O arquivo de sistema svchost é frequentemente um alvo para ataques de hackers. Além disso, os criadores de vírus disfarçam seu malware como sua “aparência” de software. Win32.HLLP.Neshta (classificado por Dr.Web) é um dos representantes mais brilhantes da categoria de vírus "falso svchost".
Este "impostor" se copia para o diretório do Windows, infecta arquivos com a extensão "exe" e retira recursos do sistema (RAM, tráfego de Internet). No entanto, ele é capaz de outras coisas desagradáveis. Existem casos conhecidos de infecção quando o vírus svchost carrega a RAM do computador em 98-100%, desativa o canal da Internet, interrompe o funcionamento da rede local.
Toda a dificuldade de neutralizar vírus desse tipo reside no fato de que existe o risco de danificar / excluir um arquivo confiável do Windows com um nome idêntico. E sem ele o SO não funcionará, terá que ser reinstalado. Portanto, antes de prosseguir com o procedimento de limpeza, vamos nos familiarizar com os sinais especiais de um arquivo confiável e de um "estranho".
Gerencia as funções do sistema que são executadas a partir de bibliotecas dinâmicas (.DLL): verifica e carrega-as. Escuta portas de rede, transmite dados nelas. Na verdade, é um aplicativo de serviço do Windows. Ele está localizado no diretório C: → Windows → System 32. Nas versões do sistema operacional XP/ 7/ 8, em 76% dos casos, ele tem um tamanho de 20.992 bytes. Mas há outras opções também. Mais detalhes podem ser encontrados no recurso de reconhecimento filecheck.ru/process/svchost.exe.html (link - “29 mais opções”).
Possui as seguintes assinaturas digitais (no gerenciador de tarefas, na coluna "Usuários"):
Pode estar localizado nos seguintes diretórios:
Além de diretórios alternativos, os hackers usam nomes quase idênticos, semelhantes ao processo do sistema, como uma máscara para o vírus.
Por exemplo:
As versões da "livre interpretação" do nome são incontáveis. Portanto, é necessário dar atenção redobrada à análise dos processos existentes.
Atenção! O vírus pode ter uma extensão diferente (diferente de exe). Por exemplo, "com" (vírus Neshta).
Portanto, conhecendo o inimigo (vírus!) À vista, você pode prosseguir com segurança para destruí-lo.
Essenciais de limpeza - scanner antivírus. Usado como um software alternativo de limpeza do sistema. Ele vem com dois utilitários para detectar e monitorar objetos do Windows (arquivos e chaves de registro).
1. Abra comodo.com (site oficial do fabricante) em seu navegador.
Conselho!É melhor baixar o kit de distribuição de utilitários em um computador "íntegro" (se possível) e executá-lo a partir de uma unidade flash USB ou CD.
2. Na página principal, passe o mouse sobre a seção "Pequenas e médias empresas". No submenu que se abre, selecione o programa Comodo Cleaning Essentials.
3. No bloco de inicialização, no menu suspenso, selecione o número de bits do seu sistema operacional (32 ou 64 bits).
Conselho! A profundidade de bits pode ser encontrada no menu do sistema: abra "Iniciar" → entre na linha "Informações do sistema" → clique no utilitário com o mesmo nome na lista "Programas" → observe a linha "Tipo".
4. Clique no botão "Download grátis". Aguarde a conclusão do download.
5. Descompacte o arquivo baixado: clique com o botão direito do mouse no arquivo → "Extrair tudo ...".
6. Abra a pasta descompactada e clique duas vezes no arquivo "CCE" com o botão esquerdo.
1. Selecione o modo "Verificação personalizada" (varredura personalizada).
2. Aguarde um pouco enquanto o utilitário atualiza seus bancos de dados de assinatura.
3. Na janela de configurações de verificação, marque a caixa ao lado da unidade C. E também ative a verificação de todos os elementos adicionais (“Memória”, “Áreas críticas ..”, etc.).
4. Clique em Digitalizar.
5. Após a conclusão da verificação, permita que o antivírus remova o vírus invasor encontrado e outros objetos perigosos.
Observação. Além do Comodo Cleaning Essentials, você pode usar outros utilitários antivírus semelhantes para limpar seu PC. Por exemplo, dr. Web CureIt!.
O pacote Cleaning Essentials inclui duas ferramentas auxiliares para monitoramento do sistema em tempo real e detecção manual de malware. Eles podem ser usados se o vírus não puder ser neutralizado durante a verificação automática.
Aplicativo para trabalho rápido e fácil com chaves de registro, arquivos, serviços e serviços. Autorun Analyzer determina a localização do objeto selecionado, se necessário, pode excluí-lo ou copiá-lo.
Para procurar automaticamente arquivos svchost.exe, na seção "Arquivo", selecione "Localizar" e especifique um nome de arquivo. Analise os processos encontrados, guiados pelas propriedades descritas acima (consulte "Falsificação de hackers"). Se necessário, exclua objetos suspeitos por meio do menu de contexto do utilitário.
Monitora processos em execução, conexões de rede, memória física e uso da CPU. Para "pegar" um svchost falso usando KillSwitch, faça o seguinte:
Se for detectado malware:
Clique com o botão direito no nome da imagem. Selecione "Propriedades" no menu.
Se um vírus for encontrado:
Às vezes é difícil dizer com certeza se um svchost é real ou falso. Em tal situação, é recomendável realizar detecção adicional no scanner online gratuito "Virustotal". Este serviço usa 50-55 antivírus para verificar se há vírus em um objeto.
Como remover o vírus svchost.exe? A infecção por vírus do processo SVCHOST.EXE é muito comum. Isso se deve ao fato de o Windows usar os processos svchost.exe simultaneamente para diferentes fins. Portanto, é benéfico que o vírus se perca entre eles e aja como residente. Os sintomas geralmente aparecem como inicialização pesada ou completa do computador. A rede e a Internet param de funcionar. Se houver muitos processos svchost.exe suspeitos no gerenciador de tarefas, isso não significa que você tenha um vírus.
O Windows usa esse processo para muitas coisas, como atualizar o sistema operacional. Um sintoma que levanta a suspeita de um vírus é um processo svchost.exe ativo sendo executado como um usuário. Se você vir esse processo em execução não no SERVIÇO DE REDE, SERVIÇO LOCAL ou SISTEMA, mas na sua conta, provavelmente há um trojan no computador.
Infelizmente, as ações desses vírus às vezes levam a danos graves ao sistema. Este problema é resolvido de duas maneiras. Conclua ou restaure o registro. Descreveremos recomendações simples que responderão à pergunta “Como remover um vírus Trojan em svchost.exe?”. Observe que antes de verificar com um antivírus, você deve se desconectar da Internet e da rede local, ou seja, desconectar o cabo da placa de rede. Conecte as unidades USB que você está usando.
Em princípio, você não pode baixar o CureIT, mas usar um antivírus de alta qualidade com assinaturas atualizadas, mas é melhor jogar pelo seguro e verificar tudo de duas maneiras diferentes. Talvez após a verificação, você precise restaurar as chaves de registro do Windows. Se algo não funcionar, você sempre pode ligar e solicitar um serviço de remoção de vírus. E para aqueles a quem estas recomendações pareceram insuficientes, aconselhamos a leitura do artigo sobre o assunto - mostra uma forma detalhada de remover vírus manualmente.
Svchost é um módulo do sistema Windows usado para iniciar vários serviços. No Gerenciador de tarefas, qualquer um dos serviços iniciados usando este módulo é identificado como "svchost".
Mas existem muitos vírus disfarçados de svchost, o mais comum deles chamado RAT. Será muito difícil para um usuário inexperiente de um computador pessoal reconhecer tal vírus no Gerenciador, bem como detectá-lo em todo o sistema como um todo. Portanto, vale ressaltar que um sinal importante da presença desse vírus no sistema pode ser uma mensagem informando sobre um erro relacionado ao svchost.exe e notificando o usuário de que “a memória não pode ser lida”. Nesse caso, você precisa seguir as etapas que lhe dirão como remover o svchost. Caso contrário, seu computador estará sujeito a uma falha grave. Então, vamos dar uma olhada passo a passo em como podemos nos livrar desse vírus.
Primeiro, você precisa proteger seu computador contra uma nova infecção por vírus, instalando um programa antivírus nele.
Não tenha medo disso, pois esse método é muito simples. Primeiro, vá para o editor de registro e encontre a chave HKEY_Software_Microsoft\Windows\CurrentVersion\RunServices "PowerManager"="%WinDir%svchost.exe" e exclua-a.
Svchost exe, como remover, informará a próxima etapa. Para fazer isso, abra o módulo projetado para gerenciar os serviços do Windows, encontre o PowerManager na lista e, chamando o menu de contexto desse serviço, pare-o.
A terceira etapa é encerrar o processo do programa de vírus.
Ao excluir arquivos de vírus, tenha muito cuidado para não excluir por engano o svchost "real", localizado na pasta %WINDIR%system32. Sob nenhuma circunstância deve ser removido. Portanto, antes de prosseguir com a remoção, verifique novamente se há algum erro.
O vírus Svchost, como removê-lo permanentemente, contará a próxima etapa. Agora você precisa remover o lançamento automático deste programa do registro. Para fazer isso, execute o editor de registro, localize e exclua "svchost" = "%WinDir%svchost.exe" nele. Em seguida, encontre a chave e altere-a de %WINDIR%svchost.com "%1" %* para "%1" %*.
A chave também precisa ser substituída. Seu valor deve se tornar "Userinit"="%System%userinit.exe".
Bem, a última chave que precisa ser alterada é :)