Теле2 

Как удалить файл svchost exe. Удаление вируса svchost exe из системы Windows

Современному интернет-пользователю важно понимать, что на сегодняшний день в глобальной сети находиться огромное множество различных угроз. При заражении ПК, вирусы часто маскируются под видом обычных системных процессов. В данной статье речь пойдет о том, как удалить вирус svchost.exe.




Данный процесс является не единственным во время работы системы. В диспетчере задач можно наблюдать сразу более десятка процессов с одноименным названием.


В обычном режиме на данные процессы особо никто не обращает внимания, но как только компьютер начинает изрядно « », то оказывается что svchost.exe «поедает» на постоянной основе половину системных ресурсов, а то и больше. Конечно, можно принять радикальные меры и или же сделать восстановление системы. Но не всегда данные меры помогут решить текущую проблему.

svchost.exe – является системным процессом, отвечающим за запуск служб различного типа на ПК. Данный процесс позволяет запускать несколько служб одновременно, помогая экономить при этом системные ресурсы. Таким образом, в диспетчере задач отображается сразу несколько строчек с данным названием.

Вирусы и трояны могут маскироваться под процесс svchost.exe., вызывая тем самым тяжелую нагрузку на аппаратную часть компьютера.

Чтобы определить принадлежность данного процесса к вредоносному коду, нужно для начала нажатием Ctrl+Atl+Delete. Во вкладке процессы в первой колонке отображаются все запущенные процессы, а следующая колонка показывает принадлежность процесса к конкретному пользователю. svchost.exe может быть запущен исключительно от имени NETWORK SERVICE, SYSTEM и LOCAL SERVICE. Если при анализе было замечено, что данный процесс запущен от другого имени, например, от USER (или другого имени), то значит, что в системе орудует вирус.


Чтобы отключит запуск вредоносного ПО, нужно . Для этого можно воспользоваться стандартными средствами ОС или же бесплатной . Чтобы не устанавливать дополнительных программ, нужно и выполнить команду msconfig . После этого откроется окно, в котором нужно перейти во вкладу «». Если при анализе обнаружиться процесс svchost.exe, то это 100% вирус.

Настоящий системный svchost.exe может запускаться только из папки C:\WINDOWS\system32 или C:\WINDOWS\SysWOW64. Если процесс в автозагрузке запущен из папки WINDOWS, то это свидетельствует о вирусном коде.


Создатели данных вирусов маскируют их в следующих папках:

C:\Users\имя-вашего-пользователя\svchost.exe

C:\WINDOWS\windows\svchost.exe

C:\WINDOWS\sistem\svchost.exe

C:\WINDOWS\system\svchost.exe

Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» - Win32.HLLP.Neshta (классификация Dr.Web).

Этот «самозванец» копирует себя в директорию Windows, заражает файлы с расширением «exe» и забирает системные ресурсы (оперативную память, интернет-трафик). Впрочем, он способен и на другие гадости. Известны случаи инфицирования, когда вирусный svchost загружает ОЗУ компьютера на 98-100% , отключает интернет-канал, нарушает функционирование локальной сети.

Файлы svсhost - добрые и злые, или кто есть кто

Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».

Истинный процесс

Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка - «ещё 29 вариантов»).

Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):

  • SYSTEM;
  • LOCAL SERVICE;
  • NETWORK SERVICE.

Хакерская подделка

Может находиться в следующих директориях:

  • C:\Windows
  • C:\Мои документы
  • C:\Program Files
  • C:\Windows\System32\drivers
  • C:\Program Files\Common Files
  • C:\Program Files
  • C:\Мои документы

Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.

Например:

  • svch0st (цифра «ноль» вместо литеры «o»);
  • svrhost (вместо «с» буква «r»);
  • svhost (нет «с»).

Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.

Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).

Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.

Способ №1: очистка утилитой Comodo Cleaning Essentials

Cleaning Essentials - антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).

Где скачать и как установить?

1. Откройте в браузере comodo.com (официальный сайт производителя).

Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.

2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.

3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).

Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».

4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.

5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».

6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».

Как настроить и очистить ОС?

1. Выберите режим «Custom scan» (выборочное сканирование).

2. Подождите немного, пока утилита обновит свои сигнатурные базы.

3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).

4. Нажмите «Scan».

5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.

Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.

Вспомогательные утилиты

В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.

Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.

Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.

Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:

  1. На вкладке «Система» откройте раздел «Процессы».
  2. Проанализируйте все активированные процессы svchost:
    • кликните правой кнопкой по файлу;
    • выберите «Свойства»;
    • посмотрите его текущую директорию. Если она отличная от С:\Windows\system32\, вероятней всего, что исследуемый объект является вирусом.

В случае обнаружения зловреда:

  1. Дополнительно просмотрите в его поле графу «Оценка» (safe - безопасный) и подпись.
  2. Если эти свойства также не соответствуют характеристикам доверенного системного файла, снова активируйте контекстное меню (клик правой кнопкой). А затем последовательно запустите функции «Приостановить» и «Удалить».
  3. Продолжайте проверку, возможно, вирус создал и запустил свои копии. От них тоже в обязательном порядке необходимо избавиться!

Способ №2: использование системных функций

Проверка автозагрузки

  1. Кликните «Пуск».
  2. Наберите в поисковой строке msconfig и нажмите «Enter».
  3. В окне «Конфигурация системы» перейдите на вкладку «Автозагрузка».
  4. Просмотрите команды (колонка «Команда»), запускающие элементы при запуске Windows, и их расположение (директории, ключи реестра в колонке «Расположение»):
    • Все директивы, содержащие svchost, отключите (уберите кликом галочку возле записи). Это 100% вирус. Системный процесс с одноимённым названием никогда не прописывается в автозагрузке.
    • Откройте директорию зловреда (указана в «Расположение») и удалите его. Для нейтрализации ключа в реестре используйте штатный редактор regedit: «Win + R» → regedit → Enter.

Анализ активных процессов

  1. Нажмите «Ctrl + Alt + Del».
  2. Кликните по вкладке «Процессы».
  3. Проверьте свойства всех активных svchost (имя, расширение, размер, местоположение). При анализе ориентируйтесь на данные сервиса filecheck.ru и характеристики, приведенные в этой статье.

Кликните правой кнопкой по имени образа. В меню выберите «Свойства».

В случае обнаружения вируса:

  • в свойствах объекта узнайте его расположение (скопируйте или запомните);
  • нажмите «Завершить процесс»;
  • перейдите в директорию зловреда и удалите его при помощи штатной функции (клик правой кнопкой → Удалить).

Если сложно определить: доверенный или вирус?

Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.

  1. Откройте в браузере virustotal.com.
  2. Нажмите «Выберите файл».
  3. В проводнике Windows откройте директорию процесса, который необходимо проверить, выделите его кликом, а затем нажмите «Открыть».
  4. Для запуска сканирования кликните «Проверить!». Файл загрузится из ПК на сервис и автоматически начнётся сканирование.
  5. Ознакомьтесь с результатами проверки. Если большинство антивирусов детектируют объект как вирус, его необходимо удалить.

Svchost.exe – это название системного процесса, под который маскируется целый ряд вирусов. В результате появления этого вредоносного ПО может пропасть подключение к интернету или произойти серьезный системный сбой. Поэтому важно знать,как удалить svchost exe, прежде чем компьютер перестанет работать.

Выявление

Обнаружить вирус svchost.exe на компьютере достаточно трудно. Проблема заключается в том, что svchost – это системный модуль Windows, с помощью которого запускаются службы. Отключение этих служб может привести к появлению ошибок и некорректной работе системы.

Различные же вирусы лишь присваивают себе это имя, скрываясь среди действительно полезных процессов в «Диспетчере задач».

Внимание! Факт наличия в «Диспетчере задач» процесса svchost.exe не говорит о заражении компьютера вирусом! Такие процессы должны быть запущены, так как без них не может корректно работать система!

Но как среди действующих процессов выявить вредоносный, если имя у них у всех одинаковое? Необходимо обратиться к полю «Имя пользователя», где указано, кто является инициатором запуска процесса.

Системные модули запускаются от имени «System», «Local Service» или «Network Service». Если вы видите, что процесс svchost.exe запущен от имени пользователя, знайте – перед вами вирус, действующий под прикрытием.

Удаление

К сожалению, вирус, маскирующийся под системный модуль, полностью удалить можно лишь двумя способами: полной переустановкой системы или очищением реестра.

Программы, позволяющие удалить вирус url mal, здесь не помогут. Не справится с задачей подобного рода и SpyHunter – утилита, с помощью, которой можно удалить ads by offerswizard.

Про переустановку отдельно рассказывать нет смысла: это крайняя мера, когда другие способы уже испробованы и признаны недействующими.

Лучше сразу переходить к чистке реестра, но сначала можно попробовать установить более мощный антивирусный пакет или использовать лечащую утилиту Dr.Web CureIt, которая помогает удалить trovi com и справиться с другими подобными вирусными приложениями.

Отлично, если есть возможность сделать и то, и другое – проверить систему с помощью антивируса с обновленными сигнатурами, а затем запустить Dr.Web CureIt и с её помощью просканировать жесткий диск повторно.

Не забудьте также проверить список автозагрузки Windows.

Нажмите Win+R, введите команду «msconfig» и перейдите на вкладку «Автозагрузка». Проверьте, чтобы в списке элементов автозагрузки не было svchost exe. При обнаружении вируса, снимите с него галочку, а затем удалите из списка.

Если указанные действия не помогли, переходите к чистке реестра.

Работа с реестром

Откройте системный реестр с помощью команды «regedit». Здесь придется изменить и удалить целый ряд записей, поэтому запаситесь терпением.

Перейдите последовательно HKEY_Local Machine → Sоftwаre → Micrоsоft → Windоws → CurrеntVеrsion → Run. Найдите ключ «PowerManager»=»%WinDir%svchost.exe» и удалите его.

Теперь необходимо удалить другие записи, относящиеся к вирусу. Перейдите по адресу HKLM→Software→Microsoft→Windows NT→CurrentVersion→WinLogon. Найдите ключ «Userinit» и проверьте его значение. Приведите его к виду «C:\Windows\system32\userinit.exe,». Для этого нажмите на ключ правой кнопкой и выберите пункт «Изменить».

Воспользуйтесь функцией поиска (Ctrl+F) и найдите другие записи со значением «svchost». Удалите их все.

Как видите, с реестровыми записями придется немного помучиться. Поэтому если есть возможность – переустановите систему или попробуйте откатить её прежнего состояния с помощью контрольной точки восстановления.

Практически каждый пользователь ПК сталкивался с проблемой периодического подвисания windows. Большинство пользователей решались исправить проблему удалением ненужных процессов через диспетчер задач. Открыв диспетчер и обнаружив большое количество процессов svchost.exe у пользователя начинается паника.

В итоге пользователи решают, что большое количество процессов обусловлено заражением системы. Чтобы не потерять важные файлы следует удалить вредоносный svchost. Однако, далеко не каждый владелец компьютера знает как удалить svchost exe на виндовс 7.

Сложность удаления вирусных утилит связана с тем, что они маскируются под системный процесс, удаление которого может привести к нарушению стабильности работы ПК и последующей необходимости переустановки виндовс. Поэтому, прежде чем удалить процесс и его основополагающее, нужно сравнить признаки двух файлов.

Стандартный процесс svchost.exe отвечает за некоторые системные функции. Располагается файл в директории диска с установленной ОС Windows. Процесс, который работает в Windows, может быть подписан только SYSTEM, LOCAL SERVICE или NETWORK SERVICE.

В свою очередь подделка чаще всего располагается в папках «Мои Документы», «Programm Files», «Windows». Специалисты по удалению вирусов намекают на разностороннее хранение вредоносного svchost.exe в папке «windows»:

  • system;
  • config;
  • inet20000;
  • inetsponsor;
  • sistem;
  • windows;
  • drivers.

Помимо того, что вирусы заполоняют системную область, они имеют схожее название со стандартным процессом. Поэтому при обнаружении схожих по названию процессов, следует проверить службу, которая отвечает за их запуск. Как правило, схожесть процессов вируса обуславливается по следующим названиям: svch0st, svchos1, svcchost, svhost, svchosl, svchost32, svchosts, svschost, svcshost, ssvvcchhoosst. Вирус имеет разрешение (.exe). Иногда встречается разрешение (.com).

Удаление стандартными способами

Удалить вирус с маскировкой под svchost.exe можно различными способами. Простой способ заключается в удалении главной вредоносной программы, которая запускает вирус. Для определения этого приложения необходимо и просмотреть свойства svchost.exe в названии которого имеется изменение. В свойствах будет указана служба, из-за которой происходит запуск вируса, а также точное расположение.

Удалить вирус с windows, в таком случае нужно с помощью утилиты «администрирования». Выбрать данную утилиту можно в «Панели управления». Открыв «Администрирование» нужно выбрать вкладку «Службы».

Просмотрев появившейся список надо найти название вредоносной службы и в свойствах отключить ее запуск. Затем пользователь должен открыть папку размещения вируса и удалить его. Также удалить можно другим способом: нужно с помощью диспетчера задач остановить процесс, затем .

На заметку! Очень часто выявит вирус помогает проверка «Конфигурации системы». Открыв файл msconfig.exe нужно выбрать вкладку «Автозагрузка». При обнаружении в списке название svchost, следует снять возможность одновременного запуска с системой и удалить приложение, которое его запускает.

Сторонние приложения

Однако, случается что убрать вирус или отключить службу невозможно. Что же в итоге следует делать пользователю и как убрать svchost exe на windows 7. Ответ на вопрос прост: надо обратиться к сторонним программам.

Среди программ, которые активно помогают windows бороться с вредоносным svchost.exe отмечаются:

  • Cleaning Essentials (скачать приложение можно с официального сайта https://www.comodo.com/);
  • Dr. Web CureIt;
  • Autorun Analyzer;
  • KillSwitch;

В иных случаях не получается удалить вирус из-за того, что невозможно определить где оригинальный файл, а где подделка. Тогда на помощь пользователю может прийти мощная система онлайн сканирования на портале virustotal.com. На данном сайте надо нажать клавишу «Выберите файл». Затем с помощью проводника Windows выбрать подозрительный файл и запустить проверку. Пройденный тест покажет о том, что следует удалить файл.

Svchost - системный модуль Windows, который служит для запуска различных служб. В Диспетчере задач любая из запущенных с помощью этого модуля служб определяется как «svchost».

Но существует множество вирусов, маскирующихся под svchost, самый распространенный из которых называется RAT. Неопытному пользователю персонального компьютера будет довольно сложно распознать такой вирус в Диспетчере, как впрочем, и обнаружить его во всей системе в целом. Поэтому, стоить отметить, что важным признаком наличия данного вируса в системе может стать сообщение, информирующее вас об ошибке, которая связана с svchost.exe и извещающее пользователя о том, что «память не может быть read». В этом случае необходимо предпринять действия, которые расскажут, как удалить svchost. Иначе ваш компьютер будет подвергнут серьезному сбою. Итак, давайте рассмотрим поэтапно, как нам избавиться от этого вируса.

Как уберечься от повторного заражения

Для начала необходимо обезопасить свой компьютер от повторного заражения вирусом, установив на него антивирусную программу.

Не стоит этого пугаться, так как данный способ весьма простой. Для начала, зайдите в редактор реестра и отыщите там ключ HKEY_Sоftwаre_Micrоsоft\Windоws\CurrеntVеrsion\RunSеrvicеs "PowerManager"="%WinDir%svchost.exe", после чего удалите его.

Svchost exe, как удалить, подскажет следующий шаг. Для этого откройте модуль предназначенный для управления службами Windows, найдите в списке PowerManager и, вызвав контекстное меню на данной службе, остановите ее.

Завершаем процесс вирусной программы

Третьим шагом будет завершение процесса вирусной программы.

Удаляя файлы вируса, будьте предельно осторожны, чтобы не удалить по ошибке «настоящий» svchost, который находится в папке %WINDIR%systеm32. Удалять его нельзя ни в коем случае. Поэтому перед тем как приступить к удалению, проверьте лишний раз себя на ошибку.

Svchost вирус, как удалить его окончательно, расскажет следующий шаг. Теперь нужно из реестра убрать автоматический запуск данной программы. Для этого запустите редактор реестра, отыщите и удалите в нем "svchоst" = "%WinDir%svchost.exe". Потом отыщите ключ и поменяйте его с %WINDIR%svchоst.cоm "%1" %* на "%1" %*.

Также в замене нуждается ключ . Его значение должно стать "Userinit"="%Sуstеm%usеrinit.еxe".

Ну и последний ключ, требующий изменений, это: }

Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить