• Главная
  • Карта сайта
Не найдено

ірус SVCHOST.EXE і не вірус SVCHOST.EXE. Як визначити і що робити ?. Обговорення на LiveInternet

  1. Що таке svchost.exe. Вірус? Куди бігти ?!
  2. Як розпізнати вірус svchost, а точніше гидоти під нього маскуються
  3. Як видалити вірус svchost.exe
  4. Післямова

Що таке svchost.exe. Вірус? Куди бігти ?!

Почнемо з того, що Generic Host Process for Win32 Services (а саме і є той самий svchost) представляє з себе системний процес, вселенски важливий в існуванні Windows , А саме тих служб, програм і сервісів системи, які використовують, так звані, DLL -бібліотеки.

Цих самих svchost.exe і справді може бути в системі рішуче багато, адже службам і програмам досить важко дружно використовувати і возюкаться з одним процесом (Їх то, служб, багато, а бідний беззахисний svchost зовсім один), а тому зазвичай системою запускаються кілька примірників цього щастя, але з різними номерами (ідентифікаторами процесу, якщо бути точним). Відповідно, кожен svchost.exe обслуговує свій набір служб і програм, а тому, в залежності від кількості їх в Windows, число цих самих процесів svchost може варіюватися від штуки до декількох десятків. Ще раз для тих хто не зрозумів: це процеси системи і чіпати їх не треба.

Але дійсно, бувають ситуації, коли під цей процес маскуються віруси (ще раз хочу загострити увагу: саме маскуються, саме віруси, а не сам процес є шкідливим). Давайте розбиратися як їх вичислити і що з ними робити.

Як розпізнати вірус svchost, а точніше гидоти під нього маскуються

Почнемо з того, що системний svchost.exe мешкає виключно в папці:

  • C: \ WINDOWS \ system32
  • C: \ WINDOWS \ ServicePackFiles \ i386
  • C: \ WINDOWS \ Prefetch
  • З: \ WINDOWS \ winsxs \ *

Де C: \ - диск куди встановлена ​​система, а * - довга назва папки на кшталт amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be

Якщо він знаходиться в будь-якому іншому місці, а особливо якимось дивом оселився в самій папці WINDOWS, то найбільш імовірно (майже 95,5%), що це вірус (за рідкісним винятком).

Наводжу кілька самих шляхів маскування вірусами під цей процес:

  • C: \ WINDOWS \ svchost.exe
  • C: \ WINDOWS \ system \ svchost.exe
  • C: \ WINDOWS \ config \ svchost.exe
  • C: \ WINDOWS \ inet20000 \ svchost.exe
  • C: \ WINDOWS \ inetsponsor \ svchost.exe
  • C: \ WINDOWS \ sistem \ svchost.exe
  • C: \ WINDOWS \ windows \ svchost.exe
  • C: \ WINDOWS \ drivers \ svchost.exe

І кілька самих часто використовуваних назв файлів, вірусами маскуються під svchost.exe :

  • sv з host.exe (замість англійської "c" використовується російська "з")
  • svch 0st.exe (замість "o" використовується нуль)
  • svchos 1.exe (замість "t" використовується одиниця)
  • svc chost.exe (2 "c")
  • svhost.exe (пропущено "c")
  • svchos l.exe (замість "t" використовується "l")
  • svchost 32 .exe (до кінця додано "32")
  • svchost s32 .exe (до кінця додано "s32")
  • svchost s.exe (до кінця додано "s")
  • svchost e.exe (до кінця додано "e")
  • svchost t.exe (2 "t" на кінці)
  • svchost hlp .exe (до кінця додано "hlp")
  • sv ehost.exe (замість "c" використовується "e")
  • sv rhost.exe (замість "c" використовується "r")
  • sv dhost 32 .exe (замість "c" використовується "d" + в кінець додано "32")
  • sv shost.exe (замість "c" використовується "s")
  • svhost es .exe (пропущено "c" + в кінець додано "es")
  • sv schost.exe (після "v" додано зайве "s")
  • svc shost.exe (після "c" додано зайве "s")
  • sv xhost.exe (замість "c" використовується "x")
  • s ys host.exe (замість "vc" використовується "ys")
  • svch est.exe (замість "o" використовується "e")
  • svcho es .exe (замість "st" використовується "es")
  • svho 0st 98 .exe
  • ssvvcchhoosst.exe

Решта, в общем-то, теж бувають, але ці одні з найпопулярніших, так що майте на увазі і будьте пильні.

Подивитися назва файлу можна в диспетчері завдань, хоча я рекомендую відразу використовувати Process Explorer , Благо, використовуючи його, можна відразу подивитися шляху та іншу інформацію просто зробивши подвійний клік по процесу в списку.

Як видалити вірус svchost.exe

У видаленні цієї гидоти (якщо вона все таки нею є) нам допоможе старий-добрий AVZ .
Що робимо:

  1. викачуємо avz , Розпаковуємо архів, запускаємо avz.exe
  2. У вікні програми вибираємо "Файл" - "Виконати скрипт".
  3. Вставляємо в вікно, що з'явилося скрипт:

    begin
    SearchRootkit (true, true);
    SetAVZGuardStatus (True);
    QuarantineFile ( 'сюди вставляти шлях до файлу (головне не переплутати лапки)', '');
    DeleteFile ( 'сюди вставляти шлях до файлу (головне не переплутати лапки)');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard ( 'TSW', 2,3, true);
    BC_Activate;
    RebootWindows (true);
    end.

    Де, як Ви розумієте, під словами "сюди вставляти шлях до файлу (головне не переплутати лапки)" потрібно, власне, вставити цей шлях, тобто, наприклад: C: \ WINDOWS \ system \ s ys host.exe прямо між ' ', тобто вийти рядки повинні так:

    QuarantineFile ( 'C: \ WINDOWS \ system \ s ys host.exe', '');
    DeleteFile ( 'C: \ WINDOWS \ system \ s ys host.exe');

  4. Тиснемо "Запустити", попередньо закривши всі програми.
  5. Чекаємо перезавантаження системи
  6. Перевіряємо наявність файлу
  7. проводимо повноцінну перевірку на віруси і spyware .

Ну і .. Посміхаємося і махаємо .. У сенсі радіємо життю і очищеного комп'ютера.

Післямова

Як завжди, якщо будуть якісь питання, доповнення та інші різниці, то пишіть в коментарях.
Буду радий почитати, послухати, підтримати і допомогти 😉

PS: Багато стикаються з тим, що svchost завантажує процесор і систему взагалі. Часто це пов'язано з тим, що в системі знаходиться вірус, що розсилає спам або створює інший шкідливий трафік, через що процес активно використовується оним. Як правило це лікується скануванням на віруси, spyware і установкою фаєрвол ла.
PS2: Проблема може бути пов'язана з роботою в тлі поновлення Windows. Можливо, що є сенс його відключити або взагалі провести повну оптимізацію системи з цього матеріалу (Особливо для 10-ій версії системи)
PS3: Якщо нічого не допомагає, то спробуйте пройтися Kaspersky Virus Remove Tool з цієї статті для очищення можливих svchost-різновидів вірусу


Вірус?
Куди бігти ?
Вірус?
Куди бігти ?
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью