• Главная
  • Карта сайта
Не найдено

Что такое svchost и почему грузит процессор

Опубликовано: 06.09.2018

Приветствую дороги друзья, читатели, посетители и прочие личности. Сегодня поговорим про такую вещь как svchost .

Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе , заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами :)

Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost , как с ним бороться и надо ли это делать вообще (и вирус ли это вообще :) ).

Поехали.

Что это за процесс SVCHOST и вирус или нет?

Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost ) представляет из себя системный процесс, вселенски важный в существовании Windows , а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL -библиотеки.

Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным).

Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows , число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.

Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.

к содержанию ↑

Как распознать вирус svchost и сам файл

Начнем с того, что системный svchost.exe обитает исключительно в папке:

C:\WINDOWS\ system32 C:\WINDOWS\ ServicePackFiles\i386 C:\WINDOWS\ Prefetch С:\WINDOWS\ winsxs\*

Где C:\ - диск куда установлена система, а * - длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be

Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS , то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).

Привожу несколько самых путей маскировки вирусами под этот процесс:

C:\ WINDOWS \svchost.exe C:\WINDOWS\ system \svchost.exe C:\WINDOWS\ config \svchost.exe C:\WINDOWS\ inet20000 \svchost.exe C:\WINDOWS\ inetsponsor \svchost.exe C:\WINDOWS\ sistem \svchost.exe C:\WINDOWS\ windows \svchost.exe C:\WINDOWS\ drivers \svchost.exe

И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe :

sv с host.exe (вместо английской "c" используется русская "с") svch 0st.exe (вместо "o" используется ноль) svchos 1.exe (вместо "t" используется единица) svc chost.exe (2 "c") svhost.exe (пропущено "c") svchos l.exe (вместо "t" используется "l") svchost 32 .exe (в конец добавлено "32") svchost s32 .exe (в конец добавлено "s32") svchost s.exe (в конец добавлено "s") svchost e.exe (в конец добавлено "e") svchost t.exe (2 "t" на конце) svchost hlp .exe (в конец добавлено "hlp") sv ehost.exe (вместо "c" используется "e") sv rhost.exe (вместо "c" используется "r") sv dhost 32 .exe (вместо "c" используется "d" + в конец добавлено "32") sv shost.exe (вместо "c" используется "s") svhost es .exe (пропущено "c" + в конец добавлено "es") sv schost.exe (после "v" добавлено лишнее "s") svc shost.exe (после "c" добавлено лишнее "s") sv xhost.exe (вместо "c" используется "x") s ys host.exe (вместо "vc" используется "ys") svch est.exe (вместо "o" используется "e") svcho es .exe (вместо "st" используется "es") svho 0st 98 .exe ssvvcchhoosst.exe

Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.

Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer , благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.

к содержанию ↑

Как удалить и решить проблему с SVCHOST или вирусом

В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ .

Что делаем:

Скачиваем avz , распаковываем архив, запускаем avz.exe В окне программы выбираем “ Файл ” – “ Выполнить скрипт “. Вставляем в появившееся окно скрипт:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');

DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');

BC_ImportAll;

ExecuteSysClean;

ExecuteWizard('TSW',2,3,true);

BC_Activate;

RebootWindows(true);

end.

Где, как Вы понимаете, под словами " сюда вставлять путь к файлу (главное не перепутать кавычки) " нужно, собственно, вставить этот путь, т.е, например: C:\WINDOWS\system \s ys host.exe прямо между '' , т.е получиться строки должны так:

QuarantineFile('C:\WINDOWS\ system \s ys host.exe','');

DeleteFile('C:\WINDOWS\ system \s ys host.exe');

Жмем " Запустить ", предварительно закрыв все программы.

Ждем перезагрузки системы Проверяем наличие файла Проводим полноценную проверку на вирусы и spyware .

Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру.

Впрочем, если и это не помогает, то есть еще небольшой способ (при учете конечно, что Вы сделали всё вышенаписанное), который может помочь.

к содержанию ↑

Проверка поврежденных системных файлов в целях лечения

В редких (сильно) случаях может помочь вариант проверки системных файлов, который есть в самой системе. Перейдите по пути " C:\ -> Windows  -> System32 " (где диск C:\ - это тот, куда установлена система).

Там найдите cmd.exe , нажмите на него правой кнопкой мышки и выберите пункт " Запуск от имени администратора ".

В самой командной строке введите строку:

sfc /scannow

И дождитесь окончания процесса. Система проведет сканирование всех защищенных системных файлов и заменит все поврежденные файлы. Возможно это не вылечит сам  svchost , но может починить сопутствующие файлы, которые приводит к нагрузкам и другим проблемам.

к содержанию ↑

Послесловие

Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.

Буду рад почитать, послушать, поддержать и помочь ;)

PS : Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла. PS2 : Проблема может быть связана с работой в фоне обновления Windows . Возможно, что есть смысл его отключить или вообще произвести полную оптимизацию системы из этого материала (особенно для 10-ой версии системы) PS3 : Если ничего не помогает, то попробуйте пройтись Kaspersky Virus Remove Tool из этой статьи для очистки возможных svchost-разновидностей вируса
Новости
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью

rss