Процесс svchost.exe — вирус или нет?

Процесс svchost.exe - вирус или нет?Если вы читаете эту заметку, значит в Диспетчере задач вы обратили внимание на один или несколько процессов с названием svchost.exe.  То, что процесс svchost запущен многократно, для несведущего человека выглядит подозрительно, а потому способно заставить поволноваться за чистоту своего компьютера. В действительности, svchost не опасен и более того, является важной частью операционной системы Windows. С его помощью выполняется запуск различных системных служб, необходимых для работы сервисов системы. При этом каждая запущенная копия представляет собой одну или несколько служб, поэтому количество процессов не всегда одинаково. Этим обстоятельством пользуются некоторые вирусы, маскируясь под похожее или полностью аналогичное название. В данной статье мы научимся определять, что именно стоит за svchost.

Первый случай. Проще всего обнаружить вирусы, которые имеют схожие названия. В них изменяют или меняют местами одну — две буквы. При беглом просмотре списка в Диспетчере задач такие процессы не сильно выделяются, но при внимательном сравнении их несложно отличить. Примеры процессов маскирующихся под svchost:

svchosts.exe, svch0st.exe, svchos1.exe, svcchost.exe, svchoes.exe, svhost.exe, svchost32.exe, svchosts32.exe, svrhost.exe, svshost.exe, svchest.exe, и т.п.

Второй случай. А вот выявить вирусы, имеющие полное соответствие в названии, уже так не получится. Но сделать это все еще не трудно. Для начала определимся с тем, что настоящий svchost.exe располагается в папке:

В Windows 32bit это — C:\Windows\System32\

В Windows 64bit это — C:\Windows\SysWOW64\

(буква диска «С:» может отличаться, в зависимости от того, куда установлена система)

Именно из этой папки система запускает данный процесс.

Еще могут быть копии файла (а могут и не быть) в папках:

C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\Prefetch
С:\WINDOWS\winsxs\[длинное_название_папки]

Таким образом, все svchost.exe находящиеся НЕ в папке C:\Windows\System32\ (или C:\Windows\SysWOW64\ для 64-битных систем) имеют повышенный (стремящийся к 96%) уровень угрозы. Чтобы узнать из какой папки был запущен процесс, можно воспользоваться программой Process Explorer. Запустив программу кликните правой кнопкой мышки по процессу svchost.exe, а в выпадающем меню выберите пункт «Properties». Откроется окошко свойств процесса. В ячейке «Path» («Путь») для 32-разрядных систем должно быть указано: C:\Windows\System32\svchost.exe, а для 64-разрядных путь будет таким: C:\Windows\SysWOW64\svchost.exe

Процесс svchost.exe - вирус или нет?

Если папка, в которой находится процесс другая, запомните ее и нажмите кнопку «Kill process». Этим действием вы выгрузите процесс из памяти. Затем перейдите в его папку и удалите файл svchost.exe. После этого обязательно проверьте систему антивирусом.

Кстати, в Диспетчере задач системы Windows 7 можно узнать путь файла без использования дополнительных программ. Для этого можно нажать правой кнопкой мыши по процессу и выбрать пункт «Открыть место хранения файла». А лучше настроить Диспетчер задач таким образом, чтобы в нем сразу отображались пути файлов. Для этого щелкните меню «Вид» и выберите пункт «Выбрать столбцы», далее установите галочку для «Путь к образу». Этим вы добавите дополнительный столбец, в котором будет показано расположение процессов на жестком диске.

Третий случай. Самый сложный, но к счастью встречается реже — когда вирус модифицирует svchost.exe. То есть «вшивается» в системный файл. Обычно это приводит к критическим ошибкам, с указанием в них файла svchost. В этом случае понадобится его восстановить из резервной копии или переписать с установочного диска.

Добавить комментарий

Ваш адрес email не будет опубликован.

Related Post

Способы защиты блога от взломаСпособы защиты блога от взлома

Те, кто хочет начать заниматься блоггингом, в первую очередь должны подумать о безопасности своего сайта. Ведь никто не хочет однажды обнаружить потерю половины контента на своём блоге, или того хуже.

Запретить автозапуск со сменных носителейЗапретить автозапуск со сменных носителей

Помимо Интернета вирусы и трояны не редко попадают в систему из-за использования зараженных флэшек. Как правило команда на загрузку вредоносной программы вызывается из корневого файла autorun.inf, о наличие которого свидетельствует пункт «Автозапуск» из контекстного меню для

Как удалить SpyWare Protect 2009 [решение]Как удалить SpyWare Protect 2009 [решение]

Spyware Protect 2009 – это поддельная антиспайварная программа. В основном распространяется через трояны и поддельные онлайн сканеры. После заражения, поведение Spyware Protect 2009 на компьютере довольно стандартно. Программа обязательно прописывается