Приветствую дороги друзья, читатели, посетители и прочие личности.
Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе, заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами :)
Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще :) ).
Поехали.
Что такое svchost.exe. Вирус? Куда бежать?!
Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.
Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным). Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.
Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.
Как распознать вирус svchost, а точнее гадости под него маскирующиеся
Начнем с того, что системный svchost.exe обитает исключительно в папке:
- C:\WINDOWS\system32
- C:\WINDOWS\ServicePackFiles\i386
- C:\WINDOWS\Prefetch
- С:\WINDOWS\winsxs\*
Где C:\ - диск куда установлена система, а * - длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be
Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).
Привожу несколько самых путей маскировки вирусами под этот процесс:
- C:\WINDOWS\svchost.exe
- C:\WINDOWS\system\svchost.exe
- C:\WINDOWS\config\svchost.exe
- C:\WINDOWS\inet20000\svchost.exe
- C:\WINDOWS\inetsponsor\svchost.exe
- C:\WINDOWS\sistem\svchost.exe
- C:\WINDOWS\windows\svchost.exe
- C:\WINDOWS\drivers\svchost.exe
И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:
- svсhost.exe (вместо английской "c" используется русская "с")
- svch0st.exe (вместо "o" используется ноль)
- svchos1.exe (вместо "t" используется единица)
- svcchost.exe (2 "c")
- svhost.exe (пропущено "c")
- svchosl.exe (вместо "t" используется "l")
- svchost32.exe (в конец добавлено "32")
- svchosts32.exe (в конец добавлено "s32")
- svchosts.exe (в конец добавлено "s")
- svchoste.exe (в конец добавлено "e")
- svchostt.exe (2 "t" на конце)
- svchosthlp.exe (в конец добавлено "hlp")
- svehost.exe (вместо "c" используется "e")
- svrhost.exe (вместо "c" используется "r")
- svdhost32.exe (вместо "c" используется "d" + в конец добавлено "32")
- svshost.exe (вместо "c" используется "s")
- svhostes.exe (пропущено "c" + в конец добавлено "es")
- svschost.exe (после "v" добавлено лишнее "s")
- svcshost.exe (после "c" добавлено лишнее "s")
- svxhost.exe (вместо "c" используется "x")
- syshost.exe (вместо "vc" используется "ys")
- svchest.exe (вместо "o" используется "e")
- svchoes.exe (вместо "st" используется "es")
- svho0st98.exe
- ssvvcchhoosst.exe
Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.
Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer, благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.
Как удалить вирус svchost.exe
В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ.
Что делаем:
- Скачиваем avz, распаковываем архив, запускаем avz.exe
- В окне программы выбираем “Файл” – “Выполнить скрипт“.
- Вставляем в появившееся окно скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');
DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.Где, как Вы понимаете, под словами "сюда вставлять путь к файлу (главное не перепутать кавычки)" нужно, собственно, вставить этот путь, т.е, например: C:\WINDOWS\system\syshost.exe прямо между '', т.е получиться строки должны так:
QuarantineFile('C:\WINDOWS\system\syshost.exe','');
DeleteFile('C:\WINDOWS\system\syshost.exe'); - Жмем "Запустить", предварительно закрыв все программы.
- Ждем перезагрузки системы
- Проверяем наличие файла
- Проводим полноценную проверку на вирусы и spyware.
Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру.
Впрочем, если и это не помогает, то есть еще небольшой способ (при учете конечно, что Вы сделали всё вышенаписанное), который может помочь.
Проверка и поврежденных системных файлов в целях лечения svchost.exe
В редких (сильно) случаях может помочь вариант проверки системных файлов, который есть в самой системе. Перейдите по пути "C:\ -> Windows -> System32" (где диск C:\ - это тот, куда установлена система).
Там найдите cmd.exe, нажмите на него правой кнопкой мышки и выберите пункт "Запуск от имени администратора".
В самой командной строке введите строку:
sfc /scannow
И дождитесь окончания процесса. Система проведет сканирование всех защищенных системных файлов и заменит все поврежденные файлы. Возможно это не вылечит сам svchost, но может починить сопутствующие файлы, которые приводит к нагрузкам и другим проблемам.
Послесловие
Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.
Буду рад почитать, послушать, поддержать и помочь ;)
- PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла.
- PS2: Проблема может быть связана с работой в фоне обновления Windows. Возможно, что есть смысл его отключить или вообще произвести полную оптимизацию системы из этого материала (особенно для 10-ой версии системы)
- PS3: Если ничего не помогает, то попробуйте пройтись Kaspersky Virus Remove Tool из этой статьи для очистки возможных svchost-разновидностей вируса
C:\Users\House\AppData\Roaming\svchost.exe Доброго времени суток! Я так понимаю, из выше прочитанного сообщения, это тоже вирус?
Правильно понимаете
Был такой же вирус как и у комментатора ,сделал все как описано в теме ,вирус удалился но пропал доступ к интернету через браузер, и при входе в систему microsoft security essentials выдает ошибку 0x80096005. Что делать?
Если пропал доступ, то либо Вы удалили не вирус, а сам системный файл, либо файл был заражен.. И Вы вместо лечения его удалили.
Решение в вашем случае это восстановление файла.
Процесс svchost.exe нагружает систему. Использует примерно 1,5Гб оперативной памяти. При проверке этого процесса через AVZ зависает сама программа (не отвечает) до тех пор пока не остановлю процесс svchost.exe. После автоматической перезагрузки не запускается windows даже в безопасном режиме. Только черный экран и курсор мыши. В чем может быть причина? Заранее спасибо.
Загружайтесь через LiveCD/LiveUSB и смотрите оттуда. Возможно есть смысл подменить старый процесс на новый из чистого дистрибутива. Либо есть Dr.Web liveCureIT и всякие Kaspersky Virus Remove Tool, которые можно запустить до старта системы (с диска и флешки) и попробовать посканироваться оттуда. Так или иначе, прожорливость неадекватная.
У меня почему-то пропадает интернет, если я запрещаю для svchost.exe исходящие, реже входящие подключения. Это нормально? Нужно ли ему разрешать и те и другие?
svchost.exe отвечает за взаимодействие с разного рода службами, в том числе с сетью, поэтому запрещать ему доступ никуда не нужно, - останетесь без интернета :) Как раз поэтому его так активно используют вирусы, маскируясь то под него, то под службы с ним взаимодействующие
Валент, и остальные тоже, снизить вероятность вирусного заражения, и активности инфекции в целом на ПК (связанной с svchost.exe), можно если, - установить правила для данного файла, в фаерволе на, разрешить исходящие соединения и запретить (все) входящие, тоже самое относится и к правилу фаервола для system (уже об этом писали ранее, не внимательно читаете комменты !). Запрещать для этих двух файлов-служб можно только (все) входящие соединения (именно, и только, для этих двух перечисленных !), если им запретить еще и исходящие соединения то, как и сказал Sonikelf, выше, сети не будет вообще !...
...да, и еще, опять же для, Валент, и остальных тоже, - кроме этого еще обязательно необходимо файл hosts пропатчить (например с помощью того же Spybot Search&Destroy) !...
ЕЩЕ ОДИН СПОСОБ! Методом тыка, но помогло. У меня в пути к файлу есть кириллица и avz не распознает символы в скрипте, импровизировал: открываем папку с svchosts, пытаемся удалить прям с проводника, пишет, что занят, нельзя удалить, все верно, НЕ ЗАКРЫВАЕМ это окошечко, где "отмена" и "повторить попытку". Открываем диспетчер задач, выделяем вирусявый svchosts, который нужно удалить, а курсор мыши наводим на кнопку "повторить попытку" нашего незакрытого окошечка, дальше дело техники: нужно нажать Delete на клаве, чтобы процесс завершился, и прямо сразу после этого, очень быстро, клацнуть "повторить попытку", с первого раза может не получиться, но у меня получилось. НО это еще не всё! Теперь удаленный svchosts запускается прямо из корзины, только в диспетчере он называется несвязным набором символов. Собственно, проводим ту же операцию и всё, нету svchosts!)
Как вариант можно использовать программу Unlocker (тут на сайте я про неё писал), но зависит от системы в которой это делать и конкретного файла, который пытаетесь удалить (так-то можно и родной удалить), но вообще вещь у вас интересная получилась :)
djexstas странно, зачем было делать так если можно было попробовать (тем более что Avz уже похоже что имелся) О_о, - Avz, - Сервис, - Диспетчер процессов, - Завершить выбранный-выделенный процесс (Avz обязательно должен быть запущен с правами администратора !), кроме всего прочего данное окно-диспетчер отображает довольно подробную информацию о том что творится на ПК ...
Автор, огромнейший тебе зачет! вирус жрал 60% оперативки, помог только твой совет, все сделала в точности. После ребута по волшебству комп вздохнул спокойно. Сохраню все на будущее, будет плюсик к улучшению компьютерной грамотности. =)
Такая ситуация. Столкнулся сегодня с нетипичным поведением svchost-а
обычно он у меня живёт в следующем режиме - бОльшую часть времени просто сидит себе и тихо функционирует (нагрузка от него на цп около 0), почти ничего не кушая - потом когда комп запускает центр обновления винды то свчост резко стартовал, доводя нагрузку цп до 25 - минут 10-15 поднимая планку кушаемой компом оперативки (при включенном огнелисе) с 30 - 35% до 65-67%, затем несколько умерял свой аппетит и количество скушанной оперативки падало до отметки 50 - 55% (сохраняя 25% загрузки цп), а потом - спустя еще примерно полчаса-час такого режима возращался на нормальную позицию (т.е. оперативка падает до стандартных 30 - 35% при запущенном огнелисе, нагрузка свчоста на цп падает до 0) - я уже привык к такому режиму - но сегодня от ведет себя более чем странно. Не знаю - связано ли это с этим или нет, но вчера вечером были перебои со светом (когда за 15 минут электричество трижды вырубалось - и, соответственно, за эти 15 минут было 3 отключения компа по причине отсуствия света) - и сегодня - после вчерашних отключений свчост ведет себя странно - привычного запуска его в режиме "врубился центр обновления - пошла нагрузка - потом по прошествии привычного времени закончилась" - нет, вмечто этого свчост сохраняя нулевую-околонулевую нагрузку на ЦП просто кушает память - не в том объеме как обычно он кушает при нагрузке - но ошутимо. Минут за 20 медлденно доползло до 40%, и вот уже 2 часа стабильно держится оперативная память на отметке 43 - 45% (вместо нормальных 30 - 35% ), в Диспетчере задач показывая что он долго полз от стандартных 50 - 70 мб которые он обычно кушает при нулевой нагрузке - сперва медленно полз до отметки сперва 170, потом 175, потом 180, и вот уже довольно долгое время сегодня стабильно кушает 184 - 185 мб оперативки при по-прежнему околонулевой нагрузке на цп. Т.е. с одной стороны нет ни 25% нагрузки на цп и поедаемых 600 мб - 1,5 гб. оперативки, которые он обычно кушает в режиме после того как запустилось "центр обновления виндовс" - с другой - он кушает гораздо больше чем он обычно кушает при нулевой нагрузке на цп. ПРи этом с просмотре событий так и не появлялось обычной для нагрузки свчоста на комп стрроки "центр обновления виндовс перешла в состояние работает" - но при этом он в режиме такого вялотекущего кушания лишней нагрузки в 15% оперативки и 185 мб оперативки вот уже два часа. Т.е. если раньше он в режиме повышенной нагрузки свчоста на комп был обычно от получаса до часа - то сегодня вот уже 2 с половиной часа он в описанном выше режиме "ни то ни сё". Не вирус вроде-бы, т.к. расположен там, где и ему полагается. Из странностей еще и то, что примерно через час после запуска в "просмотре событий" среди прочего возникла строка "архивация виндов перешла в состояние работает" хотя у меня не включена функция архивации в принципе. Есть подозрение - что это аномальное поведение свчоста каким-то образом связано со вчерашними проблемами со светом, когда за 15 минут комп 3 раза вырубался по причине отключения питания. Т.е. с одной стороны - в этом аномальном режиме "ни то ни сё" свчост вроде-бы и никак не влияет на скорость работы системы (т.е. хотя он и кушает лишнюю оперативку - комп работает при этом с нормальной скоростью) - т.к. нагрузка много ниже той пиковой, которую он выдавал при обновлениях - но при этом он-же стабильно кушает лишнюю оперативку, что раздражает. Заранее прошу прощения за некоторую сумбурность - т.к. я совсем не спец по компам. Просто ситуация оказывает раздражающее действие (я к любым глюкам и нестандартному поведению компа всегда отношусь весьма нервно)
система Windows 7 Ultimate 64-bit SP1
А какое поведение, по-вашему, стандартно?
ну, я считал что то, какое он демонстрировал до сегодняшнего дня - т.е. когда он кушал лишнюю оперативку только в периоды нагрузки на цп (когда 1 - 2 раза в день - обычно вскоре после включения компа - включался этот "центр обновления виндовс"), а с нулевой нагрузкой на цп кушал гораздо меньше. Т.е. когда в обычном состоянии при выключенном огнелисе используется 20 - 25% оперативки, при включенном огнелисе - 30 - 35%
сегодня же при выключенном огнелисе он выдаёт 37% оперативки, при включенном - около 44 - 45%, т.е. кушает лишние 10 - 12% оперативки, при этом ничего того, что раньше приводило к поеданию им лишней оперативки я не вижу - т.е. никакого "центр обновления работает" и т.д. Поэтому я волнуюсь из-за того, что с одной стороны - он вроде-бы как и надо в спокойном режиме "по нулям" - но почему-то кушает лишнюю оперативку, на 10 - 12% больше, чем обычно до этого кушал.
и еще такой момент - запуск любой программы почему-то увеличивает этот свчост. Например когда я закрыл и снова открыл огнелис - то свчост в диспетчере задач вырос с примерно 184.700 до примерно 185.600 кб (правда сейчас опять упал до 184.032). Просто я нервничаю из-за этой ситуации когда он не пересатёт кушать лишнюю оперативку. Просто я действительно совсем не спец в компьютерах - просто я существо очень млительное и от любого изменения привычного режима работы компа я нервничаю. И обычно если вижу что ест памяти больше, чем обычно (иногда доползал до чуть больших цифр - до 26 - 28% без огнелиса и 37 - 40% с огнелисом - что бывало очень редко и обычно после только очень длительной работы компа - 6-7-8 часов) и тогда я предпочитал лучше перезагрузится, чем он бы кушал лишнюю память. А тут он с самого начала ест лишние 10-12% памяти без какой-бы-то видимой причины - вот я и нервничаю из-за этого. Я существо очень мнительное, при малейшем сомнении хоть в чем-либо всегда проверяю антивиром и т.д. - а тут такое странное поедание лишней памятни - вот и очень нервничаю. Я действительно не разбираюсь в том, как оно устроено - поэтому так сильно волнуюсь при любой нестандартной (с моей точки зрения, т.е. когда хоть чем-либо отличается от того, как всё до этого работало раньше) ситуации - я начинаю нервничать и, как обычно, подозревать самое худшее (а т.к. я в железе и софте совсем не разбираюсь - то мозг начинает рисовать самые страшные картины)
UPD. небольшое дополнение.
перезагрузился - и заметил одну странность как и при прошлой перезагрузке (которая была тоже сегодня) - связанную с центром обновления виндовс
как и в прошлой перезагрузке в "просмотре событий" строка про центр обновления появилась уже ПОСЛЕ команды на перезагрузку. Т.е. если раньше оно обычно при старте компа в первые минут 10-15 запускало это центр обновления и, соответственно, свчост и т.д., то теперь ситуация стала противоположной тому, что было до сегодняшнего дня - т.е. сейчас он (центр обновления) включается в момент выключения - т.е. записи в просмотре событий такие:
(в хронологическом порядке)
14.39.40 - инициировал процесс "Перезапустить"
14.39.40 - уведомление о выходе пользователя
14.39.41 - служюа журнала событий остановлена
14.39.40 (странно - запись идет после 41, но 40) информация о совместимости приложений перешла в состояние работает - сервис контроль менеджер - 7036 - отсутствует
14.39.40. - установщик модулей виндовс перешла в состояние работает - сервис контроль менеджер - 7036 - отсутствует
14.39.40 - автоматическое обновление приостановлено - виндовс апдейт клиент - 27 - агент центра обновления виндовс
14.39.41 - установщик модулей виндовс перешла в состояние остановлена - сервис контроль менеджер - 7036 - отсутствует
14.39.41 - клиент групповой политики перешла в состояние остановлена....
когда гуглил "прроблемы с свчхост" то накткнулся на фразу о том, что он может глючить если до этого когда он качал какое-то обновление отключилось электричество - может когда вчера свет вырубался этот установщик был активен и это могло как-то вызвать то странное состояние свчхоста и центра обновления, что я описал в предыдущих комментах?
UPD 2. Проблема, вроде-бы, кажется отпала сама-собой. После той второй перезагрузки комп вроде-бы вошел в привычный ритм - т.е. свчост при нулевой нагрузке память вроде-бы не кушал, а сейчас наконец включился и центр обновления со стандартным для него 25% цп и т.д. - так что само вернулось в нормальный режим - без посторонней помощи. Но за статью - огромное спасибо. Т.к. я на неё наткнулся в первый раз еще прошлым летом, когда заметил деятельность свчоста - прочитал - и перестал тогда паниковать. Ну а сегодняшние неполадки, наверное, были таки вызваны вчерашними перебоями с электричеством. Так что прошу прощения за "ложную тревогу" так сказать - всё само устаканилось вроде-бы (во всяком случае пока комп себя ведет именно так, как он вел до сегодняшнего дня - т.е. привычно)
только подробный и вдумчивый анализ с такими утилитами как AnvirTaskManager и Process Explorer (или аналогичными) может дать внятный ответна данный вопрос, а вообще, при включении обновления часто идет так называемое фоновое обновление, естественно связанное с svchost, и соответственно отъедает часть ресурсов...
Всегда пожалуйста :)
Помогите у меня проблемы ! БОЛЬШИЕ!! В диспетчера задач никак и названий только значок квадратный синего цвета внутри шестигранник типа (настройки значок есть токого) под таким логотипом название нету жрет 75 % ОЗУ открываю по расположение файла C:\Users\AsuS\AppData\Roaming находится тут вот. Что делать? он уже з...л)))
Это вирус. Лечить.
помогите плиз, процесс находиться в system32, нагружает оперативу полностью, через диспетчер задач закрываеться процесс а после пару минут темный экран и приходит в норму, так же и интернет нагружает, что делать?
Эдуард, все что надо сделать уже не раз описывали выше, расположение процесса (папка) в норме, теперь или Process Explorer или аналогичным ПО нужно выяснить что именно прогружает данный процесс (для тех кто умеет и разбирается в этом), а так вообще, например из самых простых, скачайте LiveCD (и/или) от DrWeb, Kaspersky, Eset, GData и загрузившись с скачанного диска пролечите ваш ПК...
а если путь такой C:\Windows\winsxs тоже вирус?
Обычно не факт, но если грузит, то может
Здраствуйте.
На моем компьютере начал сильно уменьшаться ФПС, знакомый подсказал проверить свхосты, наткнулся я на ваш сайт и используя данную статью случайно убил ОС, удалив системный свхост. После восстановления ОС производительность(как мне показалось) пришла в норму ФПС в игре ниже 150 не падал, сыграл 2-3 игры и проблема вернулась фпс 30-40. Сделал полное форматирвание винчестера, поставил ОС заново все снова вроде пришло в норму и через какое-то время проблема снова вернулась. Вопрос, могут ли черви проникнуть на ПК через клиент игры(источник надежный)? Могут ли они проникать через wifi(это чисто моя версия, так как роутер старенький, частенько дает перебои в работе, я не включал ни один браузер после последней переустановки ОС, по этому кажется что из интернета я не мог подцепить вирус)? Или как вариант может вообще проблема не с свхост?
ОС windows 7 x64
антивирус Eset(в отчетах его файерволла были сообщения о блокировки свхост и роутера)
И сразу хочу сказать если будете советовать просканировать с помощью Cure IT, не советуйте, пробовал-угроз не обнаружено
Приветствую.
Сумбурно описано, в целом через Wi-Fi - скорее нет, но смотря что Вы под этим понимаете.
Через клиент, - да, всё бывает. Но может быть и не в нем проблем.
В общем, читайте статью и комментарии
Читал перечитывал дельного ничего не нашел, по этому и решил сам написать.
Кстати сегодня через process explorer заметил, что при запуске игры/браузера открывается процесс, у которого нету пути к его нахождению и завершить его нельзя, пишет в доступе отказано, сразу потом проверил антивирусом и cure но все чисто = )
Если возможно, объясните что означает сия информация в отчете АВЗ
Функция user32.dll:ChangeDisplaySettingsExW (1539) перехвачена, метод APICodeHijack.JmpTo[73B729F6]
>>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован
Функция user32.dll:CreateWindowExW (1619) перехвачена, метод APICodeHijack.JmpTo[73B72BB6]
>>> Код руткита в функции CreateWindowExW нейтрализован
Функция user32.dll:DisplayConfigGetDeviceInfo (1685) перехвачена, метод APICodeHijack.JmpTo[73B73476]
>>> Код руткита в функции DisplayConfigGetDeviceInfo нейтрализован
Функция user32.dll:EnumDisplayDevicesA (1737) перехвачена, метод APICodeHijack.JmpTo[73B73496]
>>> Код руткита в функции EnumDisplayDevicesA нейтрализован
Функция user32.dll:EnumDisplayDevicesW (1738) перехвачена, метод APICodeHijack.JmpTo[73B73506]
>>> Код руткита в функции EnumDisplayDevicesW нейтрализован
Дело в том, что при каждом запуске АВЗ, он пишет, что нейтрализует эти угрозы, то есть как я понимаю ничего он не нейтрализует на самом деле
Пожалуйста помогите
Олег, вы не правы, AVZ все же производит нейтрализацию перехваченных потоков, но, как и любое другое ПО, лишь только при условии что запущено от имени администратора! (и как и любое другое АВ ПО должным образом еще и настроено!), по данным сообщениям, - детализацию данных перехватов можно увидеть по окончании сканирования AVZ, в его журналах, а не в основном окне данного ПО, не исключается и то что данные перехваченные потоки являются составной частью используемого вами антивирусного ПО (на сколько мне лично на данный момент кажется, это возможно потоки самого ESET, но не на 100%), в общем в любом случае смотрите детализацию-логи AVZ (нажать,в AVZ, в нижнем окне, справа, иконка очки)
...уппс, уточнение, (нажать,в AVZ, в нижнем окне, справа, иконка очки) только по завершении сканирования !, все найденные (учтите, могут быть и явные и только предполагаемые угрозы, сразу жамкать, Удалить, нельзя, для окончательного вердикта нужно на 100% быть уверенным что это инфекция, т.е. должным образом разбираться в ОС и ее процессах !)...
Это да, но пользователю 100% уверенность, в общем-то брать неоткуда.
Да и не только ему.
почему же, дальнейший анализ поведения и регулярное наблюдение за выявленными процессами-потоками (особенно сетевая активность выявленного) могут многое прояснить, главное в этом деле внимательность и не лениться :)...
Это к пользователю как раз не относится, ему бы побыстрее и с минимум сложностей.. А лучше, чтобы оно само :)
ну то что им хочется порой как нечто из области фантастики :D...
У меня в AVZ выдаёт ошибку '.' expected в позиции 6:1
Малёха поковырявшись сделал позиции 3:1
Где то с месяц назад ожил вдруг этот процесс всеми "любимый" и как заноза, беспокоит время от времени.
Стоит Кис 2015 и bwmeter для трафика + файрвол.
Проявляет себя в основном при входе систему. Тянет 40-60% одеяла на себя.
Приходится убивать или тупо ждать пару минут пока успокоится.
Завязан скорее всего на сеть, т.к. в ProcessExplorer строка на запуск C:\Windows\system32\svchost.exe -k netsvcs
Если закрываю его сразу, глючат сетевые сервисы, wifi и клиент для модема usb 3G. Делаю выход и потом всё работает.
Может кто подскажет, как определить кто на нём так долго весит в начале запуска, раньше такого не было.
Чувствую, что скоро начнёт закипать и придётся накатить Акронисом резервную, а так нехотца.
Торрентами пользуетесь в каком-либо виде?
Да, но клиент существует в портабл версии, в автозагрузке нет его.
Нагрузка на цп также проявляется при вкл\откл интернета. Раньше подключение было 3 с, теперь до 10.
для начала попробуйте переустановите сетевые драйвера...
Снёс все клиенты для usb 3g, удалил драйвера модема, отключил модем.
Перезагрузка - поведение svchost.exe (Инструментарий управления Windows) не изменилось, нагрузка на цп около 40% минуты две, потом всё спокойно.
Подключил модем, установил драйвера. Вкл\откл интернет даёт нагрузку через svchost.exe 30% 40-60 секунд. Это канечно не кретично, но малость напрягает.
Сбегал в win xp, там всё тихо мирно.
раз не помогло то о чем говорилось выше, то, сразу же после запуска ОС (пока svchost.exe еще ест ресурсы) просмотрите подробности по всем взаимосвязанным компонентам (службы сервисы и т.д.), таким образом выявите конкретный компонент загружающий ОС (или с помощью Process Explorer или Anvir Task Manager), на данный момент выявленная строка не является всеми взаимосвязанными компонентами вашей проблемы, необходимо отследить непосредственно сам компонент прогружающий систему...
Попробуйте отключить обновления, торренты, антивирусы и вообще все, что может потреблять трафик в фоновом режиме.
Если ничего не помогает, то может быть вирус. Как вариант поставьте какой-нибудь фаерволл, посмотрите, что получится.
Здравствуйте,начало жрать буквально 2 часа назад,оперативно нашёл ваш сайт нашёл вирус C:\Users\Oleg\AppData\Roaming\mscorlib.bi2
я так понял что это левый файл,поскольку он появился только сегодня в 18 26,по вашей инструкции скачал AVZ,просканировал как написано,путь написал с нормальными кавычками,пошла перезагрузка,но файл не исчез,хотя жрать перестал пока(Тьфу-тьфу) можете что-либо посоветовать?
Приветствую.
Не очень понял как файл mscorlib.bi2 связан с svchost.exe , но раз жрать перестало, то хорошо. Пока наблюдайте за ситуацией.
Не этот файл,это путь к тому файлу,в папке роуминг есть папка mscorlib.bi2 а уже в этой папке svchost.exe,сегодня после запуска с утра опять начало жрать,проделал тот же путь,пока работает нормально,но вирус не пропал
Если это папка, а в ней svchost.exe, то вирус. Удаляйте
Уехал в камандировку и надолго, так что всем спасибо, буду кавырять потом.
Думаю в моём случае придётся долго и нудно изучать составляюшие процесса,
причём посмотреть их нагрузку на цп не вижу возможности.
И имхо по времени гораздо проще зделать резервную и накатить старую, чем неделю
ковырять один процесс. Тем более ОС уже три года, пора похоже ей на пенсию.
дело конечно ваше, но лично я не вижу в этом ничего сложного (в том же Anvir Task Manager вкладка Процессы при сортировке сразу же указывает на так называемую вторичную цель, т.е. обычно на то что становится так называемой жертвой, далее, нижнее окно Детальная информация, дает просто море возможностей для быстрого обнаружения виновника проблем, т.е. первичную цель, одна только сортировка по критериям поиска, как уже говорилось выше, чего стоит =) ), кроме всего прочего, с тем объемом инфекции с которым приходится иметь дело мне, и вашим решением-методом мне бы например только и пришлось бы сидеть на бесконечных бэкапах (чужая техника которую частенько приходится лечить не редко оказывается довольно заразной знаете ли вещью) :D...
Ну кто-то не видит, кто-то видит :) Тут уж каждому своё
кому как это точно, но, тем не менее, обычно в этом деле лень самый большой якорь :),...в редких случаях еще, раз я не понимаю значит оно мне не надо (например зачем учиться лично если есть для того другие) :D...