Svchost почему их много. Мониторинг процессов: анализ показателей и правильное решение. Как посмотреть, какие службы запущены с помощью svchost

Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» - Win32.HLLP.Neshta (классификация Dr.Web).

Этот «самозванец» копирует себя в директорию Windows, заражает файлы с расширением «exe» и забирает системные ресурсы (оперативную память, интернет-трафик). Впрочем, он способен и на другие гадости. Известны случаи инфицирования, когда вирусный svchost загружает ОЗУ компьютера на 98-100% , отключает интернет-канал, нарушает функционирование локальной сети.

Файлы svсhost - добрые и злые, или кто есть кто

Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».

Истинный процесс

Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка - «ещё 29 вариантов»).

Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):

• SYSTEM;
• LOCAL SERVICE;
• NETWORK SERVICE.

Хакерская подделка

Может находиться в следующих директориях:

• C:\Windows
• C:\Мои документы
• C:\Program Files
• C:\Windows\System32\drivers
• C:\Program Files\Common Files
• C:\Program Files
• C:\Мои документы

Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.

Например:

• svch0st (цифра «ноль» вместо литеры «o»);
• svrhost (вместо «с» буква «r»);
• svhost (нет «с»).

Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.

Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).

Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.

Способ №1: очистка утилитой Comodo Cleaning Essentials

Cleaning Essentials - антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).

Где скачать и как установить?

1. Откройте в браузере comodo.com (официальный сайт производителя).

Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.

2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.

3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).

Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».

4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.

5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».

6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».

Как настроить и очистить ОС?

1. Выберите режим «Custom scan» (выборочное сканирование).

2. Подождите немного, пока утилита обновит свои сигнатурные базы.

3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).

4. Нажмите «Scan».

5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.

Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.

Вспомогательные утилиты

В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.

Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.

Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.

Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:

1. На вкладке «Система» откройте раздел «Процессы».
2. Проанализируйте все активированные процессы svchost:
   • кликните правой кнопкой по файлу;
   • выберите «Свойства»;
   • посмотрите его текущую директорию. Если она отличная от С:\Windows\system32\, вероятней всего, что исследуемый объект является вирусом.

В случае обнаружения зловреда:

1. Дополнительно просмотрите в его поле графу «Оценка» (safe - безопасный) и подпись.
2. Если эти свойства также не соответствуют характеристикам доверенного системного файла, снова активируйте контекстное меню (клик правой кнопкой). А затем последовательно запустите функции «Приостановить» и «Удалить».
3. Продолжайте проверку, возможно, вирус создал и запустил свои копии. От них тоже в обязательном порядке необходимо избавиться!

Способ №2: использование системных функций

Проверка автозагрузки

1. Кликните «Пуск».
2. Наберите в поисковой строке msconfig и нажмите «Enter».
3. В окне «Конфигурация системы» перейдите на вкладку «Автозагрузка».
4. Просмотрите команды (колонка «Команда»), запускающие элементы при запуске Windows, и их расположение (директории, ключи реестра в колонке «Расположение»):
   • Все директивы, содержащие svchost, отключите (уберите кликом галочку возле записи). Это 100% вирус. Системный процесс с одноимённым названием никогда не прописывается в автозагрузке.
   • Откройте директорию зловреда (указана в «Расположение») и удалите его. Для нейтрализации ключа в реестре используйте штатный редактор regedit: «Win + R» → regedit → Enter.

Анализ активных процессов

1. Нажмите «Ctrl + Alt + Del».
2. Кликните по вкладке «Процессы».
3. Проверьте свойства всех активных svchost (имя, расширение, размер, местоположение). При анализе ориентируйтесь на данные сервиса filecheck.ru и характеристики, приведенные в этой статье.

Кликните правой кнопкой по имени образа. В меню выберите «Свойства».

В случае обнаружения вируса:

• в свойствах объекта узнайте его расположение (скопируйте или запомните);
• нажмите «Завершить процесс»;
• перейдите в директорию зловреда и удалите его при помощи штатной функции (клик правой кнопкой → Удалить).

Если сложно определить: доверенный или вирус?

Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.

1. Откройте в браузере virustotal.com.
2. Нажмите «Выберите файл».
3. В проводнике Windows откройте директорию процесса, который необходимо проверить, выделите его кликом, а затем нажмите «Открыть».
4. Для запуска сканирования кликните «Проверить!». Файл загрузится из ПК на сервис и автоматически начнётся сканирование.
5. Ознакомьтесь с результатами проверки. Если большинство антивирусов детектируют объект как вирус, его необходимо удалить.

Случалось ли вам, зайдя в Диспетчер задач вашей операционной системы, обнаружить несколько запущенных копий одного и того же файла под названием svchost.exe? Что это за файл и способен ли он нанести вред вашему компьютеру? Можно и нужно ли его удалять? Об этом и о многих других вопросах, связанных с этим файлом, мы поговорим в данной статье.

Определение

Svchost.exe - общее название главного процесса для служб, запускаемых из динамических библиотек в линейке ОС Windows. Каждая служба, которая обращается к файлу svchost.exe, запускает на персональном компьютере свою копию этого файла. Таким образом, в диспетчере задач может отображаться сразу несколько десятков его копий. Такая система придумана для того, чтобы сохранить как можно больше свободного места в памяти устройства.

Безопасен ли этот файл?

Сам файл svchost.exe является важным компонентом операционной системы и никой угрозы в себе не таит. Однако нередко вредоносный код, подхваченный в Сети, маскируется под этот файл. Расчет сделан на то, что файл с таким именем вам будет труднее обнаружить и вы побоитесь его удалять, посчитав системным.

Где находится этот файл?

Распознать, является ли вирусом тот или иной запущенный процесс с именем svchost, достаточно просто. В первую очередь необходимо знать, где может быть расположен настоящий, безопасный файл svchost.exe:

• C:\WINDOWS\system32
• C:\WINDOWS\ServicePackFiles\i386
• C:\WINDOWS\Prefetch
• С: \WINDOWS\winsxs\любая папка, находящаяся в данном разделе.

Если вы нашли файл svchost по любому другому пути, знайте - вы имеете дело с вирусом. Исключения составляют лишь антивирусные и некоторые другие программы, которые также создают одноименные папки, но угрозы для вашего компьютера не представляют.

Как посмотреть, какие службы запущены с помощью svchost?

Рассмотрим данный вопрос на примере ОС Windows 7.

1. Зажмите одновременно клавиши Ctrl+Alt+Del и выберите пункт "Запустить диспетчер задач".
2. Перейдите на вкладку процессы и выберите пункт "Отображать процессы всех пользователей".
3. В открывшемся списке вы сможете увидеть, сколько копий файла запущено на вашем компьютере в данный момент и от имени какого пользователя. Необходимо знать, что системный файл svchost.exe может быть запущен только от имени пользователей LOCAL SERVICE, SYSTEM, NETWORK SERVICE или Система. Если файл вызван именем локальной машины, вы имеете дело с вирусом.
4. Чтобы посмотреть, какая служба запустила конкретную копию файла, щелкните по данной копии из списка правой кнопкой мыши и выберите пункт "Перейти к службам" или выберите копию из списка левой кнопкой мыши и откройте соседнюю вкладку "Службы".
5. Чтобы узнать, что представляет собой та или иная служба и какие функции она выполняет на компьютере, нажмите на кнопку "Службы…" в нижнем правом углу открывшегося окна.

Как удалить вирус, маскирующийся под svchost?

Если у вас возникли подозрения, что ваш компьютер заражен вирусом, который маскируется под файл svchost, самым правильным решением будет скачать программу, специально разработанную для удаления с компьютера файлов такого типа. Примером такой программы может послужить Security Task Manager или антивирусная утилита AVZ . После удаления подозрительных файлов вам необходимо будет перегрузить компьютер и провести полную проверку системы на вирусы. Только после этого вы сможете быть полностью уверены, что избавились от вируса, и этот файл больше не угрожает безопасности компьютера.

Svchost.exe — это общее название процессорных хостов, динамически запускаемых из подключаемых библиотек. Многие пользователи сталкиваются с тем, что данный процесс загружает систему на 50, а порой даже на все 100 процентов! Конечно, кто-то скажет, что дело во вредоносном файле, который находится на вашем компьютере, однако на деле это далеко не всегда так. К тому же операционная система Windows нередко подкидывает проблем буквально ниоткуда…

Решения

• Существует несколько способов. Первый, каким вы должны воспользоваться, это проверка системы на наличие вредоносных файлов, поскольку если трудность действительно заключается в вирусе, то после его удаления нашу статью вы можете не читать. Да, кстати, не забудьте проверить процесс через диспетчер задач (CTRL + ALT + DEL). Если он запущен от имени пользователя, а не от имени SYSTEM, то это на 99% вирус.

• Попробуйте просто перезагрузить компьютер. Это может быть глюк вашей ОС.

• Запустите диспетчер задач. Перед собой вы увидите целое дерево процессов из svchost.exe. Наведите на один из них стрелку мыши, нажмите на левую кнопку и выберите пункт «Перейти к службам». Теперь перед собой вы увидите большое количество служб, которое использует данный процесс. Остается найти среди них именно ту службу, которая и загружает . Как это сделать? Необходимо отключать каждую службу и смотреть на результат. Однако самостоятельно делать это мы бы вам не советовали, лучше заручиться поддержкой друга или коллеги, который точно знает, как службы можно приостанавливать, а какие — не стоит (это может сказаться на работоспособности вашего ПК). Для этого вы можете использовать анализатор процесса svchost, который распространяется бесплатно. После того, как будет найдена служба, ее необходимо отключить через «Управление компьютером», что бы после перезагрузки она не загружалась. И еще — данный метод подходит только для Windows 7, хотя некоторые пользователи уверяют, что для Vista и XP он работает аналогично.

• Как вариант, некоторые пользователи предлагают откатить систему на несколько дней назад, когда проблем не наблюдалось. Способ весьма спорный, хотя того, что он может помочь, мы не исключаем.

• На просторах рунета нам удалось найти еще один интересный способ, но использовать его вы можете только на свой страх и риск! Найдите папку Prefetch (находится в разделе *:\WINDOWS\) и удалите ее. Затем найдите папку Tasks (*:\WINDOWS\system32\), откройте ее и удалите из нее все файлы. Теперь запустите диспетчер задач, удалите все дерево задач svchost.exe, после чего перезагрузите компьютер.

Свои решения и мнения вы можете сообщить нам через блок комментариев.

Программы зависают, тормозит компьютер, приложения не отвечают. С подобными проблемами сталкивался практически каждый пользователь ПК и сталкивается до сих пор. Причин для этого есть огромное множество, но сегодня речь пойдет о файле svchost.exe, который пожирает большую часть ресурсов компьютера.

Мы расскажем, что за процессы связаны с этим файлом, почему он так сильно нагружает систему и как правильно с этим бороться.

Описание svchost.exe

Подобная проблема появилась довольно таки давно, однако до сих пор в интернете нет ресурса, где были бы описаны все нюансы и способы борьбы. Данная статья будет посвящена решению на Windows 7.

Стоит начать с того, что svchost.exe является системным процессом. Он должен находится по адресу: C:\Windows\System32\

Проверить местонахождение приложения с названием svchost.exe совсем несложно, достаточно лишь зайти в диспетчер задач (Ctrl+Alt+Delete – Диспетчер задач), найти процесс с этим названием, который потребляет много оперативной памяти, щелкнуть правой кнопкой мыши и выбрать пункт «Открыть место хранения файла. Процесс будет отображаться в диспетчере только, если у Вас стоит галочка «Отображать процессы всех пользователей. В окне проводника вы увидите файл и папку, в которой он находится.

Если местоположение файла отличается от вышеуказанного, то можно с 95% вероятностью сказать, что это вирус, но в этом случае победить его можно либо простым удалением, либо нормальным антивирусом. Так же следует обращать внимание на название. Приложение тоже можно считать вирусом, если оно имеет вид: svch0st.exe, svchost.exe (где «с» и «о» написаны в русской раскладке) и т.д. Еще один фактор помогающий определить подлинность файла – это имя пользователя указанное в диспетчере задач.

Допустимые имена:

1. Система
2. LOCAL SERVICE
3. NETWORK SERVICE

Кстати, не стоит пугаться того, что в диспетчере задач отображается так много копий svchost.exe. Эта программа предназначена для работы различных приложений, использующих dll библиотеки, соответственно, порой множеству программ весьма затруднительно пользоваться одним svchost.exe и запускаются его копии, но с разными идентификационными номерами.

Отключение обновления Windows 7

Так что же делать, если после проверки svchost.exe не был заподозрен как вредоносный файл или вирус?

Решение оказалось очень простым. По умолчанию у каждого пользователя Windows 7 стоит автоматический поиск обновлений и их установка. Несмотря на выбор периода поиска и установки, ОС все равно постоянно их ищет, что в некоторых случаях приводит к подобной проблеме. На моем личном компьютере при наличии 4 ГБ оперативной памяти свободными были лишь 300 МБ, svchost.exe пожирал 2,5 ГБ.

Для отключения обновлений необходимо проделать следующие шаги:

Отключение скрытой функции обновления Windows

Казалось бы, на этом история должная закончится, но несмотря на важность и необходимость этих действий svchost.exe по прежнему будет пожирать оперативную память, поскольку этого недостаточно для полного отключения обновлений. Для окончательного решения проблемы необходимо произвести еще несколько действий, а именно:

После этого необходимо перезапустить компьютер. Когда система загрузится, откройте диспетчер задач и увидите, что процесс svchost.exe отныне потребляет небольшое количество оперативной памяти. При необходимости обновления системы можно включать обратно опции описанные выше, а после обновления отключать снова по такой же схеме.