Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» — Win32.HLLP.Neshta (классификация Dr.Web).
Этот «самозванец» копирует себя в директорию Windows, заражает файлы с расширением «exe» и забирает системные ресурсы (оперативную память, интернет-трафик). Впрочем, он способен и на другие гадости. Известны случаи инфицирования, когда вирусный svchost загружает ОЗУ компьютера на 98-100% , отключает интернет-канал, нарушает функционирование локальной сети.
Как же удалить svchost.exe, который «подбросили» злоумышленники в систему? Есть, как минимум, два способа детектирования и уничтожения этого паразита. Не будем медлить! Приступаем к очистке ПК.
Файлы svсhost — добрые и злые, или кто есть кто
Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».
Истинный процесс
Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка — «ещё 29 вариантов»).
Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):
- SYSTEM;
- LOCAL SERVICE;
- NETWORK SERVICE.
Хакерская подделка
Может находиться в следующих директориях:
- C:\Windows
- C:\Мои документы
- C:\Program Files
- C:\Windows\System32\drivers
- C:\Program Files\Common Files
- C:\Program Files
- C:\Мои документы
Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.
Например:
- svch0st (цифра «ноль» вместо литеры «o» );
- svrhost (вместо «с» буква «r»);
- svhost (нет «с»).
Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.
Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).
Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.
Способ №1: очистка утилитой Comodo Cleaning Essentials
Cleaning Essentials — антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).
Где скачать и как установить?
1. Откройте в браузере comodo.com (официальный сайт производителя).
Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.
2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.
3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).
Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».
4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.
5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».
6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».
Как настроить и очистить ОС?
1. Выберите режим «Custom scan» (выборочное сканирование).
2. Подождите немного, пока утилита обновит свои сигнатурные базы.
3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).
4. Нажмите «Scan».
5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.
Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.
Вспомогательные утилиты
В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.
Внимание! Утилиты рекомендуется применять только опытным пользователям.
Autorun Analyzer
Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.
Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.
KillSwitch
Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:
- На вкладке «Система» откройте раздел «Процессы».
- Проанализируйте все активированные процессы svchost:
- кликните правой кнопкой по файлу;
- выберите «Свойства»;
- посмотрите его текущую директорию. Если она отличная от С:\Windows\system32\, вероятней всего, что исследуемый объект является вирусом.
В случае обнаружения зловреда:
- Дополнительно просмотрите в его поле графу «Оценка» (safe — безопасный) и подпись.
- Если эти свойства также не соответствуют характеристикам доверенного системного файла, снова активируйте контекстное меню (клик правой кнопкой). А затем последовательно запустите функции «Приостановить» и «Удалить».
- Продолжайте проверку, возможно, вирус создал и запустил свои копии. От них тоже в обязательном порядке необходимо избавиться!
Способ №2: использование системных функций
Проверка автозагрузки
- Кликните «Пуск».
- Наберите в поисковой строке msconfig и нажмите «Enter».
- В окне «Конфигурация системы» перейдите на вкладку «Автозагрузка».
- Просмотрите команды (колонка «Команда»), запускающие элементы при запуске Windows, и их расположение (директории, ключи реестра в колонке «Расположение»):
- Все директивы, содержащие svchost, отключите (уберите кликом галочку возле записи). Это 100% вирус. Системный процесс с одноимённым названием никогда не прописывается в автозагрузке.
- Откройте директорию зловреда (указана в «Расположение») и удалите его. Для нейтрализации ключа в реестре используйте штатный редактор regedit: «Win + R» → regedit → Enter.
Анализ активных процессов
- Нажмите «Ctrl + Alt + Del».
- Кликните по вкладке «Процессы».
- Проверьте свойства всех активных svchost (имя, расширение, размер, местоположение). При анализе ориентируйтесь на данные сервиса filecheck.ru и характеристики, приведенные в этой статье.
Кликните правой кнопкой по имени образа. В меню выберите «Свойства».
В случае обнаружения вируса:
- в свойствах объекта узнайте его расположение (скопируйте или запомните);
- нажмите «Завершить процесс»;
- перейдите в директорию зловреда и удалите его при помощи штатной функции (клик правой кнопкой → Удалить).
Если сложно определить: доверенный или вирус?
Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.
- Откройте в браузере virustotal.com.
- Нажмите «Выберите файл».
- В проводнике Windows откройте директорию процесса, который необходимо проверить, выделите его кликом, а затем нажмите «Открыть».
- Для запуска сканирования кликните «Проверить!». Файл загрузится из ПК на сервис и автоматически начнётся сканирование.
- Ознакомьтесь с результатами проверки. Если большинство антивирусов детектируют объект как вирус, его необходимо удалить.
Профилактика
После нейтрализации «паразита» из ОС Windows, в независимости от применённого способа удаления, просканируйте дисковые разделы лечащей утилитой Malwarebytes Anti-Malware или Kaspersky Virus Removal Tool. Проверьте работу основного антивируса: просмотрите настройки детектирования, обновите сигнатурную базу.
Комментарии
Ильяс -
Большое спасибо, ох как же это напрягало, но 1 способ помог.
Матвей -
Спасибо, очень помогли, был целый букет вирусов. Пробовал через regedit, панель упрпвлением приложениями и ТД. Удалил майл ру, прочий мусора а службы нагружающие процессор остались, а с вашей помощью все удалил. Раньше этот вирус нагружал процессор на 100 даже на рабочем столе, а сейчас он после удаления грузится на 0-50. Спасибо, очень помогли, дай бог вам здоровья
Норм Парень -
Часто бывают проблемы с таким файлом. Лучше на самом деле его не удалять, потому что если его удалишь антивирусом каким нибудь (к примеру: IObit Uninstaller(как у меня)) то при перезагрузке Windows просто застрянет на веки на загрузке. На самом деле проще удалить этот "вирус" через WinPE (Windows Preinstallation Envinroment) просто берёшь загрузочный диск от любой винды (точнее не от любой, от Windows Whistler и выше) заходишь в меню это установки и нажимаешь Ctrl + F10 (эта комбинация откроет командную строку WinPE) Когда cmd.exe открылось, вводим такую команду: (Имя диска там D: или C: или даже E: может быть разным, поэтому выбирайте нужный вам диск. Я беру к примеру диск C:)
del C:\Windows\System32\svchost.exe
И вуоля! потом закрываем cmd.exe и закрываем окно установки. Перезагружаемся.
Никита -
Не получается, когда я захожу, появляется табличка "Svchost.exe,, и когда я закрываю, или нажимаю "да,, или "нет,, не заходит и вообще ничего не происходит((((((
Дмитрий -
Отключение обновлений и убийство файлов не помогло. Появлялся другой процес ,грузящий проц на 8% или 50%..Вирус не давал зайти на сайты антивирусов, если удавалось проскочить и скачать торрент файл, при запуске торрента тут же всё вылетало. Скачал DrWeb после перезагрузки, когда svchost ещё не успел запуститься. Microsoft Security ничего не нашёл, DrWeb что то находил, но на загрузку проца это не влияло..
В общем.... Решение нашлось. В Планеровщике заданий отключил непонятные файлы с пометкой в колонке "Триггеры" - (При входе любого пользователя) и (Частота повтора после начала 02:00:00 без окончания)
Названия файлов
{3AD58FCA-2842-1229-A645-DBF3269BD1E1}
{4E6059E8-8FD4-7B54-C1FE-D92AF4E2492F}
Анатолий -
Реально помогает.
Добавить комментарий