Le fichier système svchost devient assez souvent la cible d'attaques de pirates. De plus, les auteurs de virus dissimulent leurs logiciels malveillants sous leur « apparence » logicielle. L'un des représentants les plus marquants des virus « faux svchost » est Win32.HLLP.Neshta (classification Dr.Web).

Cet « imposteur » se copie dans un répertoire Windows, infecte les fichiers avec l'extension « exe » et enlève des ressources système (RAM, trafic Internet). Cependant, il est capable d’autres choses désagréables. Il existe des cas d'infection connus lorsque le virus svchost charge la RAM de l'ordinateur de 98 à 100 %, déconnecte le canal Internet et perturbe le fonctionnement du réseau local.

fichiers svсhost - le bien et le mal, ou qui est qui

Toute la difficulté de neutraliser les virus de ce type réside dans le risque d’endommager/supprimer un fichier Windows fiable portant le même nom. Et sans cela, le système d'exploitation ne fonctionnera pas, vous devrez le réinstaller. Par conséquent, avant de commencer la procédure de nettoyage, familiarisons-nous avec les signes particuliers d'un fichier fiable et d'un « étranger ».

Véritable processus

Gère les fonctions système lancées à partir de bibliothèques dynamiques (.DLL) : les vérifie et les charge. Écoute les ports réseau et transmet des données via eux. En fait, il s'agit d'un utilitaire Windows. Situé dans le répertoire C : → Windows → Système 32. Dans les versions OS XP/7/8, dans 76 % des cas, il a une taille de 20 992 octets. Mais il existe d'autres options. Vous pouvez en savoir plus à leur sujet sur la ressource de reconnaissance filecheck.ru/process/svchost.exe.html (lien - « 29 options supplémentaires »).

Possède les signatures numériques suivantes (dans le gestionnaire de tâches, colonne « Utilisateurs ») :

• SYSTÈME;
• SERVICE LOCAL;
• SERVICE RÉSEAU.

faux pirate informatique

Peut se trouver dans les répertoires suivants :

• C:\Windows
• C:\Mes documents
• C:\Programmes
• C:\Windows\System32\drivers
• C:\Program Files\Fichiers communs
• C:\Programmes
• C:\Mes documents

En plus des répertoires alternatifs, les pirates utilisent des noms presque identiques, similaires au processus système, pour dissimuler le virus.

Par exemple:

• svch0st (chiffre « zéro » au lieu de la lettre « o ») ;
• svrhost (au lieu de « c » la lettre « r ») ;
• svhost (pas de "s").

Il existe d’innombrables versions de la « libre interprétation » du nom. Il est donc nécessaire d’accorder une attention particulière à l’analyse des processus existants.

Attention! Le virus peut avoir une extension différente (autre que exe). Par exemple, « com » (virus Neshta).

Ainsi, connaissant de vue l’ennemi (le virus !), vous pouvez commencer à le détruire en toute sécurité.

Méthode numéro 1 : nettoyage avec l'utilitaire Comodo Cleaning Essentials

Cleaning Essentials est un scanner antivirus. Utilisé comme logiciel alternatif de nettoyage du système. Il est livré avec deux utilitaires permettant de détecter et de surveiller les objets Windows (fichiers et clés de registre).

Où télécharger et comment installer ?

1. Ouvrez comodo.com (le site officiel du fabricant) dans votre navigateur.

Conseil! Il est préférable de télécharger le kit de distribution de l'utilitaire sur un ordinateur « sain » (si possible), puis de l'exécuter à partir d'une clé USB ou d'un CD.

2. Sur la page principale, passez la souris sur la section « Petites et moyennes entreprises ». Dans le sous-menu qui s'ouvre, sélectionnez le programme Comodo Cleaning Essentials.

3. Dans le bloc de téléchargement, dans le menu déroulant, sélectionnez le nombre de bits de votre OS (32 ou 64 bits).

Conseil! La profondeur de bits peut être trouvée via le menu système : ouvrez « Démarrer » → entrez « Informations système » dans la ligne → cliquez sur l'utilitaire du même nom dans la liste « Programmes » → regardez la ligne « Type ».

4. Cliquez sur le bouton « Téléchargement gratuit ». Attendez la fin du téléchargement.

5. Décompressez l'archive téléchargée : faites un clic droit sur le fichier → « Extraire tout... ».

6. Ouvrez le dossier décompressé et double-cliquez sur le fichier « CCE » avec le bouton gauche.

Comment configurer et nettoyer le système d'exploitation ?

1. Sélectionnez le mode « Numérisation personnalisée ».

2. Attendez un peu pendant que l'utilitaire met à jour ses bases de données de signatures.

3. Dans la fenêtre des paramètres d'analyse, cochez la case à côté du lecteur C. Et activez également la vérification de tous les éléments supplémentaires (« Mémoire », « Zones critiques… », etc.).

4. Cliquez sur « Scanner ».

5. Une fois l'analyse terminée, laissez l'antivirus supprimer le virus imposteur détecté et les autres objets dangereux.

Note. En plus de Comodo Cleaning Essentials, vous pouvez utiliser d'autres utilitaires antivirus similaires pour nettoyer votre PC. Par exemple, le Dr. Web CureIt !.

Utilitaires d'assistance

Le package de traitement Cleaning Essentials comprend deux outils auxiliaires conçus pour la surveillance du système en temps réel et la détection manuelle des logiciels malveillants. Ils peuvent être utilisés si le virus ne peut pas être neutralisé pendant le processus d'analyse automatique.

Une application pour un travail rapide et pratique avec les clés de registre, les fichiers et les services. Autorun Analyzer détermine l'emplacement de l'objet sélectionné et, si nécessaire, peut le supprimer ou le copier.

Pour rechercher automatiquement les fichiers svchost.exe, dans la section « Fichier », sélectionnez « Rechercher » et spécifiez le nom du fichier. Analysez les processus trouvés, guidés par les propriétés décrites ci-dessus (voir « Hacker fake »). Si nécessaire, supprimez les objets suspects via le menu contextuel de l'utilitaire.

Surveille les processus en cours, les connexions réseau, la mémoire physique et la charge du processeur. Pour attraper un faux svchost à l'aide de KillSwitch, procédez comme suit :

1. Dans l'onglet Système, ouvrez la section Processus.
2. Analysez tous les processus svchost activés :
   • faites un clic droit sur le fichier ;
   • sélectionnez « Propriétés » ;
   • regardez son répertoire actuel. S'il est différent de C:\Windows\system32\, il est fort probable que l'objet examiné soit un virus.

Si un malware est détecté :

1. De plus, regardez la colonne « Note » (coffre-fort) et la signature dans son champ.
2. Si ces propriétés ne correspondent pas non plus aux caractéristiques du fichier système de confiance, activez à nouveau le menu contextuel (clic droit). Et puis exécutez les fonctions « Suspendre » et « Supprimer » dans l’ordre.
3. Continuez à vérifier, le virus a peut-être créé et lancé des copies de lui-même. Il est également impératif de s’en débarrasser !

Méthode n°2 : utiliser les fonctions système

Vérification du démarrage

1. Cliquez sur "Démarrer".
2. Tapez msconfig dans la barre de recherche et appuyez sur Entrée.
3. Dans la fenêtre Configuration du système, accédez à l'onglet Démarrage.
4. Visualisez les commandes (la colonne « Commande ») qui lancent les éléments au démarrage de Windows, ainsi que leur emplacement (répertoires, clés de registre dans la colonne « Emplacement ») :
   • Désactivez toutes les directives contenant svchost (cochez la case à côté de l'entrée). C'est à 100% un virus. Le processus système du même nom n'est jamais enregistré au démarrage.
   • Ouvrez le répertoire des logiciels malveillants (répertorié dans « Emplacement ») et supprimez-le. Pour neutraliser une clé dans le registre, utilisez l'éditeur regedit standard : « Win ​​+ R » → regedit → Entrée.

Analyse des processus actifs

1. Appuyez sur "Ctrl + Alt + Suppr".
2. Cliquez sur l'onglet « Processus ».
3. Vérifiez les propriétés de tous les svchosts actifs (nom, extension, taille, emplacement). Lors de l'analyse, fiez-vous aux données du service filecheck.ru et aux caractéristiques données dans cet article.

Faites un clic droit sur le nom de l'image. Dans le menu, sélectionnez Propriétés.

Si un virus est détecté :

• dans les propriétés de l'objet, connaître son emplacement (copier ou mémoriser) ;
• cliquez sur « Terminer le processus » ;
• accédez au répertoire des logiciels malveillants et supprimez-le à l'aide de la fonction standard (clic droit → Supprimer).

S'il est difficile de déterminer : fiable ou virus ?

Parfois, il est difficile de dire avec certitude si svchost est réel ou faux. Dans une telle situation, il est recommandé d'effectuer une détection supplémentaire à l'aide du scanner en ligne gratuit Virustotal. Ce service utilise 50 à 55 antivirus pour analyser un objet à la recherche de virus.

1. Ouvrez virustotal.com dans votre navigateur.
2. Cliquez sur Sélectionner un fichier.
3. Dans l'Explorateur Windows, ouvrez le répertoire du processus que vous souhaitez vérifier, sélectionnez-le en cliquant, puis cliquez sur « Ouvrir ».
4. Pour lancer la numérisation, cliquez sur « Vérifier ! » Le fichier sera téléchargé du PC vers le service et la numérisation commencera automatiquement.
5. Passez en revue les résultats du test. Si la plupart des programmes antivirus détectent un objet comme étant un virus, celui-ci doit être supprimé.

Comment supprimer le virus svchost.exe ? L'infection virale du processus SVCHOST.EXE est un phénomène très courant. Cela est dû au fait que Windows utilise simultanément les processus svchost.exe à des fins différentes. Il est donc bénéfique que le virus se perde parmi eux et agisse comme un résident. Les symptômes incluent généralement un chargement lourd ou complet de l’ordinateur. Le réseau et Internet ne fonctionnent plus. S'il existe de nombreux processus svchost.exe suspects dans le gestionnaire de tâches, cela ne signifie pas que vous avez un virus.

Windows utilise ce processus pour de nombreuses choses, comme la mise à jour du système d'exploitation. Un signe qui fait soupçonner la présence d'un virus est un processus svchost.exe actif lancé par l'utilisateur. Si vous voyez ce processus s'exécuter non pas à partir du SERVICE RÉSEAU, DU SERVICE LOCAL ou du SYSTÈME, mais à partir de votre compte, alors il y a probablement un cheval de Troie sur l'ordinateur.

Malheureusement, les actions de ces virus entraînent parfois de graves dommages au système. Ce problème peut être résolu de deux manières. Soit complet, soit en restaurant le registre. Nous décrirons des recommandations simples qui répondront à la question « Comment supprimer un virus cheval de Troie de svchost.exe ? Notez qu'avant de scanner avec un antivirus, vous devez vous déconnecter d'Internet et du réseau local, c'est-à-dire débrancher le câble de la carte réseau. Connectez les clés USB que vous utilisez.

1. Ainsi, la première chose que nous pouvons recommander est d’installer un bon antivirus. Tous les programmes de suppression de virus ne sont pas adaptés à l'analyse. Mais il existe plusieurs solutions logicielles qui devraient aider à lutter contre le virus intégré dans SVCHOST.EXE.
2. Désactivez le service de restauration du système (pertinent pour Windows XP). C'est fait comme ça. Faites un clic droit sur Poste de travail -> Propriétés -> onglet Restauration du système -> cochez la case Désactiver la restauration du système sur tous les lecteurs. Ceci est fait pour que le virus svchost.exe ne revienne pas après le traitement.
3. Vérifiez le démarrage. Cliquez sur Démarrer -> Exécuter (pour Win 7, la ligne de commande est immédiatement disponible) -> entrez « msconfig ». Il ne doit pas contenir de fichiers svchost.exe.

1. Téléchargez CureIT – http://www.freedrweb.com/cureit et vérifiez tous les lecteurs logiques et lecteurs flash en mode sans échec Windows.

En principe, vous n'êtes pas obligé de télécharger CureIT et d'utiliser un antivirus de haute qualité avec des signatures mises à jour, mais il est préférable de jouer la sécurité et de tout vérifier de deux manières différentes. Après vérification, vous devrez peut-être restaurer les clés de registre Windows. Si quelque chose ne fonctionne pas, vous pouvez toujours appeler et commander un service de suppression de virus. Et pour ceux qui trouvent ces recommandations insuffisantes, nous vous conseillons de lire l'article à ce sujet - il présente une méthode détaillée pour supprimer manuellement les virus.

Svchost est un module système Windows utilisé pour exécuter divers services. Dans le Gestionnaire des tâches, tout service lancé à l'aide de ce module est identifié comme « svchost ».

Mais il existe de nombreux virus se faisant passer pour svchost, le plus courant étant appelé RAT. Il sera assez difficile pour un utilisateur inexpérimenté d'un ordinateur personnel de reconnaître un tel virus dans le Gestionnaire, ainsi que de le détecter dans l'ensemble du système. Par conséquent, il convient de noter qu'un signe important de la présence de ce virus dans le système peut être un message vous informant d'une erreur associée à svchost.exe et informant l'utilisateur que « la mémoire ne peut pas être lue ». Dans ce cas, vous devez prendre des mesures qui vous indiqueront comment supprimer svchost. Sinon, votre ordinateur sera sujet à de graves pannes. Voyons donc étape par étape comment nous pouvons nous débarrasser de ce virus.

Comment se protéger d'une réinfection

Tout d'abord, vous devez protéger votre ordinateur contre une réinfection par un virus en y installant un programme antivirus.

N'ayez pas peur, car cette méthode est très simple. Pour commencer, accédez à l'éditeur de registre et recherchez la clé HKEY_Software_Microsoft\Windows\CurrentVersion\RunServices "PowerManager"="%WinDir%svchost.exe", puis supprimez-la.

Svchost exe, comment le supprimer, vous indiquera la prochaine étape. Pour cela, ouvrez le module destiné à gérer les services Windows, recherchez PowerManager dans la liste et, en appelant le menu contextuel de ce service, arrêtez-le.

Terminer le processus du programme antivirus

La troisième étape consiste à mettre fin au processus du programme antivirus.

Lors de la suppression de fichiers de virus, faites extrêmement attention à ne pas supprimer par erreur le « vrai » svchost, qui se trouve dans le dossier %WINDIR%system32. Il ne doit en aucun cas être supprimé. Par conséquent, avant de commencer la suppression, vérifiez à nouveau les erreurs.

L'étape suivante vous expliquera comment supprimer complètement le virus Svchost. Vous devez maintenant supprimer le lancement automatique de ce programme du registre. Pour ce faire, lancez l'éditeur de registre, recherchez et supprimez « svchost » = « %WinDir%svchost.exe ». Recherchez ensuite la clé et remplacez-la %WINDIR%svchost.com "%1" %* par "%1" %*.

La clé doit également être remplacée. Sa valeur doit devenir "Userinit"="%Sustem%userinit.exe".

Eh bien, la dernière clé qui nécessite des modifications est la suivante :)