Як видалити вірус svchost.exe? Поразка вірусами процесу SVCHOST.EXE дуже поширене явище. Пов'язано це з тим, що Windows використовує процеси svchost.exe одночасно з різною метою. Тому вірусу вигідно загубитися серед них і діяти як резиденту. Симптоми зазвичай виявляються в сильному або повному завантаженні комп'ютера. Перестає працювати мережа та інтернет. Якщо у диспетчері завдань є багато підозрілих процесів svchost.exe, це ще не означає, що у вас вірус.
Windows використовує цей процес для багатьох речей, наприклад, оновлення ОС. Ознакою, що викликає підозру на наявність вірусу є активний процес svchost.exe, запущений від користувача. Якщо ви бачите цей процес запущений не від NETWORK SERVICE, LOCAL SERVICE або SYSTEM, а від вашого облікового запису, то можливо на комп'ютері троян.
На жаль, дії таких вірусів іноді призводять до сильного пошкодження системи. Ця проблема вирішується двома способами. Або повною, або відновленням реєстру. Опишемо прості рекомендації, які дадуть відповідь на питання “Як видалити троянський вірус у svchost.exe?”. Зауважимо, що перед перевіркою антивірусом, необхідно відключитися від інтернету та локальної мережі, тобто висмикнути кабель з мережевої карти. Підключити USB-накопичувачі, якими користуєтеся.
- Отже, перше, що ми можемо порадити, - це поставити хороший антивірус. Не всі програми для видалення вірусів підходять для перевірки. Але є кілька програмних рішень, які мають допомогти у боротьбі з вірусом, що засів у SVCHOST.EXE.
- Вимкніть службу відновлення системи (актуально для Windows XP). Робиться це так. Правою кнопкою по Мій Комп'ютер -> Властивості -> закладка Відновлення системи -> поставити галочку Вимкнути відновлення системи на всіх дисках. Робиться це для того, щоб вірус svchost.exe не повернувся після лікування.
- Перевірте автозавантаження. Натисніть Пуск -> Виконати (для Win 7 командний рядок доступний відразу) -> введіть “msconfig”. Вона не повинна мати файли svchost.exe.
- Завантажте CureIT – http://www.freedrweb.com/cureit та перевірте всі логічні диски та флешки у безпечному режимі Windows.
В принципі, CureIT можна і не качати, а скористатися якісним антивірусом з оновленими сигнатурами, але краще перестрахуватися та перевірити усі двома різними способами. Можливо, після перевірки потрібно відновити ключі реєстру Windows. Якщо щось не виходить, то завжди можна зателефонувати і замовити послугу видалення вірусів. А тим, кому ці рекомендації здалися недостатніми, рекомендуємо ознайомитися зі статтею про те, - там показаний докладний метод видалення вірусів вручну.
Дата публікації: 20.07.2010Статтю оновлено 09.12.2011 р.
Симптоми:
Ваш комп'ютер раптом сильно почав виснути та гальмувати систему. При цьому у вас стоїть антивірус із новітніми антивірусними базами. Натисніть Ctrl+Alt+Deleteта клацніть на вкладці Процеси. Ви побачите список усіх процесів, що йдуть на даний момент; при цьому ви побачите, що якийсь із процесів споживає безліч ресурсів комп'ютера (хоча ніякі програми ви в даний момент не використовуєте). Тут ви побачите якийсь процес svchost(Процесів з такою ж назвою буде кілька штук, але вам потрібен саме той, який завантажує систему під 100%).
Рішення:
1) Спробуйте насамперед просто перезавантажити комп'ютер.
2) Якщо після перезавантаження цей процес продовжує вантажити систему, то клацніть правою клавішею по процесу і, у списку, виберете Завершити дерево процесів. Потім перезавантажте комп'ютер.
3) Якщо вам не допомогли перші два способи, зайдіть у папку Windowsі знайдіть там папку Prefetch(C:WINDOWSPrefetch). Видаліть цю папку ( видаліть саме папку Prefetch; НЕ видаліть випадково папку Windows!!!)
Далі слідуйте другому пункту (тобто видаліть дерево процесів svchost). Перезавантажте комп'ютер.
Скільки має бути всього процесівsvchost.exe у вкладці «Процеси»?
Кількість процесів з такою назвою залежить від того, скільки сервісів запущено через svchost. Кількість може залежати від версії Windows, властивостей комп'ютера тощо. А тому процесів з назвою «svchost.exe» може бути від 4 (абсолютний мінімум) до нескінченності. У мене на 4-ядерному комп'ютері з Windows 7 (з урахуванням сервісів, що запускаються) у вкладці «Процеси» коштує 12 svchost’ів.
Як визначити, який із них є вірусом?
Ви можете побачити на скріншоті вище, що в колонці «Користувач» поруч із кожним svchost'ом стоїть назва джерела, яке й запустив цей процес. У нормальному вигляді поруч із svchost'ами буде написано «system», або «network service», або «local service». Віруси ж запускають себе від імені "user" (може бути написано "користувач" або "адміністратор").
Що таке, взагалі, процесsvchost.exe?
Якщо говорити простою мовою, процес svchost – це прискорювач запуску та роботи сервісів і служб. Запускаються svchost’и через системний процес services.exe
Що буде, якщо я, натиснувши на «Завершити дерево процесів», випадково завершу системний процесsvchost, а чи не сам вірус?
Нічого страшного не станеться. Система видасть вам помилку та перезавантажить комп'ютер. Після перезавантаження все стане на свої місця.
Які віруси маскуються підsvchost.exe?
За даними Лабораторії Касперського під svchost.exe маскуються віруси: Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn, Net-Worm.Win32.Welchia.a
За непідтвердженими даними, деякі версії Trojan.Carberp теж маскуються під svchost.exe.
Як працюють ці віруси?
Ці віруси без вашого відома заходять на спеціальні сервери, звідки або завантажують ще щось небезпечне, або ж надсилають інформацію на сервер (а саме ваші паролі, логи і т.д.)
Процесsvchost.exe вантажить систему, але у графі «Користувач» написано «system». Що це таке?
Швидше за все це означає, що якась служба або сервіс посилено працює. Чекайте трохи, і цей процес перестане вантажити систему. Або не перестане... Є деякі віруси (наприклад: Conficker), які використовують справжні svchost'и, щоб псувати вашу систему. Це дуже небезпечні віруси, тому вам варто перевірити свій комп'ютер антивірусом (а краще кількома відразу). Наприклад, можна завантажити DrWeb CureIt – він знайде такі віруси та видалить.
Навіщо потрібно завершувати дерево процесів та видаляти папкуPrefetch?
Якщо ви завершите дерево процесів вашого, що гальмує систему, svchost'а, то комп'ютер в екстреному порядку перезавантажиться. А при запуску, коли вірус знову спробує запуститися, то антивірус (який у вас повинен бути встановлений в обов'язковому порядку) відразу ж виявить і видалить його. Хоча існує багато модифікацій. Наприклад, першоджерело такого вірусу може бути в папці Prefetch. Ця папка потрібна для прискорення роботи служб та сервісів. Її видалення не зашкодить вашому комп'ютеру.
Мені не допомогли ваші поради. Процесsvchost.exe продовжує вантажити систему.
Насамперед, перевірте комп'ютер антивірусом. А ще краще, перевірте комп'ютер декількома антивірусами.
Ще я можу порадити, почистити папку System Volume Information. Ця папка містить точки відновлення для вашого комп'ютера. Віруси прописують себе в цю папку, тому що система не дозволяє антивірусу видаляти що-небудь із цієї папки. Але це навряд чи вам знадобиться. Я ще не чув про такі модифікації вірусів, які б видавали себе за svchost.exe і знаходилися в папці System Volume Information.
Якщо ще виникнуть питання, то я з радістю на них відповім.
Останні поради розділу «Комп'ютери & Інтернет»:
Коментарі поради:
папку Prefetch видалив, і все стало ОК! дякую, система ІксПі
userOK, ти маєш рацію svchost.exe - один з головних процесів. Але є певний тип вірусу, що маскується під нього. Адже svchost – це просто назва. До того ж, завершення деревини процесів нічого не шкодить. Windows досить хороша система, і більшість системних файлів відновлює автоматично.
ти чому дітей вчиш??????????svchost.exe в сімействі операційних систем Microsoft Windows (2000, XP, Vista, Seven) - головний процес (Host process) для служб, що завантажуються з динамічних бібліотек. Використання єдиного процесу роботи кількох сервісів дозволяє істотно зменшити витрати оперативної пам'яті і процесорного часу.
Svchost – системний модуль Windows, який служить для запуску різних служб. У Диспетчері завдань будь-яке із запущених за допомогою цього модуля служб визначається як «svchost».
Але існує безліч вірусів, що маскуються під svchost, найпоширеніший з яких називається RAT. Недосвідченому користувачеві персонального комп'ютера буде досить складно розпізнати такий вірус у Диспетчері, як і виявити його у всій системі в цілому. Тому варто відзначити, що важливою ознакою наявності даного вірусу в системі може стати повідомлення, що інформує вас про помилку, яка пов'язана з svchost.exe і сповіщає користувача про те, що «пам'ять не може бути read». У цьому випадку необхідно вжити дій, які розкажуть, як видалити svchost. Інакше ваш комп'ютер буде підданий серйозному збою. Отже, давайте розглянемо поетапно, як нам позбавитися цього вірусу.
Як уберегтися від повторного зараження
Спочатку необхідно убезпечити свій комп'ютер від повторного зараження вірусом, встановивши на нього антивірусну програму.
Не варто цього лякатися, тому що цей спосіб дуже простий. Для початку, зайдіть у редактор реєстру і знайдіть там ключ HKEY_Sоftwаre_Micrоsоft\Windоws\CurrеntVеrsion\RunSеrvicеs "PowerManager"="%WinDir%svchost.exe", після чого видаліть його.
Svchost exe, як видалити, підкаже наступний крок. Для цього відкрийте модуль, призначений для керування службами Windows, знайдіть у списку PowerManager і, викликавши контекстне меню на цій службі, зупиніть її.
Завершуємо процес вірусної програми
Третім кроком буде завершення процесу вірусної програми.
Видаляючи файли вірусу, будьте обережні, щоб не видалити помилково «справжній» svchost, який знаходиться в папці %WINDIR%systеm32. Видаляти його не можна в жодному разі. Тому перед тим, як приступити до видалення, перевірте зайвий раз себе на помилку.
Svchost вірус, як видалити його остаточно, розповість наступний крок. Тепер потрібно з реєстру забрати автоматичний запуск цієї програми. Для цього запустіть редактор реєстру, знайдіть і видаліть у ньому "svchоst" = "%WinDir%svchost.exe". Потім знайдіть ключ і поміняйте його з %WINDIR%svchоst.cоm %1 %* на %1 %*.
Також заміни потребує ключ . Його значення має стати "Userinit"="%Sustеm%usеrinit.еxe".
Ну і останній ключ, що потребує змін, це: )
Віруси
