Svchost de ce sunt atât de mulți dintre ei. Monitorizarea procesului: analiza indicatorilor și decizia corectă. Cum să vezi ce servicii rulează folosind svchost

Fișierul de sistem svchost devine destul de des o țintă pentru atacurile hackerilor. Mai mult, autorii de viruși își ascund malware-ul sub „aspectul” software-ului său. Unul dintre cei mai proeminenți reprezentanți ai virușilor „false svchost” este Win32.HLLP.Neshta (clasificare Dr.Web).

Acest „impostor” se copiază într-un director Windows, infectează fișierele cu extensia „exe” și ia resursele de sistem (RAM, trafic de internet). Cu toate acestea, el este capabil de alte lucruri urâte. Sunt cunoscute cazuri de infecție când virusul svchost încarcă RAM-ul computerului cu 98-100%, deconectează canalul de Internet și întrerupe funcționarea rețelei locale.

fișiere svсhost - bine și rău, sau cine este cine

Întreaga dificultate a neutralizării virușilor de acest tip este că există riscul de a deteriora/șterge un fișier Windows de încredere cu același nume. Și fără el, sistemul de operare nu va funcționa, va trebui să îl reinstalați. Prin urmare, înainte de a începe procedura de curățare, să facem cunoștință cu semnele speciale ale unui fișier de încredere și ale unui „străin”.

Procesul adevărat

Gestionează funcțiile de sistem care sunt lansate din biblioteci dinamice (.DLL-uri): le verifică și le încarcă. Ascultă porturile de rețea și transmite date prin acestea. De fapt, este o aplicație de utilitate Windows. Situat în directorul C: → Windows → System 32. În versiunile OS XP/7/8, în 76% din cazuri are o dimensiune de 20.992 de octeți. Dar există și alte opțiuni. Puteți afla mai multe despre ele pe resursa de recunoaștere filecheck.ru/process/svchost.exe.html (link - „29 more options”).

Are următoarele semnături digitale (în managerul de activități, coloana „Utilizatori”):

  • SISTEM;
  • SERVICIUL LOCAL;
  • SERVICIUL DE REȚEA.

hacker fals

Poate fi localizat în următoarele directoare:

  • C:\Windows
  • C:\Documentele mele
  • C:\Fișiere de program
  • C:\Windows\System32\drivers
  • C:\Program Files\Common Files
  • C:\Fișiere de program
  • C:\Documentele mele

Pe lângă directoarele alternative, hackerii folosesc nume aproape identice, similare procesului de sistem, pentru a masca virusul.

De exemplu:

  • svch0st (cifra „zero” în loc de litera „o”);
  • svrhost (în loc de „c” litera „r”);
  • svhost (fără „s”).

Există nenumărate versiuni ale „interpretarii libere” a numelui. Prin urmare, este necesar să se acorde o atenție deosebită atunci când se analizează procesele existente.

Atenţie! Virusul poate avea o extensie diferită (alta decât exe). De exemplu, „com” (virusul Neshta).

Deci, cunoscând inamicul (virusul!) din vedere, puteți începe în siguranță să-l distrugeți.

Metoda numărul 1: curățare cu utilitatea Comodo Cleaning Essentials

Cleaning Essentials este un scanner antivirus. Folosit ca un software alternativ de curățare a sistemului. Vine cu două utilitare pentru detectarea și monitorizarea obiectelor Windows (fișiere și chei de registry).

Unde se descarcă și cum se instalează?

1. Deschide comodo.com (site-ul oficial al producătorului) în browser.

Sfat! Este mai bine să descărcați kitul de distribuție a utilitarelor pe un computer „sănătos” (dacă este posibil), apoi să îl rulați de pe o unitate flash USB sau CD.

2. Pe pagina principală, plasați cursorul peste secțiunea „Întreprinderi mici și mijlocii”. În submeniul care se deschide, selectați programul Comodo Cleaning Essentials.

3. În blocul de descărcare, în meniul derulant, selectați bitness-ul sistemului dvs. de operare (32 sau 64 de biți).

Sfat! Adâncimea de biți poate fi găsită prin meniul de sistem: deschideți „Start” → introduceți „Informații de sistem” în linie → faceți clic pe utilitarul cu același nume din lista „Programe” → uitați-vă la linia „Tip”.

4. Faceți clic pe butonul „Descărcare gratuită”. Așteptați până când descărcarea se termină.

5. Despachetați arhiva descărcată: faceți clic dreapta pe fișier → „Extract all...”.

6. Deschideți folderul despachetat și faceți dublu clic pe fișierul „CCE” cu butonul din stânga.

Cum să configurați și să curățați sistemul de operare?

1. Selectați modul „Scanare personalizată”.

2. Așteptați puțin până când utilitarul își actualizează bazele de date de semnături.

3. În fereastra de setări de scanare, bifați caseta de lângă unitatea C. Și, de asemenea, activați verificarea tuturor elementelor suplimentare („Memorie”, „Zone critice..”, etc.).

4. Faceți clic pe „Scanare”.

5. După finalizarea scanării, permiteți antivirusului să elimine virusul impostor detectat și alte obiecte periculoase.

Notă. Pe lângă Comodo Cleaning Essentials, puteți utiliza alte utilitare antivirus similare pentru a vă curăța computerul. De exemplu, Dr. Web CureIt!.

Utilități de ajutor

Pachetul de tratament Cleaning Essentials include două instrumente auxiliare concepute pentru monitorizarea în timp real a sistemului și detectarea manuală a malware-ului. Ele pot fi utilizate dacă virusul nu poate fi neutralizat în timpul procesului de scanare automată.

O aplicație pentru lucrul rapid și convenabil cu chei de registry, fișiere, servicii. Autorun Analyzer determină locația obiectului selectat și, dacă este necesar, îl poate șterge sau copia.

Pentru a căuta automat fișiere svchost.exe, în secțiunea „Fișier”, selectați „Găsiți” și specificați numele fișierului. Analizați procesele găsite, ghidându-vă după proprietățile descrise mai sus (vezi „Hacker fake”). Dacă este necesar, eliminați obiectele suspecte prin meniul contextual al utilitarului.

Monitorizează procesele care rulează, conexiunile la rețea, memoria fizică și încărcarea procesorului. Pentru a prinde un svchost fals folosind KillSwitch, urmați acești pași:

  1. Pe fila Sistem, deschideți secțiunea Procese.
  2. Analizați toate procesele svchost activate:
    • faceți clic dreapta pe fișier;
    • selectați „Proprietăți”;
    • uită-te la directorul său actual. Dacă este diferit de C:\Windows\system32\, este cel mai probabil ca obiectul examinat să fie un virus.

Dacă este detectat malware:

  1. În plus, uitați-vă la coloana „Evaluare” (sigur) și la semnătura din câmpul său.
  2. Dacă nici aceste proprietăți nu corespund caracteristicilor fișierului de sistem de încredere, activați din nou meniul contextual (clic dreapta). Și apoi rulați funcțiile „Suspend” și „Delete” în secvență.
  3. Continuați să verificați, este posibil ca virusul să fi creat și lansat copii ale lui însuși. De asemenea, este imperativ să scapi de ele!

Metoda nr. 2: utilizarea funcțiilor sistemului

Se verifică pornirea

  1. Faceți clic pe „Start”.
  2. Tastați msconfig în bara de căutare și apăsați Enter.
  3. În fereastra Configurare sistem, accesați fila Pornire.
  4. Vizualizați comenzile (coloana „Comandă”) care lansează elementele la pornirea Windows și locația acestora (directoare, chei de registry în coloana „Locație”):
    • Dezactivați toate directivele care conțin svchost (faceți clic pe caseta de selectare de lângă intrare). Acesta este 100% un virus. Procesul de sistem cu același nume nu este niciodată înregistrat la pornire.
    • Deschideți directorul de programe malware (listat în „Locație”) și ștergeți-l. Pentru a neutraliza o cheie în registry, utilizați editorul regedit standard: „Win ​​+ R” → regedit → Enter.

Analiza proceselor active

  1. Apăsați „Ctrl + Alt + Del”.
  2. Faceți clic pe fila „Procese”.
  3. Verificați proprietățile tuturor svchost-urilor active (nume, extensie, dimensiune, locație). Când analizați, bazați-vă pe datele din serviciul filecheck.ru și pe caracteristicile prezentate în acest articol.

Faceți clic dreapta pe numele imaginii. Din meniu, selectați Proprietăți.

Dacă este detectat un virus:

  • în proprietățile obiectului, aflați locația acestuia (copiați sau amintiți);
  • faceți clic pe „Încheierea procesului”;
  • accesați directorul de programe malware și eliminați-l folosind funcția standard (clic dreapta → Șterge).

Dacă este dificil de determinat: de încredere sau virus?

Uneori este dificil de spus cu siguranță dacă svchost este real sau fals. Într-o astfel de situație, se recomandă efectuarea unei detectări suplimentare utilizând scanerul online gratuit Virustotal. Acest serviciu folosește 50-55 de antivirusuri pentru a scana un obiect pentru viruși.

  1. Deschide virustotal.com în browserul tău.
  2. Faceți clic pe Selectați fișierul.
  3. În Windows Explorer, deschideți directorul procesului pe care doriți să îl verificați, selectați-l făcând clic, apoi faceți clic pe „Deschidere”.
  4. Pentru a începe scanarea, faceți clic pe „Verificați!” Fișierul va fi încărcat de pe computer în serviciu și scanarea va începe automat.
  5. Examinați rezultatele testului. Dacă majoritatea programelor antivirus detectează un obiect ca virus, acesta trebuie eliminat.

Ați intrat vreodată în Managerul de activități al sistemului dvs. de operare și ați găsit mai multe copii ale aceluiași fișier numit svchost.exe care rulează? Ce este acest fișier și poate dăuna computerului dvs.? Este posibil și necesar să îl eliminați? Vom vorbi despre aceasta și multe alte probleme legate de acest fișier în acest articol.

Definiție

Svchost.exe este denumirea generală a procesului principal pentru serviciile lansate din bibliotecile dinamice din linia sistemului de operare Windows. Fiecare serviciu care accesează fișierul svchost.exe rulează propria copie a acestui fișier pe computerul personal. Astfel, câteva zeci de copii ale acestuia pot fi afișate simultan în managerul de activități. Acest sistem a fost inventat pentru a economisi cât mai mult spațiu liber posibil în memoria dispozitivului.

Este acest fișier în siguranță?

Fișierul svchost.exe în sine este o componentă importantă a sistemului de operare și nu reprezintă nicio amenințare. Cu toate acestea, adesea codul rău intenționat preluat de pe Internet este deghizat în acest fișier. Calculul se face pe faptul că un fișier cu un astfel de nume îți va fi mai greu de detectat și îți va fi teamă să-l ștergi, considerându-l un fișier de sistem.

Unde se află acest fișier?

Este destul de simplu să recunoști dacă un anumit proces de rulare numit svchost este un virus. În primul rând, trebuie să știți unde poate fi localizat fișierul svchost.exe real și sigur:

  • C:\WINDOWS\system32
  • C:\WINDOWS\ServicePackFiles\i386
  • C:\WINDOWS\Prefetch
  • C: \WINDOWS\winsxs\orice folder aflat în această partiție.

Dacă găsiți fișierul svchost în orice altă cale, știți că aveți de-a face cu un virus. Singurele excepții sunt antivirusul și alte programe, care creează și foldere cu același nume, dar nu reprezintă o amenințare pentru computerul dvs.

Cum pot vedea ce servicii rulează folosind svchost?

Să luăm în considerare această problemă folosind Windows 7 ca exemplu.

  1. Apăsați simultan tastele Ctrl+Alt+Del și selectați „Lans task manager”.
  2. Accesați fila Procese și selectați „Afișați procesele tuturor utilizatorilor”.
  3. În lista care se deschide, puteți vedea câte copii ale fișierului rulează pe computerul dvs. în acest moment și sub ce utilizator. Trebuie să știți că fișierul de sistem svchost.exe poate fi rulat doar ca utilizatori LOCAL SERVICE, SYSTEM, NETWORK SERVICE sau System. Dacă fișierul este numit după numele mașinii locale, aveți de-a face cu un virus.
  4. Pentru a vedea ce serviciu a lansat o anumită copie a unui fișier, faceți clic dreapta pe această copie din listă și selectați „Mergeți la Servicii” sau selectați o copie din listă cu butonul stâng al mouse-ului și deschideți fila adiacentă „Servicii”.
  5. Pentru a afla ce este un anumit serviciu și ce funcții îndeplinește pe computerul dvs., faceți clic pe butonul „Servicii...” din colțul din dreapta jos al ferestrei care se deschide.

Cum să eliminați un virus mascalat ca svchost?

Dacă bănuiți că computerul dvs. este infectat cu un virus care se deghizează într-un fișier svchost, cea mai bună soluție ar fi să descărcați un program special conceput pentru a elimina acest tip de fișier de pe computer. Un exemplu de astfel de program ar fi Security Task Manager sau utilitarul antivirus AVZ. După ștergerea fișierelor suspecte, va trebui să reporniți computerul și să efectuați o scanare completă a sistemului pentru viruși. Abia după aceasta poți fi complet sigur că ai scăpat de virus, iar acest fișier nu mai amenință securitatea computerului tău.

Svchost.exe este numele generic pentru gazdele procesoarelor care sunt lansate dinamic din bibliotecile de plug-in. Mulți utilizatori se confruntă cu faptul că acest proces încarcă sistemul cu 50, și uneori chiar cu 100 la sută! Desigur, cineva va spune că problema este un fișier rău intenționat care se află pe computerul dvs., dar în realitate nu este întotdeauna cazul. În plus, sistemul de operare Windows ridică adesea probleme literalmente din senin...

Soluții

  • Există mai multe moduri. Prima pe care ar trebui să-l utilizați este verificarea sistemului pentru fișiere rău intenționate, deoarece dacă problema constă într-adevăr în virus, atunci după ce îl eliminați este posibil să nu citiți articolul nostru. Apropo, nu uitați să verificați procesul prin managerul de activități (CTRL + ALT + DEL). Dacă este rulat ca utilizator și nu ca SISTEM, atunci este 99% un virus.
  • Încercați pur și simplu să reporniți computerul. Aceasta ar putea fi o eroare în sistemul de operare.
  • Lansați Managerul de activități. În fața dvs. veți vedea un întreg arbore de procese din svchost.exe. Treceți săgeata mouse-ului peste unul dintre ele, faceți clic pe butonul din stânga și selectați „Accesați servicii”. Acum veți vedea un număr mare de servicii care utilizează acest proces. Rămâne să găsim printre ei exact serviciul care se încarcă. Cum să o facă? Este necesar să dezactivați fiecare serviciu și să priviți rezultatul. Cu toate acestea, nu vă sfătuim să faceți acest lucru pe cont propriu, este mai bine să solicitați ajutorul unui prieten sau coleg care știe exact cum pot fi suspendate serviciile și care nu ar trebui să fie suspendate (acest lucru poate afecta performanța computerului dvs.); ). Pentru a face acest lucru, puteți utiliza analizorul de proces svchost, care este distribuit gratuit. După ce serviciul este găsit, acesta trebuie dezactivat prin „Computer Management”, astfel încât să nu se încarce după o repornire. Și încă ceva - această metodă este potrivită doar pentru Windows 7, deși unii utilizatori susțin că funcționează similar pentru Vista și XP.

  • Alternativ, unii utilizatori sugerează să reveniți la sistemul cu câteva zile în urmă, când nu au existat probleme. Metoda este foarte controversată, deși nu excludem posibilitatea ca aceasta să poată ajuta.
  • În vastitatea RuNet-ului, am reușit să găsim o altă metodă interesantă, dar o poți folosi doar pe riscul și riscul tău! Găsiți folderul Prefetch (situat în secțiunea *:\WINDOWS\) și ștergeți-l. Apoi găsiți folderul Sarcini (*:\WINDOWS\system32\), deschideți-l și ștergeți toate fișierele din acesta. Acum lansați managerul de activități, ștergeți întregul arbore de activități svchost.exe și apoi reporniți computerul.

Ne poți spune deciziile și părerile tale prin intermediul blocului de comentarii.

Programele se blochează, computerul încetinește, aplicațiile nu răspund. Aproape fiecare utilizator de PC a întâmpinat probleme similare și încă le face. Există un număr mare de motive pentru aceasta, dar astăzi vom vorbi despre fișierul svchost.exe, care consumă majoritatea resurselor computerului.

Vă vom spune ce procese sunt asociate cu acest fișier, de ce încarcă atât de mult sistemul și cum să le gestionați corect.

Descrierea svchost.exe

O problemă similară a apărut cu destul de mult timp în urmă, dar încă nu există nicio resursă pe internet care să descrie toate nuanțele și metodele de combatere a acesteia. Acest articol se va concentra pe soluția pe Windows 7.

Merită să începem cu faptul că svchost.exe este un proces de sistem. Ar trebui să fie situat la: C:\Windows\System32\

Verificarea locației unei aplicații numite svchost.exe nu este deloc dificilă, trebuie doar să mergeți la task manager (Ctrl+Alt+Delete – Task Manager), găsiți un proces cu acest nume care consumă multă memorie RAM, faceți clic dreapta și selectați stocarea fișierelor „Open location”. Procesul va fi afișat în manager numai dacă aveți bifată caseta de selectare „Afișează procesele tuturor utilizatorilor”. În fereastra Explorer, veți vedea fișierul și folderul în care se află.

Dacă locația fișierului diferă de cea de mai sus, atunci putem spune cu 95% probabilitate că este un virus, dar în acest caz poate fi învins fie prin simpla ștergere, fie prin utilizarea unui antivirus normal. De asemenea, ar trebui să acordați atenție numelui. O aplicație poate fi considerată un virus și dacă arată astfel: svch0st.exe, svchost.exe (unde „s” și „o” sunt scrise în rusă), etc. Un alt factor care ajută la determinarea autenticității unui fișier este numele de utilizator specificat în managerul de activități.

Nume valide:

  1. Sistem
  2. SERVICIUL LOCAL
  3. SERVICIUL DE REȚEA

Apropo, nu vă alarmați de faptul că există atât de multe copii ale svchost.exe afișate în managerul de activități. Acest program este conceput să funcționeze cu diverse aplicații care folosesc biblioteci dll, respectiv, uneori este foarte dificil pentru multe programe să folosească un singur svchost.exe și sunt lansate copiile acestuia, dar cu numere de identificare diferite.

Dezactivează Windows 7 Update

Deci, ce ar trebui să faceți dacă, după verificare, svchost.exe nu a fost suspectat ca un fișier rău intenționat sau virus?

Soluția s-a dovedit a fi foarte simplă. În mod implicit, fiecare utilizator de Windows 7 caută automat actualizări și le instalează. În ciuda alegerii perioadei de căutare și instalare, sistemul de operare le caută în mod constant, ceea ce duce în unele cazuri la o problemă similară. Pe computerul meu personal, cu 4 GB RAM, doar 300 MB erau liberi, svchost.exe consuma 2,5 GB.

Pentru a dezactiva actualizările, trebuie să parcurgeți următorii pași:

Dezactivarea caracteristicii Windows Update ascunse

S-ar părea că aici ar trebui să se termine povestea, dar în ciuda importanței și necesității acestor acțiuni, svchost.exe va consuma în continuare RAM, deoarece aceasta nu este suficientă pentru a dezactiva complet actualizările. Pentru a rezolva în sfârșit problema, este necesar să efectuați mai multe acțiuni, și anume:


După aceasta, trebuie să reporniți computerul. Când sistemul pornește, deschideți managerul de activități și veți vedea că procesul svchost.exe consumă acum o cantitate mică de RAM. Dacă trebuie să actualizați sistemul, puteți activa opțiunile descrise mai sus și, după actualizare, să le dezactivați din nou folosind aceeași schemă.



Vă recomandăm alte articole
Cum funcționează mineritul criptomonedei Procesul de extragere a criptomonedei
Cum funcționează mineritul criptomonedei Procesul de extragere a criptomonedei
Rezumatul unei lecții la grădiniță „Programatorul este un vrăjitor grozav”
Rezumatul unei lecții la grădiniță „Programatorul este un vrăjitor grozav”
Cum să treci verificarea când te conectezi la contul tău pe Aliexpress?
Cum să treci verificarea când te conectezi la contul tău pe Aliexpress?