Лечение svchost. Удаление вируса svchost exe из системы Windows

Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» - Win32.HLLP.Neshta (классификация Dr.Web).

Этот «самозванец» копирует себя в директорию Windows, заражает файлы с расширением «exe» и забирает системные ресурсы (оперативную память, интернет-трафик). Впрочем, он способен и на другие гадости. Известны случаи инфицирования, когда вирусный svchost загружает ОЗУ компьютера на 98-100% , отключает интернет-канал, нарушает функционирование локальной сети.

Файлы svсhost - добрые и злые, или кто есть кто

Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».

Истинный процесс

Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка - «ещё 29 вариантов»).

Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):

• SYSTEM;
• LOCAL SERVICE;
• NETWORK SERVICE.

Хакерская подделка

Может находиться в следующих директориях:

• C:\Windows
• C:\Мои документы
• C:\Program Files
• C:\Windows\System32\drivers
• C:\Program Files\Common Files
• C:\Program Files
• C:\Мои документы

Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.

Например:

• svch0st (цифра «ноль» вместо литеры «o»);
• svrhost (вместо «с» буква «r»);
• svhost (нет «с»).

Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.

Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).

Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.

Способ №1: очистка утилитой Comodo Cleaning Essentials

Cleaning Essentials - антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).

Где скачать и как установить?

1. Откройте в браузере comodo.com (официальный сайт производителя).

Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.

2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.

3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).

Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».

4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.

5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».

6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».

Как настроить и очистить ОС?

1. Выберите режим «Custom scan» (выборочное сканирование).

2. Подождите немного, пока утилита обновит свои сигнатурные базы.

3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).

4. Нажмите «Scan».

5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.

Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.

Вспомогательные утилиты

В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.

Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.

Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.

Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:

1. На вкладке «Система» откройте раздел «Процессы».
2. Проанализируйте все активированные процессы svchost:
   • кликните правой кнопкой по файлу;
   • выберите «Свойства»;
   • посмотрите его текущую директорию. Если она отличная от С:\Windows\system32\, вероятней всего, что исследуемый объект является вирусом.

В случае обнаружения зловреда:

1. Дополнительно просмотрите в его поле графу «Оценка» (safe - безопасный) и подпись.
2. Если эти свойства также не соответствуют характеристикам доверенного системного файла, снова активируйте контекстное меню (клик правой кнопкой). А затем последовательно запустите функции «Приостановить» и «Удалить».
3. Продолжайте проверку, возможно, вирус создал и запустил свои копии. От них тоже в обязательном порядке необходимо избавиться!

Способ №2: использование системных функций

Проверка автозагрузки

1. Кликните «Пуск».
2. Наберите в поисковой строке msconfig и нажмите «Enter».
3. В окне «Конфигурация системы» перейдите на вкладку «Автозагрузка».
4. Просмотрите команды (колонка «Команда»), запускающие элементы при запуске Windows, и их расположение (директории, ключи реестра в колонке «Расположение»):
   • Все директивы, содержащие svchost, отключите (уберите кликом галочку возле записи). Это 100% вирус. Системный процесс с одноимённым названием никогда не прописывается в автозагрузке.
   • Откройте директорию зловреда (указана в «Расположение») и удалите его. Для нейтрализации ключа в реестре используйте штатный редактор regedit: «Win + R» → regedit → Enter.

Анализ активных процессов

1. Нажмите «Ctrl + Alt + Del».
2. Кликните по вкладке «Процессы».
3. Проверьте свойства всех активных svchost (имя, расширение, размер, местоположение). При анализе ориентируйтесь на данные сервиса filecheck.ru и характеристики, приведенные в этой статье.

Кликните правой кнопкой по имени образа. В меню выберите «Свойства».

В случае обнаружения вируса:

• в свойствах объекта узнайте его расположение (скопируйте или запомните);
• нажмите «Завершить процесс»;
• перейдите в директорию зловреда и удалите его при помощи штатной функции (клик правой кнопкой → Удалить).

Если сложно определить: доверенный или вирус?

Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.

1. Откройте в браузере virustotal.com.
2. Нажмите «Выберите файл».
3. В проводнике Windows откройте директорию процесса, который необходимо проверить, выделите его кликом, а затем нажмите «Открыть».
4. Для запуска сканирования кликните «Проверить!». Файл загрузится из ПК на сервис и автоматически начнётся сканирование.
5. Ознакомьтесь с результатами проверки. Если большинство антивирусов детектируют объект как вирус, его необходимо удалить.

Довольно часто встречается ситуация, что компьютерные вирусы маскируются под системные процессы. Один из самых распространенных вариантов - вирус svchost.exe . Из-за того, что копий этого процесса в работе операционной системы Windows должно быть запущенно довольно много, вредоносному коду удается затеряться среди нормальных процессов системы.

Вы должны иметь представление о самом предназначении процесса svchost.exe, и уметь определять вирус, маскирующийся под этот процесс. Это необходимо для успешного удаления.

Для чего нужен процесс svchost.exe

Данный процесс используется системой Windows, для обеспечения работоспособности ее функций. Процесс обеспечивает работу сервисов и программ, которые работают с динамическими DLL библиотеками. При проверке запущенных процессов через диспетчер задач, вы увидите несколько копий svchost.exe - это совершенно нормально.

В качестве папок, в которых может располагаться системный процесс svchost.exe могут быть следующие варианты:

• %system-disk%\windows\
• %system-disk%\Мои документы\
• %system-disk%\Windows\System32\drivers
• %system-disk%\Windows\System32\
• %system-disk%\Program Files\Common Files

Где переменная %system-disk% означает букву диска, на котором установлена операционная система Windows. Чаще всего это диск "С ".

Чтобы проверить месторасположения процесса, в диспетчере задач кликните на него правой кнопкой мыши, и выберите пункт "Открыть место хранения файла " или "Свойства ".

Если вы выбрали просмотр папки, где располагается процесс, она откроется в окне диспетчера файлов. Если вы решили просмотреть этот параметр через свойства, то вам нужен пункт "Расположение ".

Обратите внимание ! Нельзя диагностировать заражение процесса, основываясь только на его месторасположении, на системном диске.

Как вирусы маскируются под процесс svchost.exe

Большое количество копий svchost.exe, позволяет вирусным программ легко маскировать свое присутствие в системе, заменяя одну или несколько букв в названии процесса. Только если внимательно просмотреть все запущенные копии, и убедиться в корректности их названия, можно обнаружить вредоносный код (что далеко не всегда делают пользователи).

Ниже приведены варианты подмены названия.

1. svcc host.exe - повторяется буква "c"
2. svhost.exe - здесь наоборот, она пропущена
3. svchostt .exe - в этом вредоносном процессе добавлена буква "t"
4. svs host.exe - вместо буквы "c" используется "s"

Как вы можете заменить, основной алгоритм маскировки - это подставлять похожие по написанию буквы в название процесса, заменять или дублировать их.

Теперь запомните - есть только одно корректное наименование данного процесса:

SVCHOST.EXE

Как удалить вирус svchost

Если вы диагностировали у себя на компьютере зараженный процесс, и определили его месторасположение на диске, необходимо удалить его.

Для этого используется антивирусная утилита AVZ - .

После запуска программы нажимаем "Файл - выполнить скрипт ". У вас откроется окно для ввода кода.

Ниже представлен код скрипта - вам нужно скопировать его в программу.

Begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile("Укажите путь к файлу ",""); DeleteFile("Укажите путь к файлу "); BC_ImportAll; ExecuteSysClean; ExecuteWizard("TSW",2,3,true); BC_Activate; RebootWindows(true); end.

Жирным шрифтов выделены две строки - сюда вы должны вставить полный путь до вредоносного файла. Допустим, мы диагностировали в диспетчере задач вирус svcchost.exe (двойная "c " в названии), расположенный в папке c:\windows\system32 . Мы должны указать в коде скрипта вот такое значение:

c:\windows\system32\svcchost.exe

Это и будет полный путь до файла. У нас должно получиться следующее:

Если ваш компьютер подвергся заражению, обязательно проведите полное сканирование системы на вирусы.

Когда будете писать в коде скрипта путь и имя зараженного файла, используйте советы из второй главы (для определения целовой папки).

Заключение

Самый простой способ диагностировать вирус svchost.exe - это внимательно просмотреть весь список процессов в вашем диспетчере задач. Имейте ввиду - обязательно нужно просматривать процессы всех пользователей, в том числе и администраторов. Для этого отмечайте соответствующую галочку в диспетчере задач.

Пользователи компьютеров хотят чтобы их машины работали максимально оперативно и не «тормозили». В поисках «тормозов» обращаются к диспетчеру задач, чтобы засечь ресурсоёмкие процессы и выгрузить их из памяти. Часто в списке процессов виден svchost.exe. Эта программа запускается во множестве копий, а оперативной памяти потребляет очень много.

Закономерен вопрос: не вирус ли это или иная вредоносная софтина, если так перегружает компьютер. И другой вопрос: нельзя ли удалить svchost.exe и обходиться без него. Обычно ответ отрицательный на оба вопроса: это не вирус и обойтись без него почти невозможно. Но обо всём по порядку…

svchost.exe – это системный процесс в Виндовс, начиная с версии «2000». Это главный процесс, помогающий работать службам динамических библиотек. Если вы удалите файл svchost.exe, компьютер работать будет… вот только в несколько раз медленнее обычного. Ситуация не так уж парадоксальна: хотя системная служба занимает много оперативной памяти, без неё загруженность ПЗУ оказалась бы только выше. Нагрузка на процессор также окажется высокой.

Вирус svchost.exe

Но всё-таки, иногда удалять svchost.exe необходимо. Точнее, не его самого, а маскирующиеся под это приложение вирусы и троянские кони. Отличить их просто: хотя оригинальный системный процесс также создаёт множество копий, вредоносное ПО размещается в любом каталоге, кроме системного.

Также полезно знать, что увидеть такую программу в диспетчере задач можно, если обратить внимание на запуск её от имени пользователя. В некоторых случаях вирусы используют подлинный системный сервис для нанесения ущерба.

Не надо поднимать тревогу и беспокоиться из-за того, что svchost.exe запускается в десяти экземплярах. Динамических служб в системе много, одного процесса на всех может не хватать. Тогда и включаются сразу несколько копий, каждый со своим идентификатором. Но и смотреть на его происхождение надо внимательно.

Подлинный процесс запускается из папок: ServicePackFiles\i386, system32, Prefetch, winsxs\ (все внутри C:\WINDOWS). Если замечаете, что svchost.exe запустился откуда-то ещё, то это плохой звоночек (как и ситуация с отличающимся «совсем чуть-чуть» от оригинального именем).

В таких случаях запустите полное антивирусное сканирование, пока не избавитесь от зловреда.

Ниже приведён список наиболее часто встречающихся причин, по которым svchost.exe создаёт нагрузку на процессор. Для начала мы рассмотрим, в чём вообще смысл этого процесса, а затем разберём методы решения проблемы в конкретных случаях.

Что такое svchost и можно ли его удалить?

Этот процесс является одним из главных в Windows. Он помогает работать программам, установленным на вашем компьютере и призван сократить потребление ими ресурсов. Удалять данный файл из системы нельзя (это не касается вирусов, маскирующихся под него, но о них – чуть ниже).

Если программ много, то количество запущенных процессов с этим названием может быть увеличено до необходимого числа. Поэтому, если в Диспетчере задач несколько svchost.exe – это нормально, и ещё не причина для переживания.

Возможные причины нагрузки на процессор

Вирусы

Первое, что нужно сделать, столкнувшись с проблемой загрузки ЦП – узнать, не стоит ли за всем этим вредоносное ПО.

Явный признак такой угрозы:

Откройте Диспетчер задач и проверьте, от чьего имени запущены все svchost.exe (чтобы их было удобней смотреть, отсортируйте отображение процессов по имени).

На скриншоте отмечены 3 группы, от лица которой запускается настоящий, безопасный процесс:

• Система
• Local Service
• Network Service

Если же вы видите, что запуск произведён от имени вашей учётной записи – вы имеете дело с вредоносной программой. В таком случае первое, что стоит сделать – это нажать на нём правой кнопкой мыши и выбрать пункт «Открыть расположение файла».

Так вы узнаете, где он находится. Теперь этот файл можно отправить на проверку через virustotal.com, чтобы получить детальную информацию о типе угрозы.

Но проще всего сразу воспользоваться двумя программами для очистки системы:

• Dr.Web Cure IT (на странице сначала нажмите «Далее», а затем – «Скачать с функцией отправки статистики»)

Т.к. удалить один лишь.exe – недостаточно: почти наверняка где-то на диске разбросаны вспомогательные файлы, которые или просто не дадут его уничтожить, или восстановят после перезагрузки.

Скорость проверки зависит от объёма жесткого диска. Но в случае в CureIT, вполне можно указать для проверки только системный раздел, на который установлена Windows, т.к. почти всегда все вредители стремятся «прописаться» там. Этого будет достаточно.

В MBAM можно просто нажать на «Начать проверку», т.к. сканирование всей системы занимает 15-20 минут в среднем.

По итогу проверки будет выдан отчёт со списком файлов, которые программа считает опасными. Некоторые элементы (записи в реестре) MBAM удалить сразу, а для остальных может попросить перезагрузить систему.

CureIT копает «глубже», но иногда пропускает моменты, которые подчищает MBAM.

Скачав и установив утилиту от Dr.Web, можно позволить ей просканировать всё, что угодно, просто нажав на «Начать проверку».

Для большей уверенности в том, что ничего не ускользнёт, можно указать помимо основных мест для проверки и весь диск, на котором находится Windows.

Автоматические обновления

По умолчанию в Windows включены обновления системы, которые часто и являются причиной нагрузки, создаваемой svchost.exe.

Нажмите сочетание клавиш Win+R и в открывшемся окне впишите «services.msc».

В Windows XP/Vista/7 можно запустить её и так: Пуск -> Выполнить (XP) / Поиск (Vista/7) -> services.msc

В списке служб найдите Центр обновления Windows, дважды кликните левой кнопкой мыши и установите параметры, как на скриншоте ниже.

В XP нужная строка называется «Автоматическое обновление»

Как видите, эта служба использует в работе svchost.

Выводы

Практика показывает, что чаще всего, помимо вредоносных приложений, проблема кроется в простых обновлениях системы. Остальные случаи можно назвать «частными», т.к. почти в каждом из них всё «завязано» на конкретном приложении. По этой причине невозможно описать все случаи, но поиск проблемных программ при помощи Process Explorer способен помочь.

Название угрозы

Имя исполняемого файла:

Тип угрозы:

Поражаемые ОС:

Trojan Svchost

hlhtxo.exe

Spyware/trojan

Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)

Метод заражения Trojan Svchost

Trojan Svchost копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла hlhtxo.exe . Потом он создаёт ключ автозагрузки в реестре с именем Trojan Svchost и значением hlhtxo.exe . Вы также можете найти его в списке процессов с именем hlhtxo.exe или Trojan Svchost .

Если у вас есть дополнительные вопросы касательно Trojan Svchost, пожалуйста, заполните и мы вскоре свяжемся с вами.

Скачать утилиту для удаления

Скачайте эту программу и удалите Trojan Svchost and hlhtxo.exe (закачка начнется автоматически):

* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Trojan Svchost в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

Функции

Программа способна защищать файлы и настройки от вредоносного кода.

Программа может исправить проблемы с браузером и защищает настройки браузера.

Удаление гарантированно - если не справился SpyHunter предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 входит в комплект поставки.

Скачайте утилиту для удаления Trojan Svchost от российской компании Security Stronghold

Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Trojan Svchost .. Утилита для удаления Trojan Svchost найдет и полностью удалит Trojan Svchost и все проблемы связанные с вирусом Trojan Svchost. Быстрая, легкая в использовании утилита для удаления Trojan Svchost защитит ваш компьютер от угрозы Trojan Svchost которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Trojan Svchost сканирует ваши жесткие диски и реестр и удаляет любое проявление Trojan Svchost. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Trojan Svchost. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Trojan Svchost и hlhtxo.exe (закачка начнется автоматически):

Функции

Удаляет все файлы, созданные Trojan Svchost.

Удаляет все записи реестра, созданные Trojan Svchost.

Программа может исправить проблемы с браузером.

Иммунизирует систему.

Удаление гарантированно - если Утилита не справилась предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

Наша служба поддержки готова решить вашу проблему с Trojan Svchost и удалить Trojan Svchost прямо сейчас!

Оставьте подробное описание вашей проблемы с Trojan Svchost в разделе . Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Trojan Svchost. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Trojan Svchost.

Как удалить Trojan Svchost вручную

Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Trojan Svchost, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Trojan Svchost .

Чтобы избавиться от Trojan Svchost , вам необходимо:

1. Завершить следующие процессы и удалить соответствующие файлы:

Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать для безопасного решения проблемы.

2. Удалите следующие папки:

3. Удалите следующие ключи и\или значения ключей реестра:

Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать для безопасного решения проблемы.

4. Сбросить настройки браузеров

Trojan Svchost иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию "Сбросить настройки браузеров" в "Инструментах" в программе для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Trojan Svchost. Для сброса настроек браузеров вручную используйте данную инструкцию:

Для Internet Explorer

Если вы используете Windows XP, кликните Пуск , и Открыть . Введите следующее в поле Открыть без кавычек и нажмите Enter : "inetcpl.cpl".

Если вы используете Windows 7 или Windows Vista, кликните Пуск . Введите следующее в поле Искать без кавычек и нажмите Enter : "inetcpl.cpl".

Выберите вкладку Дополнительно

Под Сброс параметров браузера Internet Explorer , кликните Сброс . И нажмите Сброс ещё раз в открывшемся окне.

Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.

После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.

Предупреждение: Сбросить настройки браузеров в Инструменты

Для Google Chrome

Найдите папку установки Google Chrome по адресу: C:\Users\"имя пользователя"\AppData\Local\Google\Chrome\Application\User Data .

В папке User Data , найдите файл Default и переименуйте его в DefaultBackup .

Запустите Google Chrome и будет создан новый файл Default .

Настройки Google Chrome сброшены

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.

Для Mozilla Firefox

Откройте Firefox

В меню выберите Помощь > Информация для решения проблем .

Кликните кнопку Сбросить Firefox .

После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить .

Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.