Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» - Win32.HLLP.Neshta (классификация Dr.Web).
Этот «самозванец» копирует себя в директорию Windows, заражает файлы с расширением «exe» и забирает системные ресурсы (оперативную память, интернет-трафик). Впрочем, он способен и на другие гадости. Известны случаи инфицирования, когда вирусный svchost загружает ОЗУ компьютера на 98-100% , отключает интернет-канал, нарушает функционирование локальной сети.
Файлы svсhost - добрые и злые, или кто есть кто
Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».
Истинный процесс
Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка - «ещё 29 вариантов»).
Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):
- SYSTEM;
- LOCAL SERVICE;
- NETWORK SERVICE.
Хакерская подделка
Может находиться в следующих директориях:
- C:\Windows
- C:\Мои документы
- C:\Program Files
- C:\Windows\System32\drivers
- C:\Program Files\Common Files
- C:\Program Files
- C:\Мои документы
Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.
Например:
- svch0st (цифра «ноль» вместо литеры «o»);
- svrhost (вместо «с» буква «r»);
- svhost (нет «с»).
Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.
Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).
Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.
Способ №1: очистка утилитой Comodo Cleaning Essentials
Cleaning Essentials - антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).
Где скачать и как установить?
1. Откройте в браузере comodo.com (официальный сайт производителя).
Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.
2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.
3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).
Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».
4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.
5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».
6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».
Как настроить и очистить ОС?
1. Выберите режим «Custom scan» (выборочное сканирование).
2. Подождите немного, пока утилита обновит свои сигнатурные базы.
3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).
4. Нажмите «Scan».
5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.
Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.
Вспомогательные утилиты
В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.
Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.
Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.
Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:
- На вкладке «Система» откройте раздел «Процессы».
- Проанализируйте все активированные процессы svchost:
- кликните правой кнопкой по файлу;
- выберите «Свойства»;
- посмотрите его текущую директорию. Если она отличная от С:\Windows\system32\, вероятней всего, что исследуемый объект является вирусом.
В случае обнаружения зловреда:
- Дополнительно просмотрите в его поле графу «Оценка» (safe - безопасный) и подпись.
- Если эти свойства также не соответствуют характеристикам доверенного системного файла, снова активируйте контекстное меню (клик правой кнопкой). А затем последовательно запустите функции «Приостановить» и «Удалить».
- Продолжайте проверку, возможно, вирус создал и запустил свои копии. От них тоже в обязательном порядке необходимо избавиться!
Способ №2: использование системных функций
Проверка автозагрузки
- Кликните «Пуск».
- Наберите в поисковой строке msconfig и нажмите «Enter».
- В окне «Конфигурация системы» перейдите на вкладку «Автозагрузка».
- Просмотрите команды (колонка «Команда»), запускающие элементы при запуске Windows, и их расположение (директории, ключи реестра в колонке «Расположение»):
- Все директивы, содержащие svchost, отключите (уберите кликом галочку возле записи). Это 100% вирус. Системный процесс с одноимённым названием никогда не прописывается в автозагрузке.
- Откройте директорию зловреда (указана в «Расположение») и удалите его. Для нейтрализации ключа в реестре используйте штатный редактор regedit: «Win + R» → regedit → Enter.
Анализ активных процессов
- Нажмите «Ctrl + Alt + Del».
- Кликните по вкладке «Процессы».
- Проверьте свойства всех активных svchost (имя, расширение, размер, местоположение). При анализе ориентируйтесь на данные сервиса filecheck.ru и характеристики, приведенные в этой статье.
Кликните правой кнопкой по имени образа. В меню выберите «Свойства».
В случае обнаружения вируса:
- в свойствах объекта узнайте его расположение (скопируйте или запомните);
- нажмите «Завершить процесс»;
- перейдите в директорию зловреда и удалите его при помощи штатной функции (клик правой кнопкой → Удалить).
Если сложно определить: доверенный или вирус?
Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.
- Откройте в браузере virustotal.com.
- Нажмите «Выберите файл».
- В проводнике Windows откройте директорию процесса, который необходимо проверить, выделите его кликом, а затем нажмите «Открыть».
- Для запуска сканирования кликните «Проверить!». Файл загрузится из ПК на сервис и автоматически начнётся сканирование.
- Ознакомьтесь с результатами проверки. Если большинство антивирусов детектируют объект как вирус, его необходимо удалить.
Начиная с версии Windows XP в операционных системах этого семейства появилась одна весьма неординарная служба - Svchost.exe (netsvcs). В первоначальном варианте она в основном отвечала за сетевые подключения, но со временем стала использоваться более широко. Не секрет, что именно процесс Svchost.exe (netsvcs) грузит процессор (Windows 7). Как устранить проблему и отключить ненужные компоненты, сейчас и будет показано. Но сначала разберемся, что это за процесс и для чего он нужен.
Служба Svchost.exe (netsvcs): что это за процесс?
За основу возьмем Windows 7, поскольку в системах рангом выше проблема с указанной службой выражена не столь ярко.
Именно начиная с седьмой модификации Windows разработчики решили сделать систему более быстрой, использовав для этого, как они считали, универсальное решение, суть которого сводилась к тому, чтобы не вызывать исполняемый файл какого-то системного или пользовательского процесса, а запускать его посредством одной службы в фоновом режиме.
Принцип работы службы
Если посмотреть на список процессов в «Диспетчере задач», можно увидеть несколько служб Svchost.exe (netsvcs). Что это и почему так происходит, станет понятно, если разобраться в основных принципах работы данного компонента.
Вообще, в процессах может присутствовать от четырех (минимум) и более таких компонентов, но все они относятся к одной группе (netsvcs). Принцип работы процесса состоит в том, чтобы запускать системные процессы через специальные svc-хосты с помощью инструмента Services.exe. В этом случае сопутствующие компоненты любой программы (например, динамические библиотеки DLL, которые обычным способом к исполнению системой не принимаются) загружаются в оперативную память. Как считается, это позволяет ускорить старт исполняемых приложений (в том числе и пользовательских).
Почему процесс нагружает оперативную и виртуальную память?
Но почему же тогда процесс Svchost.exe (netsvcs) грузит память Windows 7? Решение по устранению такой проблемы придется принимать исходя из причин подобного поведения системы. Среди них основными называют следующие:
- воздействие вирусов, маскирующихся под процессы Svchost.exe;
- нарушения в работе средства поиска и установки обновлений Windows;
- накопление компьютерного мусора при интернет-серфинге;
- проблемы с туннельным адаптером;
- включенная служба Prefetch.
При этом стоит отметить, что процесс Svchost.exe (netsvcs) грузит физическую память (оперативную и виртуальную, которая использует зарезервированное на винчестере место для загрузки компонентов программ при нехватке ОЗУ).
В самом простом случае от чрезмерной нагрузки можно избавиться обычным рестартом системы. Но это дает лишь кратковременный эффект, равно как и завершение каждого процесса в том же «Диспетчере задач». Поэтому придется использовать кардинальные меры.
Проверка на присутствие вирусов и вредоносных кодов
Прежде всего надо определить наличие вирусов, маскирующихся в системе под процессы Svchost.exe (netsvcs), можно по их атрибутам в «Диспетчере задач». На запущенных службах с именем пользователя в описании процессов могут стоять только атрибуты Network Service, Local Service или System. Если указано что-то другое (чаще всего Admin), сразу нужно начинать проверку.
В самом простом варианте можно воспользоваться штатным сканером, но в большинстве случаев это результата не дает (ведь, судя по всему, антивирус уже пропустил угрозу). Большинство специалистов рекомендуют использовать независимые утилиты, среди которых одной из самых мощных является Rescue Disk от «Лаборатории Касперского». Антивирус можно загрузить с диска или флешки еще до старта Windows, а он при этом способен находить вирусы, даже очень глубоко интегрированные в систему.
Svchost.exe (netsvcs) грузит память Windows 7. Решение - служба обновления системы
Еще одной распространенной проблемой многие эксперты называют проблемы с «Центром обновления». Бывает так, что Svchost.exe (netsvcs) грузит процессор (Windows 7) без видимых на то причин (как кажется). Но причина есть. Она состоит в том, что некоторые обновления могли быть недогружены, поэтому система и пытается скачать и установить их снова и снова.
Отключение поиска и инсталляции апдейтов через «Центр обновления», вызываемый из «Панели управления», может не сработать (даже при установке режима автоматического поиска и предложения установки на усмотрение пользователя). В данном случае лучше всего использовать командную строку, запущенную от имени администратора, в которой прописываются три команды с последующим нажатием клавиши ввода после каждой из них (для любой версии Windows):
- для остановки службы - net stop wuauserv;
- для отключения фоновой интеллектуальной передачи - net stop bits;
- для деактивации оптимизации доставки - net stop bits.
Завершение связанных процессов
Теперь посмотрим еще на один вариант деактивации процессов Svchost.exe (netsvcs). Как отключить связанные со службой компоненты? Сначала следует выяснить, какие именно процессы к ней «привязаны» и вызываются при старте системы, но отсутствуют в меню автоматической загрузки.
Для этого в «Диспетчере задач» нужно найти все искомые строки, содержащие Svchost.exe (netsvcs), отсортировав процессы в алфавитном порядке.
На выбранном процессе через меню правого клика нужно перейти к службам, используя для этого соответствующую строку.
Каждую службу можно остановить прямо здесь или открыть раздел управления сервисами (сделать это также можно и через меню запуска программ «Выполнить» (Win + R), где вводится команда services.msc. Но такой вариант несколько неудобен только потому, что придется запоминать название каждого сервиса, а потом искать его в дереве служб.
Далее, двойным кликом вызывается меню настроек, где служба либо останавливается соответствующей кнопкой, либо ей присваивается другой приоритет запуска или полного отключения. Но переусердствовать не стоит ведь так можно отключить важные системные процессы, что может негативно сказаться на работе всей ОС (вплоть до отказа, после которого придется производить восстановление или так называемый откат до предыдущего работоспособного состояния).
Удаление компьютерного мусора и оптимизация реестра
В некоторых случаях нагрузка на систему со стороны процессов Svchost.exe (netsvcs) может быть связана с банальным засорением компьютерным мусором.
Производить очистку собственными силами - занятие весьма хлопотное, поэтому для упрощения работы стоит использовать оптимизаторы вроде CCleaner, Glary Utilities, Advanced SystemCare, в которых для сканирования нужно отметить не только удаление временных файлов или очистку кеша, но и включить поиск проблем в системном реестре с последующим исправлением или удалением неверных ключей и даже дефрагментацией.
Устранение проблем с туннельным адаптером
Нечасто, но встречается проблема с туннельным адаптером Teredo. При этом даже некоторые элементы управления ним могут банально зависать. Выходом из такой ситуации станет отключение соответствующего протокола (особенно если он включен по умолчанию, но не используется).
Для его деактивации нужно запустить командную строку с правами админа и прописать две команды: netsh interface ipv6 set teredo disable и netsh interface teredo set state disable, а после их выполнения произвести перезагрузку компьютерного терминала.
Проверка состояния службы SuperFetch
Наконец, еще одной глобальной проблемой, правда, частично связанной с процессами Svchost, считается активированная служба запоминания часто используемых программ и приложений для оптимизации или ускорения их запуска, которая называется SuperFetch.
Отключить этот компонент можно через раздел управления службами (services.msc) с выбором нужного типа запуска или произвести аналогичные действия в системном реестре, что не очень удобно.
Но, как считается, самым простым методом снижения нагрузки на системные ресурсы применительно именно к этой службе является удаление папки Prefetch, которая располагается в корневой директории Windows в системном разделе. После этого можно будет произвести завершение всех процессов Svchost в стандартном «Диспетчере задач» и произвести полный рестарт Windows.
Итоги
Что же можно сказать о рассмотренных процессах, если подводить некоторые итоги и делать выводы? Среди основных причин, вызывающих повышенное использование системных ресурсов, и особенно в Windows 7, основными являются проблемы воздействия вирусов, сбои в работе службы апдейта и сервиса SuperFetch. Но такая ситуация в большинстве случаев проявляется на маломощных компьютерах, которые являются слишком слабыми для одновременной поддержки оптимизации запуска большого количества ресурсоемких программ. И, что самое интересное, чаще всего основной удар на себя принимает не процессор, а оперативная память, использование которой в некоторых случаях может достигать и ста процентов. Нехватка объема ОЗУ приводит к тому, что система начинает активно использовать виртуальную память (место на жестком диске), что приводит к сильному замедлению при обращении к винчестеру.
Что же касается решения данной проблемы, следует использовать каждый из вышеприведенных методов. Но придется быть крайне осторожным, чтобы не завершить какой-то системно важный процесс (хотя в этом случае может просто последовать самопроизвольная перезагрузка с восстановлением). А вот компонент SuperFetch на современных машинах с большими объемами RAM и мощными процессорами отключать не стоит. Такое решение применимо только в случае с устаревшим компьютерным оборудованием.
Проблема с «виснущим» компьютером наверняка знакома всем без исключения. Как правило, обвиняют в этом вирусы, некачественно написанные программы, а также банальный перегрев. Время от времени виновным является svchost.exe. Что это за процесс такой, и почему так происходит? Давайте попробуем разобраться!
Вирус или нет?
Во-первых, многие сразу поддаются панике. Увидев svchost в «Диспетчере задач», они сразу предполагают, что на компьютер пробрался коварный вирус. Сразу устанавливается новейший антивирус (а лучше два), после чего компьютер проверяется по несколько раз. Если пользователь был столь ретив, что установил сразу два-три защитных приложения, то система гарантированно падает.
Сразу предупреждаем: это не вирус, а потому не кидайтесь удалять svchost.exe! Что это за процесс тогда?
Общие сведения о приложении
Так называется очень важный компонент, ответственный за запуск динамических библиотек системы (DLL). Соответственно, от него зависит как Explorer (Проводник) самой Windows, так и не одна тысяча сторонних приложений. Особенно это относится к играм, которые активно используют эти библиотеки посредством DirectX.
Располагается он по такому адресу: %SystemRoot%\System32. Считывая записи реестра при каждой загрузке, приложение формирует список тех служб, которые должны быть запущены. Следует отметить, что единовременно может быть запущено несколько копий svchost.exe (что это за процесс, вы уже знаете). Важно то, что каждый процесса вполне может содержать свою группу служб. Сделано это для максимального комфорта контролирования работы системы, а также для упрощения отладки в случае наличия каких-то проблем.
Все группы, которые на данный момент входят в состав данного процесса, можно отыскать в следующих разделах реестра:
- HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost;
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Служба.
Все параметры, которые имеются в этих разделах, видны в качестве отдельных экземпляров svchost.exe (что это такое, мы уже рассказали).
В каждом разделе реестра, который к ним относится, есть параметр вида: REG_MULTI_SZ. В нем есть наименования всех служб, имеющихся в составе конкретной Svchost-группы. В каждой из них содержится по имени одной или более служб, в описании которых имеется ключ ServiceDLL.
Вот что за файл svchost.exe.
Как проверить процессы, связанные с Svchost?
Чтобы посмотреть все службы, которые в данный момент связаны с этим процессом, необходимо сделать несколько простых вещей.
- Нажмите на «Пуск», после чего найдите в этом меню команду «Выполнить».
- Введите туда после чего нажмите на ENTER.
- После этого копируйте и вставьте в открывшемся эмуляторе командной строки следующее выражение: Tasklist /SVC. Снова воспользуйтесь клавишей ENTER.
- В виде списка будет выведен перечень всех процессов. Внимание! Обязательно вводите ключевой параметр /SVC, так как он выводит именно активные службы. Чтобы получить расширенные сведения о конкретной службе, воспользуйтесь следующей командой: Tasklist /FI «PID eq идентификатор_процесса» (вместе с кавычками).
Если возникли проблемы
Очень часто случается так, что после введения команд компьютер выводит нечто невразумительное, вроде: «Команда не может быть распознана». Не торопитесь вводить ее заново.
Как правило, такое происходит по причине того, что вы работаете из-под учетной записи, права которой попросту недостаточны для выполнения такого рода действий. Не имеет значения, администраторский у вас аккаунт или нет. Чтобы исправить ситуацию, эмулятор режима командной строки следует запускать несколько другим способом.
Для этого нужно нажать на кнопку «Пуск», после чего в поле «Поиск» ввести CMD. В правой части меню откроется список с найденными файлами. Щелкаем на первом из них (с соответствующим именем) правой клавишей мыши, после чего выбираем пункт «Запуск от имени администратора» в появившемся контекстном меню.
Вот мы и дали вам основные сведения. Сейчас же давайте разберемся с теми вредоносными программами, которые могут маскироваться под безобидное системное приложение.
Как отделить зерна от плевел?
Внимательно посмотрите на имя процесса: оно должно писаться как sVChost! Очень распространены некоторые трояны, которые маскируются под sVHost. Если вы видите что-то подобное в своем «диспетчере задач», то в этом случае и в самом деле пора полностью сканировать систему на предмет наличия вредоносных приложений.
Особенно «продвинутые» вирусы и трояны все же могут мастерски маскироваться, имея точно такое же имя, какое есть у истинного процесса. Но даже их можно со 100% вероятностью отличить, обращая внимание на самые характерные признаки. Давайте их разберем.
Во-первых, настоящий системный процесс никогда (!) не запускается от имени обычного пользователя. Его старт может быть инициирован SYSTEM, LOCAL SERVICE, а также NETWORK SERVICE. Куда важнее то, то он не запускается (!) при старте системы средствами автозагрузки. Соответственно, в перечне программ, которые стартуют одновременно с системой, ни в коем случае не должно быть svchost.exe. Что это за процесс в этом случае?
Если вы увидите что-то подобное, то причина одна - вирус.
Проверяем автозагрузку
Не знаете, как это сделать? Все очень просто! Сначала нажимаете на кнопку «Пуск», щелкаете левой клавишей мыши на поле «Выполнить». Затем вписываете туда команду MSConfig. Откроется список всех запускаемых при старте приложений, который нужно внимательно просмотреть.
Если там имеется много процессов svchost.exe (или даже один), то вам однозначно придется думать, как вывести со своего компьютера.
Что делать при обнаружении «шпиона»?
Как мы уже и говорили, в этом случае разумнее всего просканировать ОС мощной антивирусной программой. Но перед этим не помешает выполнить ряд простых действий, при помощи которых можно окончательно заблокировать вирусу всякую возможность навредить вам. Вообще, svchost.exe-вирус в последние годы широко распространился по Рунету. Как правило, под личиной обычного системного процесса действуют вредоносные программы, специализирующиеся на краже личных данных пользователей.
Во-первых, в строке «Месторасположение файла» найдите, в какой конкретно папке расположен файл вируса. Выделив его в списке левой клавишей мыши, нажмите на кнопку «Отключить». Кликаете по «ОК», после чего переходите в каталог с искомым файлом и удаляете его. Все. Можно сканировать антивирусом.
Процесс сильно грузит процессор. Из-за чего так происходит и что делать?
Вот мы и вернулись к началу нашей статьи. Помните, что иногда из-за svchost.exe (что это за процесс такой, мы уже подробно объяснили) компьютер начинает сильно тормозить и «висеть»? Из-за чего это происходит? И как можно побороть это явление, не переустанавливая систему?
Простейший способ
Есть достаточно простая и действенная рекомендация, которая помогает во многих случаях. Открываете «Диспетчер задач», ищете там процесс svchost, после чего щелкаете по нему правой клавишей мыши и выбираете «Приоритет/низкий». Следует отметить, что так необходимо сделать с каждым одноименным процессом, которые есть в «Диспетчере задач».
Еще раз напоминаем: если вы видите файл svchost.exe (что это такое, вы уже знаете), ни в коем случае не торопитесь его удалять, подозревая в нем вирус!
Служба Windows Update
Нередко на Windows ХР проблема с почти 100%-й и svchost вызвана тем, что служба обновлений некорректно работает. На некоторых компьютерных ресурсах этому явлению нашли объяснение.
Дело в некорректном механизме проверки обновлений. Учитывая количество вышедших для этой системы исправлений, небольшая ошибка в распределении памяти превратилась в серьезную проблему: компьютер не только медленно работает, но и вполне можете искать «заплатки» сутками, попеременно зависая при этом.
Как отключить проблемную службу?
Чтобы временно отключить Windows Update, следует зайти в «Панель управления», отыскать там пункт «Система и безопасность». Именно там и находится искомый «Центр обновления Windows», в котором нас интересует пункт «Включение и отключение автоматического обновления». Ставим флажок напротив пункта «Не проверять наличие обновлений». Нажимаем на ОК и перезагружаем машину.
Если после этого все хорошо, и процессор не находится в «убитом» состоянии большую часть времени, то виновником всех проблем и впрямь была служба обновления. В том случае, когда проблема продолжает наблюдаться и после этого, возвращаем Windows Update в исходное состояние, после чего продолжаем искать виновника всех несчастий.
Обозреватель Интернета
Впрочем, не торопитесь. Во многих случаях виноват бывает Internet Explorer. Помните, как в самом начале статьи мы обсуждали важность svchost для «Проводника»? А ведь «Обозреватель Интернета» является важной составной частью файлового менеджера ОС семейства Windows.
Проблемы с ним очень часто начинаются в том случае, когда версия IE сильно устаревает. К примеру, в самой Microsoft уже очень давно не рекомендовали использовать Windows ХР с шестой версией Internet Explorer.
Соответственно, в этом случае достаточно просто. Воспользуйтесь упомянутой выше службой Windows Update. Скачайте и установите все последние обновления для вашей версии операционной системы, установите новую версию IE. Возможно, что эта мера вам поможет.
Игры
Пронаблюдайте, после попытки запуска каких приложений процессор перегружается. Кроме того, вас должны настораживать сообщения «svchost.exe ошибка приложения», которые являются практически 100% показателем того, что в неадекватном поведении системы виновато какое-то стороннее приложение.
Чаще всего этой программой бывает игра, скачанная ее счастливым владельцем с какого-то «левого» сайта. Те, кто вносил модификации в программный код, убирая из него защиту, редко тестируют свое творение на полную совместимость с некоторыми системами, их DLL-библиотеками и прочим. Так что удивляться в этом случае нечему.
«Летучая мышь»
В редких случаях с такой проблемой сталкиваются владельцы почтовой программы The Bat старых версий, которыми по тем или иным причинам продолжают пользоваться немало людей. Попробуйте удалить приложение. После этого поставьте самую новую версию утилиты, после чего снова посмотрите на поведение компьютера.
Драйверы
Очень часто при переносе системы на другой диск после каких-то серьезных ошибок в файловой системе, а также после вирусной атаки, пользователи сталкиваются с ОС, которая полностью зависла из-за svchost. exe. «Как удалить этот зловредный процесс?» - думают начинающие пользователи.
Еще раз предупредим: удаление данного файла приведет к тяжелейшим последствиям и полной неработоспособности системы, так что перед крайними мерами лучше прочтите наш очередной совет.
Имеются сведения, что процесс svchost.exe, ошибка которого портит столько нервов пользователям, может некорректно работать из-за неправильно установленных или «кривых» драйверов. Очень часто оказывается, что причиной являются программы для видеокарт и звуковых плат. Драйверы для них сложны и непредсказуемы, так что при возможности удалите их, а после этого установите самые свежие (или самые стабильные) версии.
Защитник Windows
Владельцам Windows Vista/7 следует обратить внимание на программу «Защитник Windows», входящую в стандартный комплект поставки данных операционных систем. Она служит для предотвращения попадания в систему вредоносных программ, но порой и сама ведет себя ничуть не лучше.
Проблемы возникают, если установленное стороннее противовирусное программное обеспечение из-за чего-то не деактивирует «Защитника». Особенно это справедливо для всех продуктов Eset Nod, которые в недавнем прошлом были чрезвычайно популярными у многих отечественных пользователей.
Чтобы исправить возникшую ситуацию, нажмите на кнопку «Пуск», перейдите в «Панель управления», после чего в ней отыщите «Защитника». В его главном окне есть пункт «Запускать проверку в состоянии простоя». Снимите флажок с него, нажмите ОК. В некоторых случаях эта мера оказывается полезной.
Надеемся, вы узнали, что за программа svchost.exe. Мы подробно рассказали о ее предназначении, а также о методах устранения проблем с ней. Как правило, приведенные нами способы устранения неполадок работают. От вас требуется только точное следование выложенным в статье инструкциям.
Кроме того, не помешает вовремя обновлять систему.
Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» - Win32.HLLP.Neshta (классификация Dr.Web).
Этот «самозванец» копирует себя в директорию Windows, заражает файлы с расширением «exe» и забирает системные ресурсы (оперативную память, интернет-трафик). Впрочем, он способен и на другие гадости. Известны случаи инфицирования, когда вирусный svchost загружает ОЗУ компьютера на 98-100% , отключает интернет-канал, нарушает функционирование локальной сети.
Файлы svсhost - добрые и злые, или кто есть кто
Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».
Истинный процесс
Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка - «ещё 29 вариантов»).
Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):
- SYSTEM;
- LOCAL SERVICE;
- NETWORK SERVICE.
Хакерская подделка
Может находиться в следующих директориях:
- C:\Windows
- C:\Мои документы
- C:\Program Files
- C:\Windows\System32\drivers
- C:\Program Files\Common Files
- C:\Program Files
- C:\Мои документы
Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.
Например:
- svch0st (цифра «ноль» вместо литеры «o»);
- svrhost (вместо «с» буква «r»);
- svhost (нет «с»).
Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.
Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).
Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.
Способ №1: очистка утилитой Comodo Cleaning Essentials
Cleaning Essentials - антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).
Где скачать и как установить?
1. Откройте в браузере comodo.com (официальный сайт производителя).
Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.
2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.
3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).
Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».
4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.
5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».
6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».
Как настроить и очистить ОС?
1. Выберите режим «Custom scan» (выборочное сканирование).
2. Подождите немного, пока утилита обновит свои сигнатурные базы.
3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).
4. Нажмите «Scan».
5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.
Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.
Вспомогательные утилиты
В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.
Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.
Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.
Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:
- На вкладке «Система» откройте раздел «Процессы».
- Проанализируйте все активированные процессы svchost:
- кликните правой кнопкой по файлу;
- выберите «Свойства»;
- посмотрите его текущую директорию. Если она отличная от С:\Windows\system32\, вероятней всего, что исследуемый объект является вирусом.
В случае обнаружения зловреда:
- Дополнительно просмотрите в его поле графу «Оценка» (safe - безопасный) и подпись.
- Если эти свойства также не соответствуют характеристикам доверенного системного файла, снова активируйте контекстное меню (клик правой кнопкой). А затем последовательно запустите функции «Приостановить» и «Удалить».
- Продолжайте проверку, возможно, вирус создал и запустил свои копии. От них тоже в обязательном порядке необходимо избавиться!
Способ №2: использование системных функций
Проверка автозагрузки
- Кликните «Пуск».
- Наберите в поисковой строке msconfig и нажмите «Enter».
- В окне «Конфигурация системы» перейдите на вкладку «Автозагрузка».
- Просмотрите команды (колонка «Команда»), запускающие элементы при запуске Windows, и их расположение (директории, ключи реестра в колонке «Расположение»):
- Все директивы, содержащие svchost, отключите (уберите кликом галочку возле записи). Это 100% вирус. Системный процесс с одноимённым названием никогда не прописывается в автозагрузке.
- Откройте директорию зловреда (указана в «Расположение») и удалите его. Для нейтрализации ключа в реестре используйте штатный редактор regedit: «Win + R» → regedit → Enter.
Анализ активных процессов
- Нажмите «Ctrl + Alt + Del».
- Кликните по вкладке «Процессы».
- Проверьте свойства всех активных svchost (имя, расширение, размер, местоположение). При анализе ориентируйтесь на данные сервиса filecheck.ru и характеристики, приведенные в этой статье.
Кликните правой кнопкой по имени образа. В меню выберите «Свойства».
В случае обнаружения вируса:
- в свойствах объекта узнайте его расположение (скопируйте или запомните);
- нажмите «Завершить процесс»;
- перейдите в директорию зловреда и удалите его при помощи штатной функции (клик правой кнопкой → Удалить).
Если сложно определить: доверенный или вирус?
Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.
- Откройте в браузере virustotal.com.
- Нажмите «Выберите файл».
- В проводнике Windows откройте директорию процесса, который необходимо проверить, выделите его кликом, а затем нажмите «Открыть».
- Для запуска сканирования кликните «Проверить!». Файл загрузится из ПК на сервис и автоматически начнётся сканирование.
- Ознакомьтесь с результатами проверки. Если большинство антивирусов детектируют объект как вирус, его необходимо удалить.
Ни для кого из пользователей Windows не секрет, что при зависании или торможении компьютера в первую очередь нужно заглянуть в «Диспетчер задач», дабы завершить в нем утяжеляющие систему процессы. Задачка, скажем так, для первоклассников: вроде бы плавали и знаем, что там и как. Однако заглянув в очередной раз в пресловутый диспетчер, многие пользователи, к своему удивлению, чуть ли не впервые замечают, что к перегрузке центрального процессора ведет такой себе процесс svchost.exe, который, внимание, отображается не в одной, а сразу в 4-х, а то и более строчках:
Ну вот сами подумайте, какая иная реакция в этот момент может быть, кроме паника от мысли, что на любимом ПК поселился вирус? На памяти ведь никогда не было, чтобы системные процессы дублировались в «Диспетчере задач»! Однако прежде чем в ужасе искать решение, как бы так побыстрее удалить svchost.exe с компьютера, нужно разобраться с тем, а вирус ли это на самом деле или нет.
Шаг № 1: Выявляем вирусы
Пожалуй, стоит сразу отметить, что процесс svchost.exe сам по себе никакой угрозы для Windows не несет, как бы это ни казалось странно. По факту предназначен он для запуска встроенных в систему служб, сервисов и разнообразных программ, которые используют в своей работе особые DLL-библиотеки. Однако исходя из того что таких системных служб на компьютере зачастую бывает достаточно много, выполнение их в одном процессе может быть весьма затруднительным. Именно поэтому svchost.exe зачастую и запускается несколько раз, обслуживая тем отдельные сервисы Windows.
Понятно, что удалять подобные процессы не имеет никакого смысла, так как для их отключения достаточно будет просто перезагрузить компьютер. В то же время полное удаление системного файла svchost.exe может привести к сбоям в работе Windows, появлению всяческих ошибок и прочих неполадок с виндой. Поэтому-то обнаружив целый веер svchost.exe в «Диспетчере задач», сразу спешить прощаться с ним не нужно: все может быть намного проще.
Однако расслабляться в этом случае тоже не стоит. Дело в том, что под svchost.exe действительно частенько маскируются вирусы, принося с собой весьма неприятные подарки в виде:
- произвольного выхода компьютера из спящего режима;
- появления системной ошибки при запуске приложений, открытии дисковода или чтении диска;
- автоматической перезагрузки Windows;
- беспричинного выключения компьютера;
- торможения ПК из-за загрузки ЦП более чем на 90%;
- спонтанного открытия приложений и пр.
Возникает вопрос, а как же в таком случае определить, где вирус, а где нормальный системный процесс svchost.exe? Ответ прост – внимательно к нему присмотреться.
Так, первым звоночком к тому, что svchost.exe является вирусом, будет выполнение этого процесса от имени пользователя (в норме он запускается от имени LOCAL SERVICE, SYSTEM (система) или NETWORK SERVICE). Дабы определить это, достаточно на клавиатуре одновременно нажать Ctrl+Shift+Esc, вызвав тем самым «Диспетчер задач», затем выбрать в открывшемся окошке вкладку «Процессы» и, в конце концов, посмотреть на данные, указанные в колонке «Пользователь» для процесса svchost.exe:
Отмечу, что для этой же цели при желании можно использовать и специальную программку Process Explorer , в которой отображается полная информация обо всех исполняемых на компьютере процессах, в том числе и о svchost.exe:
В то же время определить, есть ли угроза от svchost.exe, может помочь и месторасположение такого файла. Запомните: в норме он хранится только в одной из 4-х папок, расположенных на жестком диске, а именно в каталоге:
- WINDOWS\Prefetch
- WINDOWS\ServicePackFiles\i386
- WINDOWS\system32
- WINDOWS\winsxs
Соответственно, если svchost.exe находится в каком-то другом месте, например, отдельно в папке WINDOWS, будьте уверены: перед вами самый настоящий вирус. При этом проверить так ли это на самом деле, вновь может помочь «Диспетчер задач». В этом случае после его запуска потребуется кликнуть правой кнопкой по строчке с именем процесса svchost.exe, выбрать в открывшемся меню пункт «Свойства», а затем обратить внимание на поле «Расположение»:
Кроме того, подсказкой может стать и само название процесса. Так, любые отклонения от написания svchost.exe в имени образа можно смело расценивать как скрытую вирусную угрозу. Поэтому если видите в «Диспетчере задач» такие процессы, как svhost.exe, svehost.exe, svxhost.exe, svchos1.exe, svchest.exe, svch0st.exe и прочие значения с ошибочным написанием, можете смело их удалять: это вирусы.
Шаг № 2: Удаляем вирусы в svchost.exe
Нужно сказать, что из-за многочисленных разновидностей вирусов svchost.exe какого-то универсального способа их удаления с компьютера на сегодняшний момент просто не существует. В частности, в решении подобной проблемы может помочь полная проверка Windows установленной на ПК антивирусной программой. Главное в этом случае – перед ее началом не забыть:
- отключиться от локальной сети и интернета;
- завершить в «Диспетчере задач» подозрительные процессы svchost.exe;
- очистить автозагрузку от файлов svchost.exe. В этом случае от нас требуется вначале нажать ÿ+R на клавиатуре, далее вбить в появившуюся утилиту «Выполнить» задачку msconfig, щелкнуть OK, а затем после выбора вкладки «Автозагрузка» в открывшемся окошке проверить наличие в ней svchost.exe:
При этом дабы эффект от лечения компьютера не оказался временным, в обязательном порядке нужно позаботиться об установке и обновлении в Windows мощного антивируса и firewall. Только так можно быть уверенным, что проблема с вредоносным троянским файлом svchost.exe не вернется обратно в систему.