMSvcHost.exe.config на C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319
    SMSvcHost на C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation
    SMSvcHost.exe.config на C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation.
    Что мне удалисть из имеющихся svchost?
    Заранее благодарен.

 

* - комментарии могут появляться не сразу, попасть в спам или быть удалены за несоответствие правилам