Системний файл svchost досить часто стає мішенню для атак хакерів. Більше того, вірусописувачі маскують своїх шкідників під його програмну «зовнішність». Один із найяскравіших представників вірусів категорії «лже-svchost» – Win32.HLLP.Neshta (класифікація Dr.Web).
Цей "самозванець" копіює себе в директорію Windows, заражає файли з розширенням "exe" та забирає системні ресурси (оперативну пам'ять, інтернет-трафік). Втім, він здатний і на інші гидоти. Відомі випадки інфікування, коли вірусний svchost завантажує ОЗУ комп'ютера на 98-100%, відключає інтернет-канал, порушує функціонування локальної мережі.
Вся складність нейтралізації вірусів цього типу полягає в тому, що є ризик пошкодити/видалити довірений файл Windows з ідентичною назвою. А без нього ОС працювати не буде, її доведеться встановлювати заново. Тому, перш ніж приступити до процедури очищення, ознайомимося з особливими прикметами довіреного файлу та «чужинця».
Керує системними функціями, які запускаються з динамічних бібліотек (.DLL): перевіряє та завантажує їх. Слухає мережні порти, передає дані. Фактично є службовою програмою Windows. Знаходиться в директорії С: → Windows → System 32. У версіях ОС XP/7/8 у 76% випадків має розмір 20,992 байти. Але й інші варіанти. Докладніше з ними можна ознайомитися на розпізнавальному ресурсі filecheck.ru/process/svchost.exe.html (посилання – «ще 29 варіантів»).
Має наступні цифрові підписи (у диспетчері завдань стовпчик «Користувачі»):
Може перебувати в наступних директоріях:
Крім альтернативних директорій, хакери як маскування вірусу використовують практично ідентичні, схожі на системний процес, назви.
Наприклад:
Версій «вільного трактування» назви безліч. Тому необхідно виявляти підвищену увагу під час аналізу діючих процесів.
Увага!Вірус може мати інше розширення (на відміну від exe). Наприклад, "com" (вірус Neshta).
Отже, знаючи ворога (вірус!) в обличчя, можна сміливо братися до його знищення.
Cleaning Essentials – антивірусний сканер. Використовується як альтернативний програмний засіб для очищення системи. До нього додаються дві утиліти для детектування та моніторингу об'єктів Windows (файлів та ключів реєстру).
1. Відкрийте у браузері comodo.com (офіційний сайт виробника).
Порада!Дистрибутив утиліти краще завантажувати на здоровому комп'ютері (якщо є така можливість), а потім запускати з USB-флешки або CD-диска.
2. На головній сторінці наведіть курсор на розділ "Small & Medium Business". У підменю, що відкрилося, виберіть програму Comodo Cleaning Essentials.
3. У блоці завантаження у спадному меню виберіть розрядність вашої ОС (32 або 64 bit).
Порада!Розрядність можна дізнатися через системне меню: відкрийте «Пуск» → введіть у рядок «Відомості про систему» → натисніть на утиліту з такою самою назвою у списку «Програми» → перегляньте рядок «Тип».
4. Натисніть кнопку «Free Download». Дочекайтеся завершення завантаження.
5. Розпакуйте завантажений архів: клік правою кнопкою по файлу → «Витягнути все…».
6. Відкрийте розпаковану папку і клацніть двічі лівою кнопкою по файлу «CCE».
1. Виберіть Custom scan (вибіркове сканування).
2. Зачекайте, поки утиліта оновить свої сигнатурні бази.
3. У вікні параметрів сканування встановіть галочку навпроти диска С. А також увімкніть перевірку всіх додаткових елементів («Memory», «Critical Areas..» та ін.).
4. Натисніть кнопку Scan.
5. Після завершення перевірки дозвольте антивірусу видалити знайдений вірус-самозванець та інші небезпечні об'єкти.
Примітка.Крім Comodo Cleaning Essentials, для лікування ПК можна використовувати інші аналогічні антивірусні утиліти. Наприклад, Dr. Web CureIt!
У пакет лікуючої програми Cleaning Essentials входять два допоміжні інструменти, призначені для моніторингу системи в реальному часі та детектування зловредів вручну. Їх можна використовувати в тому випадку, якщо вірус не вдасться знешкодити в процесі автоматичної перевірки.
Додаток для швидкої та зручної роботи з ключами реєстру, файлами, службами та сервісами. Autorun Analyzer визначає розташування вибраного об'єкта, при необхідності може видалити або скопіювати його.
Для автоматичного пошуку файлів svchost.exe у розділі "File" виберіть "Find" і введіть ім'я файлу. Проаналізуйте знайдені процеси, керуючись властивостями, наведеними вище (див. «Хакерська підробка»). У разі потреби видаліть підозрілі об'єкти через контекстне меню утиліти.
Моніторить запущені процеси, мережеві з'єднання, фізичну пам'ять та навантаження на ЦП. Щоб «відловити» підроблений svchost за допомогою KillSwitch, виконайте такі дії:
У разі виявлення зловреда:
Клацніть правою кнопкою на ім'я образу. У меню виберіть "Властивості".
У разі виявлення вірусу:
Іноді однозначно складно сказати, чи є svchost справжнім чи підробкою. У такій ситуації рекомендується провести додаткове детектування на безкоштовному онлайн-сканері Virustotal. Цей сервіс для перевірки об'єкта наявність вірусів використовує 50-55 антивірусів.
Як видалити вірус svchost.exe? Поразка вірусами процесу SVCHOST.EXE дуже поширене явище. Це пов'язано з тим, що Windows використовує процеси svchost.exe одночасно з різною метою. Тому вірусу вигідно загубитися серед них і діяти як резиденту. Симптоми зазвичай виявляються в сильному або повному завантаженні комп'ютера. Перестає працювати мережа та інтернет. Якщо диспетчер завдань містить багато підозрілих процесів svchost.exe, це ще не означає, що у вас вірус.
Windows використовує цей процес для багатьох речей, наприклад, оновлення ОС. Ознакою, що викликає підозру наявність вірусу, є активний процес svchost.exe, запущений від користувача. Якщо ви бачите цей процес запущений не від NETWORK SERVICE, LOCAL SERVICE або SYSTEM, а від вашого облікового запису, то можливо на комп'ютері троян.
На жаль, дії таких вірусів іноді призводять до сильного пошкодження системи. Ця проблема вирішується двома способами. Або повною або відновленням реєстру. Опишемо прості рекомендації, які дадуть відповідь на питання “Як видалити троянський вірус у svchost.exe?”. Зауважимо, що перед перевіркою антивірусом, необхідно відключитися від інтернету та локальної мережі, тобто висмикнути кабель з мережевої карти. Підключити USB-накопичувачі, якими користуєтеся.
У принципі, CureIT можна і не качати, а скористатися якісним антивірусом з оновленими сигнатурами, але краще перестрахуватися та перевірити усі двома різними способами. Можливо, після перевірки потрібно буде відновити ключі реєстру Windows. Якщо щось не виходить, то завжди можна зателефонувати і замовити послугу видалення вірусів. А тим, кому ці рекомендації видалися недостатніми, рекомендуємо ознайомитися зі статтею про те, - там показаний докладний метод видалення вірусів вручну.
Svchost – системний модуль Windows, який служить для запуску різних служб. У Диспетчері завдань будь-яке із запущених за допомогою цього модуля служб визначається як «svchost».
Але існує безліч вірусів, що маскуються під svchost, найпоширеніший з яких називається RAT. Недосвідченому користувачеві персонального комп'ютера буде досить складно розпізнати такий вірус у Диспетчері, як і виявити його у всій системі в цілому. Тому, варто зазначити, що важливою ознакою наявності даного вірусу в системі може стати повідомлення, що інформує вас про помилку, яка пов'язана з svchost.exe і сповіщає користувача про те, що пам'ять не може бути read. У цьому випадку необхідно вжити дій, які розкажуть, як видалити svchost. Інакше ваш комп'ютер буде підданий серйозному збою. Отже, давайте розглянемо поетапно, як нам позбавитися цього вірусу.
Спочатку необхідно убезпечити свій комп'ютер від повторного зараження вірусом, встановивши на нього антивірусну програму.
Не варто цього лякатися, тому що цей спосіб дуже простий. Для початку, зайдіть в редактор реєстру і знайдіть там ключ HKEY_Sоftwаre_Micrоsоft\Windоws\CurrеntVеrsion\RunServicеs "PowerManager"="%WinDir%svchost.exe", після чого видаліть його.
Svchost exe, як видалити, підкаже наступний крок. Для цього відкрийте модуль, призначений для керування службами Windows, знайдіть у списку PowerManager і, викликавши контекстне меню на цій службі, зупиніть її.
Третім кроком буде завершення процесу вірусної програми.
Видаляючи файли вірусу, будьте обережні, щоб не видалити помилково «справжній» svchost, який знаходиться в папці %WINDIR%systеm32. Видаляти його не можна в жодному разі. Тому перед тим як розпочати видалення, перевірте зайвий раз себе на помилку.
Svchost вірус, як видалити його остаточно, розповість наступний крок. Тепер потрібно з реєстру усунути автоматичний запуск цієї програми. Для цього запустіть редактор реєстру, знайдіть і видаліть у ньому "svchоst" = "%WinDir%svchost.exe". Потім знайдіть ключ і поміняйте його з %WINDIR%svchоst.cоm %1 %* на %1 %*.
Також заміни потребує ключ . Його значення має стати "Userinit"="%Sustеm%usеrinit.еxe".
Ну і останній ключ, що потребує змін, це:)