Le fichier système svchost devient assez souvent la cible d'attaques de pirates. De plus, les auteurs de virus dissimulent leurs logiciels malveillants sous leur « apparence » logicielle. L'un des représentants les plus marquants des virus « faux svchost » est Win32.HLLP.Neshta (classification Dr.Web).
Cet « imposteur » se copie dans un répertoire Windows, infecte les fichiers avec l'extension « exe » et enlève des ressources système (RAM, trafic Internet). Cependant, il est capable d’autres choses désagréables. Il existe des cas d'infection connus lorsque le virus svchost charge la RAM de l'ordinateur de 98 à 100 %, déconnecte le canal Internet et perturbe le fonctionnement du réseau local.
Toute la difficulté de neutraliser les virus de ce type réside dans le risque d’endommager/supprimer un fichier Windows fiable portant le même nom. Et sans cela, le système d'exploitation ne fonctionnera pas, vous devrez le réinstaller. Par conséquent, avant de commencer la procédure de nettoyage, familiarisons-nous avec les signes particuliers d'un fichier fiable et d'un « étranger ».
Gère les fonctions système lancées à partir de bibliothèques dynamiques (.DLL) : les vérifie et les charge. Écoute les ports réseau et transmet des données via eux. En fait, il s'agit d'un utilitaire Windows. Situé dans le répertoire C : → Windows → Système 32. Dans les versions OS XP/7/8, dans 76 % des cas, il a une taille de 20 992 octets. Mais il existe d'autres options. Vous pouvez en savoir plus à leur sujet sur la ressource de reconnaissance filecheck.ru/process/svchost.exe.html (lien - « 29 options supplémentaires »).
Possède les signatures numériques suivantes (dans le gestionnaire de tâches, colonne « Utilisateurs ») :
Peut se trouver dans les répertoires suivants :
En plus des répertoires alternatifs, les pirates utilisent des noms presque identiques, similaires au processus système, pour dissimuler le virus.
Par exemple:
Il existe d’innombrables versions de la « libre interprétation » du nom. Il est donc nécessaire d’accorder une attention particulière à l’analyse des processus existants.
Attention! Le virus peut avoir une extension différente (autre que exe). Par exemple, « com » (virus Neshta).
Ainsi, connaissant de vue l’ennemi (le virus !), vous pouvez commencer à le détruire en toute sécurité.
Cleaning Essentials est un scanner antivirus. Utilisé comme logiciel alternatif de nettoyage du système. Il est livré avec deux utilitaires permettant de détecter et de surveiller les objets Windows (fichiers et clés de registre).
1. Ouvrez comodo.com (le site officiel du fabricant) dans votre navigateur.
Conseil! Il est préférable de télécharger le kit de distribution de l'utilitaire sur un ordinateur « sain » (si possible), puis de l'exécuter à partir d'une clé USB ou d'un CD.
2. Sur la page principale, passez la souris sur la section « Petites et moyennes entreprises ». Dans le sous-menu qui s'ouvre, sélectionnez le programme Comodo Cleaning Essentials.
3. Dans le bloc de téléchargement, dans le menu déroulant, sélectionnez le nombre de bits de votre OS (32 ou 64 bits).
Conseil! La profondeur de bits peut être trouvée via le menu système : ouvrez « Démarrer » → entrez « Informations système » dans la ligne → cliquez sur l'utilitaire du même nom dans la liste « Programmes » → regardez la ligne « Type ».
4. Cliquez sur le bouton « Téléchargement gratuit ». Attendez la fin du téléchargement.
5. Décompressez l'archive téléchargée : faites un clic droit sur le fichier → « Extraire tout... ».
6. Ouvrez le dossier décompressé et double-cliquez sur le fichier « CCE » avec le bouton gauche.
1. Sélectionnez le mode « Numérisation personnalisée ».
2. Attendez un peu pendant que l'utilitaire met à jour ses bases de données de signatures.
3. Dans la fenêtre des paramètres d'analyse, cochez la case à côté du lecteur C. Et activez également la vérification de tous les éléments supplémentaires (« Mémoire », « Zones critiques… », etc.).
4. Cliquez sur « Scanner ».
5. Une fois l'analyse terminée, laissez l'antivirus supprimer le virus imposteur détecté et les autres objets dangereux.
Note. En plus de Comodo Cleaning Essentials, vous pouvez utiliser d'autres utilitaires antivirus similaires pour nettoyer votre PC. Par exemple, le Dr. Web CureIt !.
Le package de traitement Cleaning Essentials comprend deux outils auxiliaires conçus pour la surveillance du système en temps réel et la détection manuelle des logiciels malveillants. Ils peuvent être utilisés si le virus ne peut pas être neutralisé pendant le processus d'analyse automatique.
Une application pour un travail rapide et pratique avec les clés de registre, les fichiers et les services. Autorun Analyzer détermine l'emplacement de l'objet sélectionné et, si nécessaire, peut le supprimer ou le copier.
Pour rechercher automatiquement les fichiers svchost.exe, dans la section « Fichier », sélectionnez « Rechercher » et spécifiez le nom du fichier. Analysez les processus trouvés, guidés par les propriétés décrites ci-dessus (voir « Hacker fake »). Si nécessaire, supprimez les objets suspects via le menu contextuel de l'utilitaire.
Surveille les processus en cours, les connexions réseau, la mémoire physique et la charge du processeur. Pour attraper un faux svchost à l'aide de KillSwitch, procédez comme suit :
Si un malware est détecté :
Faites un clic droit sur le nom de l'image. Dans le menu, sélectionnez Propriétés.
Si un virus est détecté :
Parfois, il est difficile de dire avec certitude si svchost est réel ou faux. Dans une telle situation, il est recommandé d'effectuer une détection supplémentaire à l'aide du scanner en ligne gratuit Virustotal. Ce service utilise 50 à 55 antivirus pour analyser un objet à la recherche de virus.
Comment supprimer le virus svchost.exe ? L'infection virale du processus SVCHOST.EXE est un phénomène très courant. Cela est dû au fait que Windows utilise simultanément les processus svchost.exe à des fins différentes. Il est donc bénéfique que le virus se perde parmi eux et agisse comme un résident. Les symptômes incluent généralement un chargement lourd ou complet de l’ordinateur. Le réseau et Internet ne fonctionnent plus. S'il existe de nombreux processus svchost.exe suspects dans le gestionnaire de tâches, cela ne signifie pas que vous avez un virus.
Windows utilise ce processus pour de nombreuses choses, comme la mise à jour du système d'exploitation. Un signe qui fait soupçonner la présence d'un virus est un processus svchost.exe actif lancé par l'utilisateur. Si vous voyez ce processus s'exécuter non pas à partir du SERVICE RÉSEAU, DU SERVICE LOCAL ou du SYSTÈME, mais à partir de votre compte, alors il y a probablement un cheval de Troie sur l'ordinateur.
Malheureusement, les actions de ces virus entraînent parfois de graves dommages au système. Ce problème peut être résolu de deux manières. Soit complet, soit en restaurant le registre. Nous décrirons des recommandations simples qui répondront à la question « Comment supprimer un virus cheval de Troie de svchost.exe ? Notez qu'avant de scanner avec un antivirus, vous devez vous déconnecter d'Internet et du réseau local, c'est-à-dire débrancher le câble de la carte réseau. Connectez les clés USB que vous utilisez.
En principe, vous n'êtes pas obligé de télécharger CureIT et d'utiliser un antivirus de haute qualité avec des signatures mises à jour, mais il est préférable de jouer la sécurité et de tout vérifier de deux manières différentes. Après vérification, vous devrez peut-être restaurer les clés de registre Windows. Si quelque chose ne fonctionne pas, vous pouvez toujours appeler et commander un service de suppression de virus. Et pour ceux qui trouvent ces recommandations insuffisantes, nous vous conseillons de lire l'article à ce sujet - il présente une méthode détaillée pour supprimer manuellement les virus.
Svchost est un module système Windows utilisé pour exécuter divers services. Dans le Gestionnaire des tâches, tout service lancé à l'aide de ce module est identifié comme « svchost ».
Mais il existe de nombreux virus se faisant passer pour svchost, le plus courant étant appelé RAT. Il sera assez difficile pour un utilisateur inexpérimenté d'un ordinateur personnel de reconnaître un tel virus dans le Gestionnaire, ainsi que de le détecter dans l'ensemble du système. Par conséquent, il convient de noter qu'un signe important de la présence de ce virus dans le système peut être un message vous informant d'une erreur associée à svchost.exe et informant l'utilisateur que « la mémoire ne peut pas être lue ». Dans ce cas, vous devez prendre des mesures qui vous indiqueront comment supprimer svchost. Sinon, votre ordinateur sera sujet à de graves pannes. Voyons donc étape par étape comment nous pouvons nous débarrasser de ce virus.
Tout d'abord, vous devez protéger votre ordinateur contre une réinfection par un virus en y installant un programme antivirus.
N'ayez pas peur, car cette méthode est très simple. Pour commencer, accédez à l'éditeur de registre et recherchez la clé HKEY_Software_Microsoft\Windows\CurrentVersion\RunServices "PowerManager"="%WinDir%svchost.exe", puis supprimez-la.
Svchost exe, comment le supprimer, vous indiquera la prochaine étape. Pour cela, ouvrez le module destiné à gérer les services Windows, recherchez PowerManager dans la liste et, en appelant le menu contextuel de ce service, arrêtez-le.
La troisième étape consiste à mettre fin au processus du programme antivirus.
Lors de la suppression de fichiers de virus, faites extrêmement attention à ne pas supprimer par erreur le « vrai » svchost, qui se trouve dans le dossier %WINDIR%system32. Il ne doit en aucun cas être supprimé. Par conséquent, avant de commencer la suppression, vérifiez à nouveau les erreurs.
L'étape suivante vous expliquera comment supprimer complètement le virus Svchost. Vous devez maintenant supprimer le lancement automatique de ce programme du registre. Pour ce faire, lancez l'éditeur de registre, recherchez et supprimez « svchost » = « %WinDir%svchost.exe ». Recherchez ensuite la clé et remplacez-la %WINDIR%svchost.com "%1" %* par "%1" %*.
La clé doit également être remplacée. Sa valeur doit devenir "Userinit"="%Sustem%userinit.exe".
Eh bien, la dernière clé qui nécessite des modifications est la suivante :)