Системний файл svchost досить часто стає мішенню для атак хакерів. Більше того, вірусописувачі маскують своїх шкідників під його програмну «зовнішність». Один із найяскравіших представників вірусів категорії «лже-svchost» – Win32.HLLP.Neshta (класифікація Dr.Web).

Цей "самозванець" копіює себе в директорію Windows, заражає файли з розширенням "exe" та забирає системні ресурси (оперативну пам'ять, інтернет-трафік). Втім, він здатний і на інші гидоти. Відомі випадки інфікування, коли вірусний svchost завантажує ОЗУ комп'ютера на 98-100%, відключає інтернет-канал, порушує функціонування локальної мережі.

Файли svсhost - добрі та злі, або хто є хто

Вся складність нейтралізації вірусів цього типу полягає в тому, що є ризик пошкодити/видалити довірений файл Windows з ідентичною назвою. А без нього ОС працювати не буде, її доведеться встановлювати заново. Тому, перш ніж приступити до процедури очищення, ознайомимося з особливими прикметами довіреного файлу та «чужинця».

Справжній процес

Керує системними функціями, які запускаються з динамічних бібліотек (.DLL): перевіряє та завантажує їх. Слухає мережні порти, передає дані. Фактично є службовою програмою Windows. Знаходиться в директорії С: → Windows → System 32. У версіях ОС XP/7/8 у 76% випадків має розмір 20,992 байти. Але й інші варіанти. Докладніше з ними можна ознайомитися на розпізнавальному ресурсі filecheck.ru/process/svchost.exe.html (посилання – «ще 29 варіантів»).

Має наступні цифрові підписи (у диспетчері завдань стовпчик «Користувачі»):

• SYSTEM;
• LOCAL SERVICE;
• NETWORK SERVICE.

Хакерська підробка

Може перебувати в наступних директоріях:

• C:\Windows
• C:\Мої документи
• C:\Program Files
• C:\Windows\System32\drivers
• C:\Program Files\Common Files
• C:\Program Files
• C:\Мої документи

Крім альтернативних директорій, хакери як маскування вірусу використовують практично ідентичні, схожі на системний процес, назви.

Наприклад:

• svch0st (цифра "нуль" замість літери "o");
• svrhost (замість «с» літера «r»);
• svhost (ні «с»).

Версій «вільного трактування» назви безліч. Тому необхідно виявляти підвищену увагу під час аналізу діючих процесів.

Увага!Вірус може мати інше розширення (на відміну від exe). Наприклад, "com" (вірус Neshta).

Отже, знаючи ворога (вірус!) в обличчя, можна сміливо братися до його знищення.

Спосіб №1: очищення утилітою Comodo Cleaning Essentials

Cleaning Essentials – антивірусний сканер. Використовується як альтернативний програмний засіб для очищення системи. До нього додаються дві утиліти для детектування та моніторингу об'єктів Windows (файлів та ключів реєстру).

Де скачати та як встановити?

1. Відкрийте у браузері comodo.com (офіційний сайт виробника).

Порада!Дистрибутив утиліти краще завантажувати на здоровому комп'ютері (якщо є така можливість), а потім запускати з USB-флешки або CD-диска.

2. На головній сторінці наведіть курсор на розділ "Small & Medium Business". У підменю, що відкрилося, виберіть програму Comodo Cleaning Essentials.

3. У блоці завантаження у спадному меню виберіть розрядність вашої ОС (32 або 64 bit).

Порада!Розрядність можна дізнатися через системне меню: відкрийте «Пуск» → введіть у рядок «Відомості про систему» ​​→ натисніть на утиліту з такою самою назвою у списку «Програми» → перегляньте рядок «Тип».

4. Натисніть кнопку «Free Download». Дочекайтеся завершення завантаження.

5. Розпакуйте завантажений архів: клік правою кнопкою по файлу → «Витягнути все…».

6. Відкрийте розпаковану папку і клацніть двічі лівою кнопкою по файлу «CCE».

Як налаштувати та очистити ОС?

1. Виберіть Custom scan (вибіркове сканування).

2. Зачекайте, поки утиліта оновить свої сигнатурні бази.

3. У вікні параметрів сканування встановіть галочку навпроти диска С. А також увімкніть перевірку всіх додаткових елементів («Memory», «Critical Areas..» та ін.).

4. Натисніть кнопку Scan.

5. Після завершення перевірки дозвольте антивірусу видалити знайдений вірус-самозванець та інші небезпечні об'єкти.

Примітка.Крім Comodo Cleaning Essentials, для лікування ПК можна використовувати інші аналогічні антивірусні утиліти. Наприклад, Dr. Web CureIt!

Допоміжні утиліти

У пакет лікуючої програми Cleaning Essentials входять два допоміжні інструменти, призначені для моніторингу системи в реальному часі та детектування зловредів вручну. Їх можна використовувати в тому випадку, якщо вірус не вдасться знешкодити в процесі автоматичної перевірки.

Додаток для швидкої та зручної роботи з ключами реєстру, файлами, службами та сервісами. Autorun Analyzer визначає розташування вибраного об'єкта, при необхідності може видалити або скопіювати його.

Для автоматичного пошуку файлів svchost.exe у розділі "File" виберіть "Find" і введіть ім'я файлу. Проаналізуйте знайдені процеси, керуючись властивостями, наведеними вище (див. «Хакерська підробка»). У разі потреби видаліть підозрілі об'єкти через контекстне меню утиліти.

Моніторить запущені процеси, мережеві з'єднання, фізичну пам'ять та навантаження на ЦП. Щоб «відловити» підроблений svchost за допомогою KillSwitch, виконайте такі дії:

1. На вкладці «Система» відкрийте розділ «Процеси».
2. Проаналізуйте всі активовані процеси svchost:
   • клацніть правою кнопкою по файлу;
   • виберіть "Властивості";
   • перегляньте його поточну директорію. Якщо вона відмінна від С: Windows system32, найімовірніше, що досліджуваний об'єкт є вірусом.

У разі виявлення зловреда:

1. Додатково перегляньте у його полі графу «Оцінка» (safe – безпечний) та підпис.
2. Якщо ці властивості також не відповідають параметрам довіреного системного файлу, знову активуйте контекстне меню (клік правою кнопкою). Потім послідовно запустіть функції «Зупинити» та «Видалити».
3. Продовжуйте перевірку, можливо вірус створив і запустив свої копії. Їх теж в обов'язковому порядку необхідно позбутися!

Спосіб №2: використання системних функцій

Перевірка автозавантаження

1. Клацніть "Пуск".
2. Наберіть у пошуковому рядку msconfig та натисніть «Enter».
3. У вікні «Конфігурація системи» перейдіть на вкладку «Автозавантаження».
4. Перегляньте команди (колонка «Команда»), які запускають елементи при запуску Windows, та їх розташування (директорії, ключі реєстру в колонці «Розташування»):
   • Усі директиви, що містять svchost, відключіть (приберіть кліком галочку біля запису). Це 100% вірус. Системний процес з однойменною назвою ніколи не прописується в автозавантаженні.
   • Відкрийте директорію зловреда (вказана в «Розташуванні») та видаліть його. Для нейтралізації ключа в реєстрі використовуйте штатний редактор regedit: Win + R → regedit → Enter.

Аналіз активних процесів

1. Натисніть "Ctrl + Alt + Del".
2. Клацніть на вкладці «Процеси».
3. Перевірте властивості всіх активних svchost (ім'я, розширення, розмір, розташування). При аналізі орієнтуйтесь на дані сервісу filecheck.ru та характеристики, наведені у цій статті.

Клацніть правою кнопкою на ім'я образу. У меню виберіть "Властивості".

У разі виявлення вірусу:

• у властивостях об'єкта дізнайтеся про його розташування (скопіюйте або запам'ятайте);
• натисніть "Завершити процес";
• перейдіть до директорії зловреда та видаліть його за допомогою штатної функції (клік правою кнопкою → Видалити).

Якщо важко визначити: довірений чи вірус?

Іноді однозначно складно сказати, чи є svchost справжнім чи підробкою. У такій ситуації рекомендується провести додаткове детектування на безкоштовному онлайн-сканері Virustotal. Цей сервіс для перевірки об'єкта наявність вірусів використовує 50-55 антивірусів.

1. Відкрийте у браузері virustotal.com.
2. Натисніть "Виберіть файл".
3. У провіднику Windows відкрийте директорію процесу, який потрібно перевірити, виділіть його кліком, а потім натисніть «Відкрити».
4. Для запуску сканування натисніть «Перевірити!». Файл завантажиться з ПК на сервіс і автоматично розпочнеться сканування.
5. Ознайомтеся із результатами перевірки. Якщо більшість антивірусів детектують об'єкт як вірус, його потрібно видалити.

Як видалити вірус svchost.exe? Поразка вірусами процесу SVCHOST.EXE дуже поширене явище. Це пов'язано з тим, що Windows використовує процеси svchost.exe одночасно з різною метою. Тому вірусу вигідно загубитися серед них і діяти як резиденту. Симптоми зазвичай виявляються в сильному або повному завантаженні комп'ютера. Перестає працювати мережа та інтернет. Якщо диспетчер завдань містить багато підозрілих процесів svchost.exe, це ще не означає, що у вас вірус.

Windows використовує цей процес для багатьох речей, наприклад, оновлення ОС. Ознакою, що викликає підозру наявність вірусу, є активний процес svchost.exe, запущений від користувача. Якщо ви бачите цей процес запущений не від NETWORK SERVICE, LOCAL SERVICE або SYSTEM, а від вашого облікового запису, то можливо на комп'ютері троян.

На жаль, дії таких вірусів іноді призводять до сильного пошкодження системи. Ця проблема вирішується двома способами. Або повною або відновленням реєстру. Опишемо прості рекомендації, які дадуть відповідь на питання “Як видалити троянський вірус у svchost.exe?”. Зауважимо, що перед перевіркою антивірусом, необхідно відключитися від інтернету та локальної мережі, тобто висмикнути кабель з мережевої карти. Підключити USB-накопичувачі, якими користуєтеся.

1. Отже, перше, що ми можемо порадити, - це поставити хороший антивірус. Не всі програми для видалення вірусів підходять для перевірки. Але є кілька програмних рішень, які мають допомогти у боротьбі з вірусом, що засів у SVCHOST.EXE.
2. Вимкніть службу відновлення системи (актуально для Windows XP). Робиться це так. Правою кнопкою по Мій Комп'ютер -> Властивості -> закладка Відновлення системи -> поставити галочку Вимкнути відновлення системи на всіх дисках. Робиться це для того, щоб вірус svchost.exe не повернувся після лікування.
3. Перевірте автозавантаження. Натисніть Пуск -> Виконати (для Win 7 командний рядок доступний відразу) -> введіть “msconfig”. Вона не повинна мати файли svchost.exe.

1. Завантажте CureIT – http://www.freedrweb.com/cureit та перевірте всі логічні диски та флешки у безпечному режимі Windows.

У принципі, CureIT можна і не качати, а скористатися якісним антивірусом з оновленими сигнатурами, але краще перестрахуватися та перевірити усі двома різними способами. Можливо, після перевірки потрібно буде відновити ключі реєстру Windows. Якщо щось не виходить, то завжди можна зателефонувати і замовити послугу видалення вірусів. А тим, кому ці рекомендації видалися недостатніми, рекомендуємо ознайомитися зі статтею про те, - там показаний докладний метод видалення вірусів вручну.

Svchost – системний модуль Windows, який служить для запуску різних служб. У Диспетчері завдань будь-яке із запущених за допомогою цього модуля служб визначається як «svchost».

Але існує безліч вірусів, що маскуються під svchost, найпоширеніший з яких називається RAT. Недосвідченому користувачеві персонального комп'ютера буде досить складно розпізнати такий вірус у Диспетчері, як і виявити його у всій системі в цілому. Тому, варто зазначити, що важливою ознакою наявності даного вірусу в системі може стати повідомлення, що інформує вас про помилку, яка пов'язана з svchost.exe і сповіщає користувача про те, що пам'ять не може бути read. У цьому випадку необхідно вжити дій, які розкажуть, як видалити svchost. Інакше ваш комп'ютер буде підданий серйозному збою. Отже, давайте розглянемо поетапно, як нам позбавитися цього вірусу.

Як уберегтися від повторного зараження

Спочатку необхідно убезпечити свій комп'ютер від повторного зараження вірусом, встановивши на нього антивірусну програму.

Не варто цього лякатися, тому що цей спосіб дуже простий. Для початку, зайдіть в редактор реєстру і знайдіть там ключ HKEY_Sоftwаre_Micrоsоft\Windоws\CurrеntVеrsion\RunServicеs "PowerManager"="%WinDir%svchost.exe", після чого видаліть його.

Svchost exe, як видалити, підкаже наступний крок. Для цього відкрийте модуль, призначений для керування службами Windows, знайдіть у списку PowerManager і, викликавши контекстне меню на цій службі, зупиніть її.

Завершуємо процес вірусної програми

Третім кроком буде завершення процесу вірусної програми.

Видаляючи файли вірусу, будьте обережні, щоб не видалити помилково «справжній» svchost, який знаходиться в папці %WINDIR%systеm32. Видаляти його не можна в жодному разі. Тому перед тим як розпочати видалення, перевірте зайвий раз себе на помилку.

Svchost вірус, як видалити його остаточно, розповість наступний крок. Тепер потрібно з реєстру усунути автоматичний запуск цієї програми. Для цього запустіть редактор реєстру, знайдіть і видаліть у ньому "svchоst" = "%WinDir%svchost.exe". Потім знайдіть ключ і поміняйте його з %WINDIR%svchоst.cоm %1 %* на %1 %*.

Також заміни потребує ключ . Його значення має стати "Userinit"="%Sustеm%usеrinit.еxe".

Ну і останній ключ, що потребує змін, це:)