І виявивши в його списку процесів масу записів з однаковим вмістом svchost багато користувачів впадають в передчасну паніку. Зазвичай це відбувається тоді, коли працездатність системи під питанням — усе висне, вікна не реагують, навіть перезавантаження. Першим з процесів, що потрапляють під підозру, зазвичай виявляється exe-шник svchost? Чи справді хост процес служб Windows повинен у перевантаженні процесора? І якщо це так, то як із цим боротися?

Generic Host Process for Win32 Services, а саме так розшифровується назва служби Windows, що розглядається, - є критично важливою утилітою операційної системи. Вимкнути цю службу не можна, тому що в іншому випадку стане неможливим використання одного з найважливіших інструментів Windows - підпрограм, що розділяються між додатками бібліотек - так званих dll-бібліотек. Оскільки вся архітектура Windows базується на таких бібліотеках, то робота з відключеним svchost.exe — абсолютно нереальна.

Проблема полягає в тому, що хакери вважають за краще маскувати свої шкідливі програми під один із системних процесів і Generic Host Process – ідеальний кандидат для таких маніпуляцій.

Система автоматично запускає не один а безліч цих процесів, тому розібратися який з них є «здоровим», а який є вірусом — на око не вийде.

Де живе Generic Host Process for Win32?

Одним із найпростіших способів виявити вірус даного типу є перевірка місця його проживання. Файли цього хост-процесу не можуть розташовуватися ніде, крім системних папок, розташованих усередині папки інсталяції Windows (наприклад, C:\WINDOWS) тобто. її підпапок. Якщо щось сильно вантажить систему, пройдіться для початку звичайним пошуком по системному розділу. У разі виявлення нашого "друга" в будь-якій іншій папці, крім зазначених, можете бути впевнені - це вірус.

Потрібно звернути увагу на ще один нюанс. Вірус може називатися не так само, як і файл здорового процесу.

Назва exe-шника може відрізнятися в одній-двох літерах. або до нього можуть бути додані цифри. У нашому випадку це може виглядати так: svch0st, svchosl, svchosts32, ssvvcchhoosst і т.д. Отже, має сенс використовувати замість точного, неточний пошук за зразком.

Нові версії цього вірусу відносяться до зовсім іншої категорії. Запускаючись у Windows, цей exe негайно лізе в мережу і починає розсилати спам майже по всьому Інтернету. У цьому процес сильним чином вантажить систему. Хоча трапляються і цілком здорові прояви діяльності цієї служби, які, втім, також дратують користувача, як і поведінка вірусу-спамеру. Наприклад, завантаження оновлень у фоновому режимі. Без хост-процесу і тут не обійшлося, але впоратися з проблемою в даному випадку дуже просто — потрібно взяти і вимкнути автоматичне оновлення, яке вантажить Windows.

Рекомендації щодо боротьби з вірусом - найпростіші. Потрібно інсталювати Windows хороший, популярний антивірус і регулярно оновлювати антивірусні бази. Звертаючи особливу увагу на налаштування, відповідальні за spyware.Також допоможе встановлення фаєрвола. Якщо вжити всіх цих заходів заздалегідь, то ніякої svchost до вас не проникне. Про те, що він вантажить систему зможете забути.

Але що робити, якщо шкідливий процес у вигляді exe-служби вже проник до вас у комп'ютер і що сили вантажить операційну систему? Виконати наші подальші поради.

Усуваємо проблему

Якщо ви виявляєте, що дана служба exe вантажить процесор, то чиніть так.

Сьогодні поговоримо про процес svchost.exe – що це таке, навіщо він потрібен і чому їх у диспетчері завдань може бути дуже багато?

Багато користувачів, коли бачать дуже багато таких процесів у себе, то думають - це точно вірус у їх системі, особливо коли svchost.exe вантажить процесор, вантажить Windows.. але якщо svchost.exe вантажить систему, то це може бути цілком нормальним явищем ! Чому? Якщо наприклад у вас не особливо потужний комп'ютер, то після установки Windows 7 можливо що ви стикалися з таким глюком - ось встановили і через деякий час (за умови, що інтернет підключений) процес svchost.exe починає вантажити систему. Чому? Це пов'язано з першим оновленням - як правило, цих оновлень багато і всіх їх потрібно встановити! Не знаю як у Windows 8, але у Windows 10 ця проблема начебто вже вирішена!

А ще буває так, що svchost.exe починає так вантажити Windows, що сам комп'ютер вже вживає заходів – включає вентилятори на повну котушку!

Отже, тепер власне про те, чи таке svchost.exe? Це системний модуль Generic Host Process for Win32 Services, і найголовніше, що цей процес є дуже важливим для системи! Його в жодному разі не можна вимикати самостійно, тобто в диспетчері завдань не смійте його завершувати! Він є головною частиною при взаємодії програм, служб із dll-бібліотеками (в яких функції для роботи), і це лише одне з головних його завдань.

Процесів svchost.exe може бути дуже багато, аж до декількох десятків. До речі, я ось експериментував у Windows XP зі службами і дійшов висновку, що чим менше їх працюють, тим менше процесів svchost.exe, у новіших версіях Windows думаю також. Але служби не рекомендую відключати, оскільки при відключенні деяких можуть бути серйозні глюки. До речі, головнокомандувачем над svchost.exe є services.exe, він і запускає його.

Ось наприклад скільки їх у мене, не так багато, але все ж таки... це я ще нічого в самій Windows 10 не змінював, тобто тільки деякі налаштування, і вона вже оновлена ​​- нічого не вантажить, процеси висять собі і все:

svchost.exe вірус? як видалити? Так, дійсно, під цим процесом насправді може спокійно бути і вірус, а щоб ви не відрізнили його від нормального, то вірус запускається з іншої папки. Таким чином, у диспетчері завдань у вас кілька процесів і один з них може бути запущений з лівої папки… Але запам'ятайте, сам процес svchost.exe не є вірусом і відіграє дуже важливу роль у Windows!

Отже, ось папки, в яких svchost.exe має право жити, тобто це його рідні місця:

• C:\Windows\system32 (напевно найголовніша папка після Windows)
• C:\WINDOWS\ServicePackFiles\i386 (тут зберігаються інсталяційні файли Windows)
• C: WINDOWS Prefetch (у цій папці зазвичай зберігаються файли технології Prefetch - попереднього завантаження даних для прискорення роботи комп'ютера в цілому, дуже необхідна штука)
• З:\WINDOWS\WinSxS\*ім'я папки з довгим ім'ям, у назві якого є svchost* (у ній зберігаються всі старі оновлення та файли застарілих компонентів на будь-який пожежник)

Ось приклад - у мене в папці WinSxS знаходиться ще одна папка з довгою назвою, а там усередині і є сам svchost.exe і це точно не вірус:

Якщо svchost.exe ви знайшли в зовсім іншій папці, це вже погано, так як це спокійно може бути вірус! І ще відкрийте диспетчер і подивіться, а яке саме ім'я у процесу? Воно має бути оригінальним, наприклад можуть бути такі спеціальні імена, щоб ви не помітили різницю: svch0st.exe, svchos1.exe, svcchost.exe, svchost32.exe b та інші варіанти, їх дуже багато, немає сенсу перераховувати. Але найважчим є варіант коли просто svchost.exe - тут вже потрібно перевіряти розташування файлу (правою кнопкою процесу в диспетчері і там можна вибрати розташування).

Для аналізу процесів я рекомендую використовувати безкоштовну утиліту Марка Руссиновича - Process Explorer, там багато чого можна переглянути про сам процес і вона зроблена зручно. Тим більше, що її схвалює сам Microsoft У налаштуваннях можна ввімкнути заміну вбудованого у Windows диспетчері завдань, щоб це зробити виберіть у Options > Replace Task Manager. Завантажити її можна з офіційного:

Хоча вона трохи і перевантажена функціями, як на мене, але залишається при цьому найкращою заміною вбудованого диспетчера.

Яка ще ознака того, що svchost.exe вірус? Дуже просто, цей процес начебто ніколи не запускається від вашого імені — це завжди походить від системних облікових записів, а саме: SYSTEM, LOCAL SERVICE або NETWORK SERVICE. Так було завжди, але в Windows 10 я помітив, що вже запущений від імені користувача… може щось змінилося вже? Я подивився розташування процесу і заспокоївся, що все нормально, це системний процес

Також подивіться, який саме оригінальний процес (те що в папці system32 в Windows 10), ось він має такий опис:

Чи є підозри? Тоді в пошуковику вбийте svchost.exe яка версія повинна бути і свою версію Windows, і подивіться чи збігається. Пишу так, тому що йди знай яка у вас версія чи білд — може дані і відрізнятимуться.

Що робити, коли svchost.exe вантажить систему? По-перше, спробуйте відключити службу Windows Update, якщо проблема вирішена, це означає, що справа в цій службі. Це я до того, що краще її включити та почекати, поки svchost.exe перестане вантажити комп. Це станеться тоді, коли Windows повністю скачає всі оновлення і встановить їх, але це набагато краще, ніж відключати службу. До речі, вікно зі списком служб можна швидко запустити: відкриваєте вікно Виконати, а це Win + R і пишіть туди команду services.msc:

Після чого ентер і таке вікно з'явиться:

Ну а там уже щоб відключити, то знайдіть службу, двічі по ній натискаєте і у вікні вибираєте Тип запуску — Вимкнена, а потім вже натискаєте на Зупинити, щоб служба припинила свою роботу.

Не варто намагатися завершити цей процес, тому що при цьому мінімум у вас пропаде інтернет, а максимум - можливе примусове перезавантаження. До речі, завершення процесу lsass.exe також веде до примусового перезавантаження (якщо не помиляюсь через хвилину).

Якщо у результаті у вас все одно залишилося навантаження, то йдемо далі. Перевіряємо комп'ютер цієї утилітою - , я в статті там все пояснив, загалом все просто і ви точно впораєтеся, вона може знайти у вас вірус або навіть кілька, вона фахівець саме з рекламних вірусів!

Другий також потужний інструмент – це ESET Online Scanner! Він уже майстер з усіх вірусів! Ну, може, хтось зі мною і не погодиться, просто мені він допомагав не один раз. Переходимо за цим посиланням та натискаємо Запустити ESET Online Scanner:

Потім відкриється маленьке віконце, де потрібно ввести пошту, можете ввести:

І потім вам буде запропоновано вже запустити сканер:

Запропонують завантажити ESET Smart Installer, який запустить сканер на вашому комп'ютері:

З приводу Internet Explorer все правильно — якщо ви там запускатимете сканер, то він там дійсно саме працюватиме прямо в браузері, що дуже зручно. Цю технологію підтримує сам Internet Explorer.

Перевірка може зайняти деякий час, раджу налаштувати на глибоку перевірку (разом із перевіркою архівів, я так сам роблю) — це звичайно довше, але очищення від вірусів буде глибшим, ну це просто моя порада. А якщо знайде сканер віруси, то їх можна буде видалити після перевірки, тобто ви вирішуватимете що видалити а що ні, раптом сканер прийме нормальний файл за вірус.

Цікаво, що у деяких користувачів процес svchost.exe займав усі 12 Гб оперативної пам'яті з доступних 16 Гб, ось це жах!

Також можете спробувати видалити папку Prefetch із C:\Windows, там зберігаються тимчасові файли для прискореного запуску програм, вони не важливі для системи, але видаляти їх постійно не потрібно! Найчастіше svchost.exe вантажить процесор Windows 7 після встановлення на комп'ютер і підключення до інтернету! Це норма!

Ну от начебто все написав, хоча, напевно щось точно пропустив, загалом якщо що - залишайте коментарі! І робіть все обережно в комп'ютері, щоб не було потім глюків - тут найкращий друг це відновлення системи, тому заздалегідь створюйте контрольні точки і будемо вам щастя! Успіхів

09.01.2016

Якщо ноутбук або комп'ютер почав гальмувати і глючити, то загляньте в Диспетчер завдань - цілком можливо, що процес svchost споживає занадто багато ресурсів і через нього виникають неполадки. Вирішити цю проблему можна кількома способами.

Навіщо потрібен svchost і чому він вантажить систему

Svchost – це системний процес і, до речі, в Диспетчері завдань їх кілька. Він необхідний запуску системних служб. Конкретніше сказати складно, тому що їх існує безліч і кількість залежить від декількох факторів. Але в основному він прискорює запуск програм, компонентів та додатків. Саме завдяки svchost користувачі мають можливість запускати відразу кілька програм, наприклад, слухати музику одночасно граючи в гру.

Дещо їх тому, що якби розробники зробили відповідальним за покладені завдання один файл, то він з'їдав би майже всю пам'ять і сильно вантажив би систему.

Тому якщо ви відкрили Диспетчер завдань і побачили сумну статистику, то не панікуйте – це не вірус чи інша шкідлива програма, але тільки в тому випадку, коли в колонці Користувач стоїть system, local service або network service.

Багато користувачів починають терміново завершувати процеси, що в корені невірно і тільки погіршить роботу системи.

Якщо там стоїть ім'я облікового запису або Адміністратор, то ваш комп'ютер заразився вірусом, який маскується під потрібну програму. У цьому випадку все вирішується досить легко - скористайтеся хорошим антивірусом і дайте спокій комп'ютер на час сканування.

А навантажує систему svchost через те, що творці Windows 7 хотіли створити єдину службу, яка б відповідала за запуск програм. І це навіть у якомусь сенсі добре, адже навіщо запускати кілька різних програм для одного процесу, до них відноситься і виклик динамічних бібліотек. Їхня робота здійснюється тільки через хости.

Таким чином, ідея вийшла трохи однобокою і служба може завантажити процесор і пам'ять на всі сто відсотків. А якщо враховувати, що багато хто не відключає інтернет, то не дивно, що система починає виснути.

Причини та рішення

Спочатку варто сказати, що наведені рішення підходять для Windows 7 і для інших версій можуть не підійти або працювати некоректно, хоч вони досить схожі.

Найперше що можна зробити в такій ситуації – це перезапустити комп'ютер. Цей спосіб універсальний і працює для багатьох проблем, хоч і тимчасово.

Далі непогано перевірити систему антивірусом. Якщо його не поставлено, то терміново встановіть. Після перевірки перегляньте, чи немає оновлень для Windows 7, якщо вони є – встановіть. Для цього зайдіть в Панель керування – Система та безпека – Windows Update.

Також причиною може бути некоректне оновлення системи чи програм. Наприклад, антивірус не може встановити оновлення і тому вантажити систему. Тому спробуйте вимкнути і фонових програм. Якщо річ у цьому, то комп'ютер знову почне працювати нормально. Не забудьте перезавантажувати комп'ютер після змін та перевіряти важливі оновлення раз-два на тиждень.

Ще одна причина може бути в тому, що запущено багато програм у фоновому режимі і оперативна пам'ять просто не справляється. Спробуйте вмикати-вимикати програми, щоб визначитися.

Активний серфінг в інтернеті також може стати причиною загальмованості. Зібравши величезну кількість тимчасових файлів, ви захаращуєте реєстр. Якщо причина в цьому, то все вирішується за допомогою спеціальних утиліт типу CCleaner.

Якщо після всіх цих маніпуляцій комп'ютер тупити, то можна відкрити Диспетчер завдань, зайти у вкладку «Процеси» і виявіть найненажерливіший процес svchost. Для зручності можна відсортувати їх за кількістю пам'яті. Натискаємо на нього правою кнопкою миші та вибираємо «Перейти до служб».

З'явиться список служб, які відповідають за svchost. Тепер доведеться провести копітку роботу. По черзі відключайте кожну з них і дивіться, як поводиться система.

Щоб вимкнути, зайдіть у Панель керування, знайдіть Адміністрація та натисніть на ярлик Служби. Виберіть зі списку потрібний файл, натисніть на нього правою кнопкою миші та клацніть на «Зупинити».

Можна видалити папку Prefetch. Вона знаходиться в папці Windows на диску із системою. Небезпека це не несе, але може вирішити проблему.

Ще можна перевірити, чи не накопичився пил у системному блоці? Фізичне пошкодження чіпів пам'яті також може спричинити те, що Svchost споживає багато ресурсів.

У Windows 7 найголовнішим процесом у ОС є Svchost.exe. Дуже часто користувачі ПК з Windows 7 зустрічаються із проблемою, коли цей процес сильно вантажить процесор. Завантаження процесорних ядер може сягати від 50 до 100 відсотків. Svchost.exeє хост-процесом, який відповідає за запуск служб групи з динамічних бібліотек DDL. Тобто система з допомогою цього хост-процесу запускає групу служб, створюючи у своїй зайвих процесів. Такий підхід знижує навантаження на процесор та оперативну пам'ять. Якщо система гальмує та Svchost.exe сильно вантажить процесор – це означає, що ОС неправильно працює. Така поведінка системи може спричинити шкідливу програму, а також неполадки в самій ОС. Щоб розібратися з цією проблемою, у цьому матеріалі ми розглянемо всі способи вирішення задачі із сильним завантаженням процесора, викликаним процесом Svchost.exe.

Перші кроки вирішують проблему з процесом Svchost.exe

Якщо у вас виникла ситуація, коли хост-процес Svchost.exe сильно навантажує процесор, то не слід відразу думати, що це вірус. Крім вірусу, винуватцем цієї проблеми може бути сама ОС. Нижче ми розглянемо список проблем, а також методи їх виправлення:

Відновлюємо нормальну роботу процесора за допомогою антивірусу

Якщо вищеописані способи не допомогли, то, швидше за все, ваша Windows 7 заражена вірусом. Зазвичай зараження вірусом відбувається ззовні. Тобто через інтернет чи через зовнішній накопичувач даних. Якщо у вас стоїть добрий антивірус, то швидше за все вірус не пройде. Але трапляються випадки, коли антивіруси не бачать нові версії вірусів і пропускають їх. Якщо ваш комп'ютер заражений, процес хост Svchost.exe буде вантажити процесор до 100 відсотків, а також в імені користувача ви побачите не системні імена «LOCAL» і «NETWORK SERVICE», а зовсім інше ім'я.

Щоб позбавитися вірусу в системі, потрібно запустити повну перевіркукомп'ютера в Windows 7 для пошуку шкідливих програм. Нижче розглянемо приклад запуску повної перевірки комп'ютера за допомогою антивірусу Comodo Internet Security. Також перед запуском будь-якого антивірусу для перевірки ОС оновіть його антивірусну базу. Рухаємося далі та запустимо антивірус Comodo Internet Security.

У головному вікні антивіруса перейдемо до нижньої вкладки. Сканування», після чого з'явиться меню, в якому можна вибрати варіанти сканування.

У нашому випадку потрібно вибрати пункт « Повне сканування». Цей варіант просканує повністю вінчестер, виявить шкідливу програму та знешкодить її. Нижче показано вікно сканування Comodo Internet Security.

В інших антивірусних програмах принцип запуску повної перевірки ПК максимально схожий на розглянутий. Тому якщо у вас проблема з хост-процесом Svchost.exe, сміливо запускайте повну перевірку ПК.

Для цього прикладу ми недарма обрали антивірус Comodo Internet Security. У цьому антивірусі є вбудований модуль під назвою KillSwitch(нині цей модуль входить до складу безкоштовного набору утиліт COMODO Cleaning Essentials, завантажити який можна).

Цей модуль є диспетчером завдань, який володіє розширеним функціоналом. Наприклад, KillSwitch може зупинити дерево процесів та повернути назад зроблені зміни після цього.

Також особливістю KillSwitch є перевірка запущених процесів на довіру. Тобто якщо процес недовірений, KillSwitch знайде його і вкаже це в третій колонці. Оцінка». Ця особливість KillSwitch допоможе швидше визначити проблему, пов'язану з Svchost.exe і завантаженням процесора.

Ще варто згадати, коли вірус заражає сам антивірус або надійно маскується від нього, внаслідок чого його не бачить встановлений антивірус. У цій ситуації на допомогу користувачеві прийде завантажувальний диск. Цей диск є портативною операційною системою, заснованою на Linux, яка вантажиться з нього. Після завантаження з цього диска користувач зможе запустити перевірку ПК прямо із завантаженої операційної системи.

Така перевірка повинна знайти та знешкодити віруси, які змушують Svchost.exe вантажити процесорні ядра. Найбільш відомими вірусами, які вантажать процесор за допомогою Svchost.exe, є:

• « Virus.Win32.Hidrag.d- являє собою вірус, написаний на C++. Потрапивши до системи, він здійснює заміну Svchost.exe. Після цього він шукає файли з розширенням *exe і заражає їх. Вірус є нешкідливим, він не шкодить системі та не краде інформацію. Але постійне зараження файлів з розширенням *exe сильно вантажить процесор.
• « Net-Worm.Win32.Welchia.a» - цей вірус є інтернет-хробак, який навантажує процесор шляхом інтернет атак.
• « Trojan-Clicker.Win32.Delf.cn» - примітивний троян, який реєструє в системі новий процес Svchost.exe для відкриття певної сторінки у браузерітим самим навантажуючи систему.
• « Trojan.Carberp» - небезпечний троян, який також маскується під Svchost.exe. Основним призначенням цього вірусу є пошук та крадіжка інформації великих торгових мереж.

Сильне завантаження процесора через Windows Update

На комп'ютерах з ОС Windows 7 часто спостерігається ситуація, коли процес Svchost.exe вантажить процесор та пам'ять через центр оновлень. Щоб перевірити, що саме центр оновлень вантажить пам'ять та процесор, потрібно зайти в Диспетчер завдань» і за допомогою Svchost.exe перейти до служб, якими він керує. Приклад такого переходу показано на зображенні нижче.

Після такого переходу має відкритися вікно зі службами, де буде виділено службу. wuauserv».

Саме ця служба відповідає за скачування та встановлення оновленьна сімку. Виправити цю проблему досить просто.

У вікні служб диспетчера завдань можна повністю зупинити wuauserv або в панелі керування вимкнути перевірку оновлень.

Але відключення служби «wuauserv» негарний вихід із цієї ситуації.

При відключенні цієї служби порушується безпека ОС загалом, оскільки встановлення оновлень через центр оновлень буде вимкнено.

Вирішити це завдання можна встановленням оновлень вручну. Щоб не завантажувати десятки оновлень із сайту www.microsoft.com і потім довго їх встановлювати, найкраще скористатися набором оновлень UpdatePack7R2. Розробником цього набору є « simplix», який також відомий під цим ніком та є модератором на форумі www.oszone.net. Завантажити цей набір можна на сайті http://update7.simplix.info. На даний момент на сайті викладено останню версію під номером 17.12.15. Після завантаження набору можна розпочати встановлення оновлень. Для цього запустимо інсталятор.

У вікні, натиснемо кнопку Встановити. Після цього розпочнеться процес встановлення оновлень.

Цей процес може зайняти багато часу і залежить від кількості вже встановлених оновлень. Оновлювати таким офлайновим способом Windows 7 можна постійно, оскільки автор проекту постійно випускає нові набори. Також після завершення інсталяції оновлень ви можете заново запустити центр оновлень. Цього разу проблема із завантаженням пам'яті та процесора має зникнути, оскільки у цих оновленнях міститься виправлення.

Інші способи вирішення проблеми із завантаженням процесора через Svchost.exe

У цьому розділі ми опишемо способи, які в деяких випадках допомагають вирішити проблему зі Svchost.exe, а також збільшують загальну продуктивність та стабільність системи. Нижче наведено список із докладним описом кожного із способів:

• Дуже часто допомагає вирішити проблему процесу Svchost.exe, навіть коли він заражений вірусом, звичайний відкат ОС за допомогою точки відновлення. Але цим способом можна скористатися лише в тому випадку, якщо захист системи увімкнено.
• При тривалому використанні різних встановлених програм Windows 7 накопичує на жорсткому диску дуже багато сміття. Під сміттям маються на увазі тимчасові файли, що створюються при використанні різних утиліт. Наприклад, файли історії браузера. В цьому випадку на допомогу прийдуть спеціальні утиліти для очищення ОС. Найбільш популярною серед них є програма CCleaner.
• Також радимо провести дефрагментаціюяка може підвищити загальну продуктивність системи. Дефрагментація хоч і не вирішить проблеми з процесом Svchost.exe, але значно прискорить його, тим самим послабивши навантаження на процесор. Одним із найкращих дефрагментаторів є утиліта Defraggler, яка, крім своєї основної функції, ще вміє дефрагментувати системні файли.
• Очищення реєструтакож допомагає вирішити наше завдання. Для очищення реєстру, як і у способі вище, підійде утиліта CCleaner, яка швидко видалити старі ключі реєстру, що заважають правильно працювати Svchost.exe
• Також для всіх запущених процесів, включаючи Svchost.exe, важливим фактором є справна оперативна пам'ять. При несправної пам'ятісистема та запущені процеси можуть поводитися нестабільно. Виходом із цієї ситуації буде заміна оперативної пам'яті на справну пам'ять. Перевірити пам'ять на справність можна за допомогою вбудованого засобу діагностики Windows 7.

Висновок

У цьому матеріалі ми досить розглянули проблему, пов'язану із сильним завантаженням процесора через процес Svchost.exe. Виходячи з цього, наші читачі, напевно, зможуть вирішити цю проблему та забезпечити нормальну роботу комп'ютера.

Відео на тему

Системний файл svchost досить часто стає мішенню для атак хакерів. Більше того, вірусописувачі маскують своїх шкідників під його програмну «зовнішність». Один із найяскравіших представників вірусів категорії «лже-svchost» – Win32.HLLP.Neshta (класифікація Dr.Web).

Цей "самозванець" копіює себе в директорію Windows, заражає файли з розширенням "exe" та забирає системні ресурси (оперативну пам'ять, інтернет-трафік). Втім, він здатний і на інші гидоти. Відомі випадки інфікування, коли вірусний svchost завантажує ОЗУ комп'ютера на 98-100%, відключає інтернет-канал, порушує функціонування локальної мережі.

Файли svсhost - добрі та злі, або хто є хто

Вся складність нейтралізації вірусів цього типу полягає в тому, що є ризик пошкодити/видалити довірений файл Windows з ідентичною назвою. А без нього ОС працювати не буде, її доведеться встановлювати заново. Тому, перш ніж приступити до процедури очищення, ознайомимося з особливими прикметами довіреного файлу та «чужинця».

Справжній процес

Керує системними функціями, які запускаються з динамічних бібліотек (.DLL): перевіряє та завантажує їх. Слухає мережні порти, передає дані. Фактично є службовою програмою Windows. Знаходиться в директорії С: → Windows → System 32. У версіях ОС XP/7/8 у 76% випадків має розмір 20,992 байти. Але й інші варіанти. Докладніше з ними можна ознайомитися на розпізнавальному ресурсі filecheck.ru/process/svchost.exe.html (посилання – «ще 29 варіантів»).

Має наступні цифрові підписи (у диспетчері завдань стовпчик «Користувачі»):

• SYSTEM;
• LOCAL SERVICE;
• NETWORK SERVICE.

Хакерська підробка

Може перебувати в наступних директоріях:

• C:\Windows
• C:\Мої документи
• C:\Program Files
• C:\Windows\System32\drivers
• C:\Program Files\Common Files
• C:\Program Files
• C:\Мої документи

Крім альтернативних директорій, хакери як маскування вірусу використовують практично ідентичні, схожі на системний процес, назви.

Наприклад:

• svch0st (цифра "нуль" замість літери "o");
• svrhost (замість «с» літера «r»);
• svhost (ні «с»).

Версій «вільного трактування» назви безліч. Тому необхідно виявляти підвищену увагу під час аналізу діючих процесів.

Увага!Вірус може мати інше розширення (на відміну від exe). Наприклад, "com" (вірус Neshta).

Отже, знаючи ворога (вірус!) в обличчя, можна сміливо братися до його знищення.

Спосіб №1: очищення утилітою Comodo Cleaning Essentials

Cleaning Essentials – антивірусний сканер. Використовується як альтернативний програмний засіб для очищення системи. До нього додаються дві утиліти для детектування та моніторингу об'єктів Windows (файлів та ключів реєстру).

Де скачати та як встановити?

1. Відкрийте у браузері comodo.com (офіційний сайт виробника).

Порада!Дистрибутив утиліти краще завантажувати на здоровому комп'ютері (якщо є така можливість), а потім запускати з USB-флешки або CD-диска.

2. На головній сторінці наведіть курсор на розділ "Small & Medium Business". У підменю, що відкрилося, виберіть програму Comodo Cleaning Essentials.

3. У блоці завантаження у спадному меню виберіть розрядність вашої ОС (32 або 64 bit).

Порада!Розрядність можна дізнатися через системне меню: відкрийте «Пуск» → введіть у рядок «Відомості про систему» ​​→ натисніть на утиліту з такою самою назвою у списку «Програми» → перегляньте рядок «Тип».

4. Натисніть кнопку «Free Download». Дочекайтеся завершення завантаження.

5. Розпакуйте завантажений архів: клік правою кнопкою по файлу → «Витягнути все…».

6. Відкрийте розпаковану папку і клацніть двічі лівою кнопкою по файлу «CCE».

Як налаштувати та очистити ОС?

1. Виберіть Custom scan (вибіркове сканування).

2. Зачекайте трохи, поки утиліта оновить свої бази сигнатури.

3. У вікні параметрів сканування встановіть галочку навпроти диска С. А також увімкніть перевірку всіх додаткових елементів («Memory», «Critical Areas..» та ін.).

4. Натисніть кнопку Scan.

5. Після завершення перевірки дозвольте антивірусу видалити знайдений вірус-самозванець та інші небезпечні об'єкти.

Примітка.Крім Comodo Cleaning Essentials, для лікування ПК можна використовувати інші аналогічні антивірусні утиліти. Наприклад, Dr. Web CureIt!

Допоміжні утиліти

У пакет лікуючої програми Cleaning Essentials входять два допоміжні інструменти, призначені для моніторингу системи в реальному часі та детектування зловредів вручну. Їх можна використовувати в тому випадку, якщо вірус не вдасться знешкодити в процесі автоматичної перевірки.

Додаток для швидкої та зручної роботи з ключами реєстру, файлами, службами та сервісами. Autorun Analyzer визначає розташування вибраного об'єкта, при необхідності може видалити або скопіювати його.

Для автоматичного пошуку файлів svchost.exe у розділі "File" виберіть "Find" і введіть ім'я файлу. Проаналізуйте знайдені процеси, керуючись властивостями, наведеними вище (див. «Хакерська підробка»). За потреби видаліть підозрілі об'єкти через контекстне меню утиліти.

Моніторить запущені процеси, мережеві з'єднання, фізичну пам'ять та навантаження на ЦП. Щоб «відловити» підроблений svchost за допомогою KillSwitch, виконайте такі дії:

1. На вкладці «Система» відкрийте розділ «Процеси».
2. Проаналізуйте всі активовані процеси svchost:
   • клацніть правою кнопкою по файлу;
   • виберіть "Властивості";
   • перегляньте його поточну директорію. Якщо вона відмінна від С: Windows system32, найімовірніше, що досліджуваний об'єкт є вірусом.

У разі виявлення зловреда:

1. Додатково перегляньте у його полі графу «Оцінка» (safe – безпечний) та підпис.
2. Якщо ці властивості також не відповідають характеристикам довіреного системного файлу, знову активуйте контекстне меню (клік правою кнопкою). Потім послідовно запустіть функції «Зупинити» та «Видалити».
3. Продовжуйте перевірку, можливо вірус створив і запустив свої копії. Їх теж в обов'язковому порядку необхідно позбутися!

Спосіб №2: використання системних функцій

Перевірка автозавантаження

1. Клацніть "Пуск".
2. Наберіть у пошуковому рядку msconfig та натисніть «Enter».
3. У вікні «Конфігурація системи» перейдіть на вкладку «Автозавантаження».
4. Перегляньте команди (колонка «Команда»), які запускають елементи при запуску Windows, та їх розташування (директорії, ключі реєстру в колонці «Розташування»):
   • Усі директиви, що містять svchost, відключіть (приберіть кліком галочку біля запису). Це 100% вірус. Системний процес з однойменною назвою ніколи не прописується в автозавантаженні.
   • Відкрийте директорію зловреда (вказана в «Розташуванні») та видаліть його. Для нейтралізації ключа в реєстрі використовуйте штатний редактор regedit: Win + R → regedit → Enter.

Аналіз активних процесів

1. Натисніть "Ctrl + Alt + Del".
2. Клацніть на вкладці «Процеси».
3. Перевірте властивості всіх активних svchost (ім'я, розширення, розмір, розташування). При аналізі орієнтуйтесь на дані сервісу filecheck.ru та характеристики, наведені у цій статті.

Клацніть правою кнопкою на ім'я образу. У меню виберіть "Властивості".

У разі виявлення вірусу:

• у властивостях об'єкта дізнайтеся про його розташування (скопіюйте або запам'ятайте);
• натисніть "Завершити процес";
• перейдіть до директорії зловреда та видаліть його за допомогою штатної функції (клік правою кнопкою → Видалити).

Якщо важко визначити: довірений чи вірус?

Іноді однозначно складно сказати, чи є svchost справжнім чи підробкою. У такій ситуації рекомендується провести додаткове детектування на безкоштовному онлайн-сканері Virustotal. Цей сервіс для перевірки об'єкта наявність вірусів використовує 50-55 антивірусів.

1. Відкрийте у браузері virustotal.com.
2. Натисніть "Виберіть файл".
3. У провіднику Windows відкрийте директорію процесу, який потрібно перевірити, виділіть його кліком, а потім натисніть «Відкрити».
4. Для запуску сканування натисніть «Перевірити!». Файл завантажиться з ПК на сервіс і автоматично розпочнеться сканування.
5. Ознайомтеся із результатами перевірки. Якщо більшість антивірусів детектують об'єкт як вірус, його потрібно видалити.