Как избавиться от вируса svchost exe. Удаление вируса svchost exe из системы Windows

Как удалить вирус svchost.exe? Поражение вирусами процесса SVCHOST.EXE весьма распространенное явление. Связано это с тем, что Windows использует процессы svchost.exe одновременно в разных целях. Поэтому, вирусу выгодно затеряться среди них и действовать, как резиденту. Симптомы обычно проявляются в сильной или полной загрузке компьютера. Перестает работать сеть и интернет. Если в диспетчере задач находится много подозрительных процессов svchost.exe, это еще не значит, что у вас вирус.

Windows использует этот процесс для многих вещей, например, для обновления ОС. Признаком, вызывающим подозрение на наличие вируса, является активный процесс svchost.exe, запущенный от пользователя. Если вы видите данный процесс запущенный не от NETWORK SERVICE, LOCAL SERVICE или SYSTEM, а от вашей учетной записи, то вероятно на компьютере троян.

К сожалению, действия подобных вирусов иногда приводят к сильному повреждению системы. Эта проблема решается двумя способами. Либо полной , либо восстановлением реестра. Опишем простые рекомендации, которые ответят на вопрос “Как удалить троянский вирус в svchost.exe?”. Заметим, что перед проверкой антивирусом, необходимо отключиться от интернет и локальной сети, то есть выдернуть кабель из сетевой карты. Подключить USB накопители, которыми пользуетесь.

1. Итак, первое, что мы можем посоветовать, это поставить хороший антивирус. Далеко не все программы для удаления вирусов подходят для проверки. Но есть несколько программных решений, которые должны помочь в борьбе с вирусом, засевшим в SVCHOST.EXE.
2. Отключите службу восстановления системы (актуально для Windows XP). Делается это так. Правой кнопкой по Мой Компьютер -> Свойства -> закладка Восстановление системы -> поставить галочку Отключить восстановление системы на всех дисках. Делается это для того, чтобы вирус svchost.exe не вернулся после лечения.
3. Проверьте автозагрузку. Нажмите Пуск -> Выполнить (для Win 7 командная строка доступна сразу) -> введите “msconfig”. В ней не должно быть файлов svchost.exe.

1. Скачайте CureIT — http://www.freedrweb.com/cureit и проверьте все логические диски и флешки в безопасном режиме Windows.

В принципе, CureIT можно и не качать, а воспользоваться качественным антивирусом с обновленными сигнатурами, но лучше перестраховаться и проверить все двумя разными способами. Возможно после проверки, потребуется восстановить ключи реестра Windows. Если что-то не получается, то всегда можно позвонить по и заказать услугу удаления вирусов. А тем, кому данные рекомендации показались недостаточными, советуем ознакомиться с статьей про то, — там показан подробный способ удаления вирусов вручную.

Пользователи компьютеров хотят чтобы их машины работали максимально оперативно и не «тормозили». В поисках «тормозов» обращаются к диспетчеру задач, чтобы засечь ресурсоёмкие процессы и выгрузить их из памяти. Часто в списке процессов виден svchost.exe. Эта программа запускается во множестве копий, а оперативной памяти потребляет очень много.

Закономерен вопрос: не вирус ли это или иная вредоносная софтина, если так перегружает компьютер. И другой вопрос: нельзя ли удалить svchost.exe и обходиться без него. Обычно ответ отрицательный на оба вопроса: это не вирус и обойтись без него почти невозможно. Но обо всём по порядку…

svchost.exe – это системный процесс в Виндовс, начиная с версии «2000». Это главный процесс, помогающий работать службам динамических библиотек. Если вы удалите файл svchost.exe, компьютер работать будет… вот только в несколько раз медленнее обычного. Ситуация не так уж парадоксальна: хотя системная служба занимает много оперативной памяти, без неё загруженность ПЗУ оказалась бы только выше. Нагрузка на процессор также окажется высокой.

Вирус svchost.exe

Но всё-таки, иногда удалять svchost.exe необходимо. Точнее, не его самого, а маскирующиеся под это приложение вирусы и троянские кони. Отличить их просто: хотя оригинальный системный процесс также создаёт множество копий, вредоносное ПО размещается в любом каталоге, кроме системного.

Также полезно знать, что увидеть такую программу в диспетчере задач можно, если обратить внимание на запуск её от имени пользователя. В некоторых случаях вирусы используют подлинный системный сервис для нанесения ущерба.

Не надо поднимать тревогу и беспокоиться из-за того, что svchost.exe запускается в десяти экземплярах. Динамических служб в системе много, одного процесса на всех может не хватать. Тогда и включаются сразу несколько копий, каждый со своим идентификатором. Но и смотреть на его происхождение надо внимательно.

Подлинный процесс запускается из папок: ServicePackFiles\i386, system32, Prefetch, winsxs\ (все внутри C:\WINDOWS). Если замечаете, что svchost.exe запустился откуда-то ещё, то это плохой звоночек (как и ситуация с отличающимся «совсем чуть-чуть» от оригинального именем).

В таких случаях запустите полное антивирусное сканирование, пока не избавитесь от зловреда.

Ни для кого из пользователей Windows не секрет, что при зависании или торможении компьютера в первую очередь нужно заглянуть в «Диспетчер задач», дабы завершить в нем утяжеляющие систему процессы. Задачка, скажем так, для первоклассников: вроде бы плавали и знаем, что там и как. Однако заглянув в очередной раз в пресловутый диспетчер, многие пользователи, к своему удивлению, чуть ли не впервые замечают, что к перегрузке центрального процессора ведет такой себе процесс svchost.exe, который, внимание, отображается не в одной, а сразу в 4-х, а то и более строчках:

Ну вот сами подумайте, какая иная реакция в этот момент может быть, кроме паника от мысли, что на любимом ПК поселился вирус? На памяти ведь никогда не было, чтобы системные процессы дублировались в «Диспетчере задач»! Однако прежде чем в ужасе искать решение, как бы так побыстрее удалить svchost.exe с компьютера, нужно разобраться с тем, а вирус ли это на самом деле или нет.

Шаг № 1: Выявляем вирусы

Пожалуй, стоит сразу отметить, что процесс svchost.exe сам по себе никакой угрозы для Windows не несет, как бы это ни казалось странно. По факту предназначен он для запуска встроенных в систему служб, сервисов и разнообразных программ, которые используют в своей работе особые DLL-библиотеки. Однако исходя из того что таких системных служб на компьютере зачастую бывает достаточно много, выполнение их в одном процессе может быть весьма затруднительным. Именно поэтому svchost.exe зачастую и запускается несколько раз, обслуживая тем отдельные сервисы Windows.

Понятно, что удалять подобные процессы не имеет никакого смысла, так как для их отключения достаточно будет просто перезагрузить компьютер. В то же время полное удаление системного файла svchost.exe может привести к сбоям в работе Windows, появлению всяческих ошибок и прочих неполадок с виндой. Поэтому-то обнаружив целый веер svchost.exe в «Диспетчере задач», сразу спешить прощаться с ним не нужно: все может быть намного проще.

Однако расслабляться в этом случае тоже не стоит. Дело в том, что под svchost.exe действительно частенько маскируются вирусы, принося с собой весьма неприятные подарки в виде:

• произвольного выхода компьютера из спящего режима;
• появления системной ошибки при запуске приложений, открытии дисковода или чтении диска;
• автоматической перезагрузки Windows;
• беспричинного выключения компьютера;
• торможения ПК из-за загрузки ЦП более чем на 90%;
• спонтанного открытия приложений и пр.

Возникает вопрос, а как же в таком случае определить, где вирус, а где нормальный системный процесс svchost.exe? Ответ прост – внимательно к нему присмотреться.

Так, первым звоночком к тому, что svchost.exe является вирусом, будет выполнение этого процесса от имени пользователя (в норме он запускается от имени LOCAL SERVICE, SYSTEM (система) или NETWORK SERVICE). Дабы определить это, достаточно на клавиатуре одновременно нажать Ctrl+Shift+Esc, вызвав тем самым «Диспетчер задач», затем выбрать в открывшемся окошке вкладку «Процессы» и, в конце концов, посмотреть на данные, указанные в колонке «Пользователь» для процесса svchost.exe:

Отмечу, что для этой же цели при желании можно использовать и специальную программку Process Explorer , в которой отображается полная информация обо всех исполняемых на компьютере процессах, в том числе и о svchost.exe:

В то же время определить, есть ли угроза от svchost.exe, может помочь и месторасположение такого файла. Запомните: в норме он хранится только в одной из 4-х папок, расположенных на жестком диске, а именно в каталоге:

• WINDOWS\Prefetch
• WINDOWS\ServicePackFiles\i386
• WINDOWS\system32
• WINDOWS\winsxs

Соответственно, если svchost.exe находится в каком-то другом месте, например, отдельно в папке WINDOWS, будьте уверены: перед вами самый настоящий вирус. При этом проверить так ли это на самом деле, вновь может помочь «Диспетчер задач». В этом случае после его запуска потребуется кликнуть правой кнопкой по строчке с именем процесса svchost.exe, выбрать в открывшемся меню пункт «Свойства», а затем обратить внимание на поле «Расположение»:

Кроме того, подсказкой может стать и само название процесса. Так, любые отклонения от написания svchost.exe в имени образа можно смело расценивать как скрытую вирусную угрозу. Поэтому если видите в «Диспетчере задач» такие процессы, как svhost.exe, svehost.exe, svxhost.exe, svchos1.exe, svchest.exe, svch0st.exe и прочие значения с ошибочным написанием, можете смело их удалять: это вирусы.

Шаг № 2: Удаляем вирусы в svchost.exe

Нужно сказать, что из-за многочисленных разновидностей вирусов svchost.exe какого-то универсального способа их удаления с компьютера на сегодняшний момент просто не существует. В частности, в решении подобной проблемы может помочь полная проверка Windows установленной на ПК антивирусной программой. Главное в этом случае – перед ее началом не забыть:

• отключиться от локальной сети и интернета;
• завершить в «Диспетчере задач» подозрительные процессы svchost.exe;
• очистить автозагрузку от файлов svchost.exe. В этом случае от нас требуется вначале нажать ÿ+R на клавиатуре, далее вбить в появившуюся утилиту «Выполнить» задачку msconfig, щелкнуть OK, а затем после выбора вкладки «Автозагрузка» в открывшемся окошке проверить наличие в ней svchost.exe:

При этом дабы эффект от лечения компьютера не оказался временным, в обязательном порядке нужно позаботиться об установке и обновлении в Windows мощного антивируса и firewall. Только так можно быть уверенным, что проблема с вредоносным троянским файлом svchost.exe не вернется обратно в систему.

Ниже приведён список наиболее часто встречающихся причин, по которым svchost.exe создаёт нагрузку на процессор. Для начала мы рассмотрим, в чём вообще смысл этого процесса, а затем разберём методы решения проблемы в конкретных случаях.

Что такое svchost и можно ли его удалить?

Этот процесс является одним из главных в Windows. Он помогает работать программам, установленным на вашем компьютере и призван сократить потребление ими ресурсов. Удалять данный файл из системы нельзя (это не касается вирусов, маскирующихся под него, но о них – чуть ниже).

Если программ много, то количество запущенных процессов с этим названием может быть увеличено до необходимого числа. Поэтому, если в Диспетчере задач несколько svchost.exe – это нормально, и ещё не причина для переживания.

Возможные причины нагрузки на процессор

Вирусы

Первое, что нужно сделать, столкнувшись с проблемой загрузки ЦП – узнать, не стоит ли за всем этим вредоносное ПО.

Явный признак такой угрозы:

Откройте Диспетчер задач и проверьте, от чьего имени запущены все svchost.exe (чтобы их было удобней смотреть, отсортируйте отображение процессов по имени).

На скриншоте отмечены 3 группы, от лица которой запускается настоящий, безопасный процесс:

• Система
• Local Service
• Network Service

Если же вы видите, что запуск произведён от имени вашей учётной записи – вы имеете дело с вредоносной программой. В таком случае первое, что стоит сделать – это нажать на нём правой кнопкой мыши и выбрать пункт «Открыть расположение файла».

Так вы узнаете, где он находится. Теперь этот файл можно отправить на проверку через virustotal.com, чтобы получить детальную информацию о типе угрозы.

Но проще всего сразу воспользоваться двумя программами для очистки системы:

• Dr.Web Cure IT (на странице сначала нажмите «Далее», а затем – «Скачать с функцией отправки статистики»)

Т.к. удалить один лишь.exe – недостаточно: почти наверняка где-то на диске разбросаны вспомогательные файлы, которые или просто не дадут его уничтожить, или восстановят после перезагрузки.

Скорость проверки зависит от объёма жесткого диска. Но в случае в CureIT, вполне можно указать для проверки только системный раздел, на который установлена Windows, т.к. почти всегда все вредители стремятся «прописаться» там. Этого будет достаточно.

В MBAM можно просто нажать на «Начать проверку», т.к. сканирование всей системы занимает 15-20 минут в среднем.

По итогу проверки будет выдан отчёт со списком файлов, которые программа считает опасными. Некоторые элементы (записи в реестре) MBAM удалить сразу, а для остальных может попросить перезагрузить систему.

CureIT копает «глубже», но иногда пропускает моменты, которые подчищает MBAM.

Скачав и установив утилиту от Dr.Web, можно позволить ей просканировать всё, что угодно, просто нажав на «Начать проверку».

Для большей уверенности в том, что ничего не ускользнёт, можно указать помимо основных мест для проверки и весь диск, на котором находится Windows.

Автоматические обновления

По умолчанию в Windows включены обновления системы, которые часто и являются причиной нагрузки, создаваемой svchost.exe.

Нажмите сочетание клавиш Win+R и в открывшемся окне впишите «services.msc».

В Windows XP/Vista/7 можно запустить её и так: Пуск -> Выполнить (XP) / Поиск (Vista/7) -> services.msc

В списке служб найдите Центр обновления Windows, дважды кликните левой кнопкой мыши и установите параметры, как на скриншоте ниже.

В XP нужная строка называется «Автоматическое обновление»

Как видите, эта служба использует в работе svchost.

Выводы

Практика показывает, что чаще всего, помимо вредоносных приложений, проблема кроется в простых обновлениях системы. Остальные случаи можно назвать «частными», т.к. почти в каждом из них всё «завязано» на конкретном приложении. По этой причине невозможно описать все случаи, но поиск проблемных программ при помощи Process Explorer способен помочь.

Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» - Win32.HLLP.Neshta (классификация Dr.Web).

Этот «самозванец» копирует себя в директорию Windows, заражает файлы с расширением «exe» и забирает системные ресурсы (оперативную память, интернет-трафик). Впрочем, он способен и на другие гадости. Известны случаи инфицирования, когда вирусный svchost загружает ОЗУ компьютера на 98-100% , отключает интернет-канал, нарушает функционирование локальной сети.

Файлы svсhost - добрые и злые, или кто есть кто

Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».

Истинный процесс

Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка - «ещё 29 вариантов»).

Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):

• SYSTEM;
• LOCAL SERVICE;
• NETWORK SERVICE.

Хакерская подделка

Может находиться в следующих директориях:

• C:\Windows
• C:\Мои документы
• C:\Program Files
• C:\Windows\System32\drivers
• C:\Program Files\Common Files
• C:\Program Files
• C:\Мои документы

Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.

Например:

• svch0st (цифра «ноль» вместо литеры «o»);
• svrhost (вместо «с» буква «r»);
• svhost (нет «с»).

Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.

Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).

Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.

Способ №1: очистка утилитой Comodo Cleaning Essentials

Cleaning Essentials - антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).

Где скачать и как установить?

1. Откройте в браузере comodo.com (официальный сайт производителя).

Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.

2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.

3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).

Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».

4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.

5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».

6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».

Как настроить и очистить ОС?

1. Выберите режим «Custom scan» (выборочное сканирование).

2. Подождите немного, пока утилита обновит свои сигнатурные базы.

3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).

4. Нажмите «Scan».

5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.

Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.

Вспомогательные утилиты

В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.

Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.

Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.

Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:

1. На вкладке «Система» откройте раздел «Процессы».
2. Проанализируйте все активированные процессы svchost:
   • кликните правой кнопкой по файлу;
   • выберите «Свойства»;
   • посмотрите его текущую директорию. Если она отличная от С:\Windows\system32\, вероятней всего, что исследуемый объект является вирусом.

В случае обнаружения зловреда:

1. Дополнительно просмотрите в его поле графу «Оценка» (safe - безопасный) и подпись.
2. Если эти свойства также не соответствуют характеристикам доверенного системного файла, снова активируйте контекстное меню (клик правой кнопкой). А затем последовательно запустите функции «Приостановить» и «Удалить».
3. Продолжайте проверку, возможно, вирус создал и запустил свои копии. От них тоже в обязательном порядке необходимо избавиться!

Способ №2: использование системных функций

Проверка автозагрузки

1. Кликните «Пуск».
2. Наберите в поисковой строке msconfig и нажмите «Enter».
3. В окне «Конфигурация системы» перейдите на вкладку «Автозагрузка».
4. Просмотрите команды (колонка «Команда»), запускающие элементы при запуске Windows, и их расположение (директории, ключи реестра в колонке «Расположение»):
   • Все директивы, содержащие svchost, отключите (уберите кликом галочку возле записи). Это 100% вирус. Системный процесс с одноимённым названием никогда не прописывается в автозагрузке.
   • Откройте директорию зловреда (указана в «Расположение») и удалите его. Для нейтрализации ключа в реестре используйте штатный редактор regedit: «Win + R» → regedit → Enter.

Анализ активных процессов

1. Нажмите «Ctrl + Alt + Del».
2. Кликните по вкладке «Процессы».
3. Проверьте свойства всех активных svchost (имя, расширение, размер, местоположение). При анализе ориентируйтесь на данные сервиса filecheck.ru и характеристики, приведенные в этой статье.

Кликните правой кнопкой по имени образа. В меню выберите «Свойства».

В случае обнаружения вируса:

• в свойствах объекта узнайте его расположение (скопируйте или запомните);
• нажмите «Завершить процесс»;
• перейдите в директорию зловреда и удалите его при помощи штатной функции (клик правой кнопкой → Удалить).

Если сложно определить: доверенный или вирус?

Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.

1. Откройте в браузере virustotal.com.
2. Нажмите «Выберите файл».
3. В проводнике Windows откройте директорию процесса, который необходимо проверить, выделите его кликом, а затем нажмите «Открыть».
4. Для запуска сканирования кликните «Проверить!». Файл загрузится из ПК на сервис и автоматически начнётся сканирование.
5. Ознакомьтесь с результатами проверки. Если большинство антивирусов детектируют объект как вирус, его необходимо удалить.