Svchost exe как отключить навсегда. Как с помощью avz удалить svchost Svchost в папке roaming

Название угрозы

Имя исполняемого файла:

Тип угрозы:

Поражаемые ОС:

Trojan Svchost

hlhtxo.exe

Spyware/trojan

Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)



Метод заражения Trojan Svchost

Trojan Svchost копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла hlhtxo.exe . Потом он создаёт ключ автозагрузки в реестре с именем Trojan Svchost и значением hlhtxo.exe . Вы также можете найти его в списке процессов с именем hlhtxo.exe или Trojan Svchost .

Если у вас есть дополнительные вопросы касательно Trojan Svchost, пожалуйста, заполните и мы вскоре свяжемся с вами.


Скачать утилиту для удаления

Скачайте эту программу и удалите Trojan Svchost and hlhtxo.exe (закачка начнется автоматически):

* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Trojan Svchost в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

Функции

Программа способна защищать файлы и настройки от вредоносного кода.

Программа может исправить проблемы с браузером и защищает настройки браузера.

Удаление гарантированно - если не справился SpyHunter предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 входит в комплект поставки.


Скачайте утилиту для удаления Trojan Svchost от российской компании Security Stronghold

Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Trojan Svchost .. Утилита для удаления Trojan Svchost найдет и полностью удалит Trojan Svchost и все проблемы связанные с вирусом Trojan Svchost. Быстрая, легкая в использовании утилита для удаления Trojan Svchost защитит ваш компьютер от угрозы Trojan Svchost которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Trojan Svchost сканирует ваши жесткие диски и реестр и удаляет любое проявление Trojan Svchost. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Trojan Svchost. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Trojan Svchost и hlhtxo.exe (закачка начнется автоматически):

Функции

Удаляет все файлы, созданные Trojan Svchost.

Удаляет все записи реестра, созданные Trojan Svchost.

Программа может исправить проблемы с браузером.

Иммунизирует систему.

Удаление гарантированно - если Утилита не справилась предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

Наша служба поддержки готова решить вашу проблему с Trojan Svchost и удалить Trojan Svchost прямо сейчас!

Оставьте подробное описание вашей проблемы с Trojan Svchost в разделе . Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Trojan Svchost. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Trojan Svchost.

Как удалить Trojan Svchost вручную

Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Trojan Svchost, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Trojan Svchost .

Чтобы избавиться от Trojan Svchost , вам необходимо:

1. Завершить следующие процессы и удалить соответствующие файлы:

Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать для безопасного решения проблемы.

2. Удалите следующие папки:

3. Удалите следующие ключи и\или значения ключей реестра:

Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать для безопасного решения проблемы.

4. Сбросить настройки браузеров

Trojan Svchost иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию "Сбросить настройки браузеров" в "Инструментах" в программе для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Trojan Svchost. Для сброса настроек браузеров вручную используйте данную инструкцию:

Для Internet Explorer

    Если вы используете Windows XP, кликните Пуск , и Открыть . Введите следующее в поле Открыть без кавычек и нажмите Enter : "inetcpl.cpl".

    Если вы используете Windows 7 или Windows Vista, кликните Пуск . Введите следующее в поле Искать без кавычек и нажмите Enter : "inetcpl.cpl".

    Выберите вкладку Дополнительно

    Под Сброс параметров браузера Internet Explorer , кликните Сброс . И нажмите Сброс ещё раз в открывшемся окне.

    Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.

    После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.

Предупреждение: Сбросить настройки браузеров в Инструменты

Для Google Chrome

    Найдите папку установки Google Chrome по адресу: C:\Users\"имя пользователя"\AppData\Local\Google\Chrome\Application\User Data .

    В папке User Data , найдите файл Default и переименуйте его в DefaultBackup .

    Запустите Google Chrome и будет создан новый файл Default .

    Настройки Google Chrome сброшены

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Mozilla Firefox

    Откройте Firefox

    В меню выберите Помощь > Информация для решения проблем .

    Кликните кнопку Сбросить Firefox .

    После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить .

Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Работа операционной системы Windows – сложный процесс, который возможен только при грамотном функционировании всех программных компонентов. Не менее сложно работает MacOS, но в ней пользователи не обладают возможностью следить за системными процессами. В Windows посмотреть все исполняемые файлы можно в «Диспетчере задач», и неопытных пользователей некоторые из них могут напугать. Ярким примером файла, который вызывает тревогу, является svchost.exe. Довольно часто в Windows svchost.exe грузит память или процессор, и возникает ощущение, что он является вирусом. Действительно ли это так? Давайте разбираться.

Svchost.exe: что это за процесс, какие у него функции и зачем нужен?

Распространенное мнение, что svchost.exe – это вирус имеет под собою основание, но на деле, чаще всего, никакой угрозы в себе данный процесс не несет. Если разбираться в функциональных обязанностях, возложенных на данный файл, он необходим чтобы подключать динамические библиотеки DLL для программ и служб, которые не могут без них работать. Каждая программа использует свой собственный файл svchost, который может быть расположен в различных папках операционной системы Windows.

Чаще всего файл svchost.exe можно найти по следующим адресам:

  • C:\WINDOWS\system32
  • C:\WINDOWS\Prefetch
  • С:\WINDOWS\winsxs\ amd64_microsoft-window
  • C:\WINDOWS\ServicePackFiles\i386

Если файл svchost.exe расположен в других папках – это повод забить тревогу, но далеко не показатель того, что он является вирусом. Действует данное правило и в обратном направлении, если svchost.exe даже и находится в одной из указанных выше папок, он вполне может оказаться вирусным программным обеспечением.

Определить в какой папке располагаются активные в данный момент процессы svchost.exe очень просто. Для этого выполните следующие действия:


В операционных системах Windows 8 и Windows 10 имеется возможность посмотреть через «Диспетчер задач» список служб, которые используют процесс svchost.exe. Сделать это просто - необходимо нажать на подозрительный процесс правой кнопкой и выбрать пункт «Перейти к службам». Стоит отметить, что названия многих служб навряд ли о чем-то смогут рассказать рядовому пользователю компьютера.

Процесс svchost.exe может не являться вирусом, и если он грузит систему, то здесь следует рассматривать 2 сценария:

  • Компьютер заражен вирусом, который рассылает спам, добывает криптовалюту для своих создателей или передает другие данные злоумышленникам;
  • Из-за невнимательности пользователь не замечает, что вредоносный процесс лишь скрывается под личиной системной библиотеки svchost.exe, на самом деле таковой не являясь.

Если компьютер заражен вирусом, и из-за этого процесс svchost.exe грузит Windows 10 или более раннюю версию операционной системы, то следует проверить компьютер популярными антивирусами. Обязательно установите Firewall, который позволит обеспечить сетевую безопасность компьютера.

Во втором случае следует распознать зловредный файл svchost.exe, который таковым не является, а после его удалить.

Как отличить svchost.exe вирус от системного файла

Если процесс svchost.exe грузит память или центральный процессор, то следует удостовериться в достоверности файла, на который он ссылается. Для этого внимательно проверьте имя исполняемого процесса. Ниже мы приведем несколько уловок злоумышленников, которые подменяют процесс svchost.exe на другой, но близкий по названию. Чаще всего применяются следующие схемы, чтобы замаскировать вирус:

Выше перечислены лишь самые распространенные варианты замаскировать вирус, но могут быть и другие. Внимательно посмотрите, чтобы процесс назывался svchost.exe и все буквы были прописаны латиницей.

В случае если вы нашли процесс, который маскируется под svchost.exe, но таковым не является, его следует удалить. Сделать это довольно просто, если использовать программу AVZ.

Как удалить svchost.exe с помощью программы AVZ

Известная антивирусная утилита AVZ способна обнаруживать и удалять нежелательные программы, в том числе и вирусные. Она распространяется бесплатно и обладает множеством полезных функций. Плюс программы AVZ в том, что ее не надо устанавливать на системный диск. AVZ можно запустить с флешки, внешнего жесткого диска или прямо из скачанного архива.

Чтобы удалить файл svchost.exe с использованием утилиты AVZ, необходимо выполнить следующие действия:


begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile("путь к вирусу ",""); DeleteFile("путь к вирусу "); BC_ImportAll; ExecuteSysClean; ExecuteWizard("TSW",2,3,true); BC_Activate; RebootWindows(true); end.

Вместо выделенных красным слов «Путь к вирусу» необходимо прописать местоположение вирусного процесса svchost. Выше мы уже рассказывали как определить где находится вирусный файл, который маскируется под svchost.exe. Копируем путь к нему (или прописываем вручную) и вставляем вместо выделенным красным слов. Внимание: Кавычки из скрипта удалять нельзя – только буквы выделенные красным.


После успешного удаления файла, который выдавал себя за svchost.exe, настоятельно рекомендуем проверить компьютер на наличие вирусов. Велика вероятность, что одна из программ генерирует новые файлы, которые автоматически запускаются в процессах и выдают себя за svchost.exe.

Проблема с «виснущим» компьютером наверняка знакома всем без исключения. Как правило, обвиняют в этом вирусы, некачественно написанные программы, а также банальный перегрев. Время от времени виновным является svchost.exe. Что это за процесс такой, и почему так происходит? Давайте попробуем разобраться!

Вирус или нет?

Во-первых, многие сразу поддаются панике. Увидев svchost в «Диспетчере задач», они сразу предполагают, что на компьютер пробрался коварный вирус. Сразу устанавливается новейший антивирус (а лучше два), после чего компьютер проверяется по несколько раз. Если пользователь был столь ретив, что установил сразу два-три защитных приложения, то система гарантированно падает.

Сразу предупреждаем: это не вирус, а потому не кидайтесь удалять svchost.exe! Что это за процесс тогда?

Общие сведения о приложении

Так называется очень важный компонент, ответственный за запуск динамических библиотек системы (DLL). Соответственно, от него зависит как Explorer (Проводник) самой Windows, так и не одна тысяча сторонних приложений. Особенно это относится к играм, которые активно используют эти библиотеки посредством DirectX.

Располагается он по такому адресу: %SystemRoot%\System32. Считывая записи реестра при каждой загрузке, приложение формирует список тех служб, которые должны быть запущены. Следует отметить, что единовременно может быть запущено несколько копий svchost.exe (что это за процесс, вы уже знаете). Важно то, что каждый процесса вполне может содержать свою группу служб. Сделано это для максимального комфорта контролирования работы системы, а также для упрощения отладки в случае наличия каких-то проблем.

Все группы, которые на данный момент входят в состав данного процесса, можно отыскать в следующих разделах реестра:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost;
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Служба.

Все параметры, которые имеются в этих разделах, видны в качестве отдельных экземпляров svchost.exe (что это такое, мы уже рассказали).

В каждом разделе реестра, который к ним относится, есть параметр вида: REG_MULTI_SZ. В нем есть наименования всех служб, имеющихся в составе конкретной Svchost-группы. В каждой из них содержится по имени одной или более служб, в описании которых имеется ключ ServiceDLL.

Вот что за файл svchost.exe.

Как проверить процессы, связанные с Svchost?

Чтобы посмотреть все службы, которые в данный момент связаны с этим процессом, необходимо сделать несколько простых вещей.

  • Нажмите на «Пуск», после чего найдите в этом меню команду «Выполнить».
  • Введите туда после чего нажмите на ENTER.
  • После этого копируйте и вставьте в открывшемся эмуляторе командной строки следующее выражение: Tasklist /SVC. Снова воспользуйтесь клавишей ENTER.
  • В виде списка будет выведен перечень всех процессов. Внимание! Обязательно вводите ключевой параметр /SVC, так как он выводит именно активные службы. Чтобы получить расширенные сведения о конкретной службе, воспользуйтесь следующей командой: Tasklist /FI «PID eq идентификатор_процесса» (вместе с кавычками).

Если возникли проблемы

Очень часто случается так, что после введения команд компьютер выводит нечто невразумительное, вроде: «Команда не может быть распознана». Не торопитесь вводить ее заново.

Как правило, такое происходит по причине того, что вы работаете из-под учетной записи, права которой попросту недостаточны для выполнения такого рода действий. Не имеет значения, администраторский у вас аккаунт или нет. Чтобы исправить ситуацию, эмулятор режима командной строки следует запускать несколько другим способом.

Для этого нужно нажать на кнопку «Пуск», после чего в поле «Поиск» ввести CMD. В правой части меню откроется список с найденными файлами. Щелкаем на первом из них (с соответствующим именем) правой клавишей мыши, после чего выбираем пункт «Запуск от имени администратора» в появившемся контекстном меню.

Вот мы и дали вам основные сведения. Сейчас же давайте разберемся с теми вредоносными программами, которые могут маскироваться под безобидное системное приложение.

Как отделить зерна от плевел?

Внимательно посмотрите на имя процесса: оно должно писаться как sVChost! Очень распространены некоторые трояны, которые маскируются под sVHost. Если вы видите что-то подобное в своем «диспетчере задач», то в этом случае и в самом деле пора полностью сканировать систему на предмет наличия вредоносных приложений.

Особенно «продвинутые» вирусы и трояны все же могут мастерски маскироваться, имея точно такое же имя, какое есть у истинного процесса. Но даже их можно со 100% вероятностью отличить, обращая внимание на самые характерные признаки. Давайте их разберем.

Во-первых, настоящий системный процесс никогда (!) не запускается от имени обычного пользователя. Его старт может быть инициирован SYSTEM, LOCAL SERVICE, а также NETWORK SERVICE. Куда важнее то, то он не запускается (!) при старте системы средствами автозагрузки. Соответственно, в перечне программ, которые стартуют одновременно с системой, ни в коем случае не должно быть svchost.exe. Что это за процесс в этом случае?

Если вы увидите что-то подобное, то причина одна - вирус.

Проверяем автозагрузку

Не знаете, как это сделать? Все очень просто! Сначала нажимаете на кнопку «Пуск», щелкаете левой клавишей мыши на поле «Выполнить». Затем вписываете туда команду MSConfig. Откроется список всех запускаемых при старте приложений, который нужно внимательно просмотреть.

Если там имеется много процессов svchost.exe (или даже один), то вам однозначно придется думать, как вывести со своего компьютера.

Что делать при обнаружении «шпиона»?

Как мы уже и говорили, в этом случае разумнее всего просканировать ОС мощной антивирусной программой. Но перед этим не помешает выполнить ряд простых действий, при помощи которых можно окончательно заблокировать вирусу всякую возможность навредить вам. Вообще, svchost.exe-вирус в последние годы широко распространился по Рунету. Как правило, под личиной обычного системного процесса действуют вредоносные программы, специализирующиеся на краже личных данных пользователей.

Во-первых, в строке «Месторасположение файла» найдите, в какой конкретно папке расположен файл вируса. Выделив его в списке левой клавишей мыши, нажмите на кнопку «Отключить». Кликаете по «ОК», после чего переходите в каталог с искомым файлом и удаляете его. Все. Можно сканировать антивирусом.

Процесс сильно грузит процессор. Из-за чего так происходит и что делать?

Вот мы и вернулись к началу нашей статьи. Помните, что иногда из-за svchost.exe (что это за процесс такой, мы уже подробно объяснили) компьютер начинает сильно тормозить и «висеть»? Из-за чего это происходит? И как можно побороть это явление, не переустанавливая систему?

Простейший способ

Есть достаточно простая и действенная рекомендация, которая помогает во многих случаях. Открываете «Диспетчер задач», ищете там процесс svchost, после чего щелкаете по нему правой клавишей мыши и выбираете «Приоритет/низкий». Следует отметить, что так необходимо сделать с каждым одноименным процессом, которые есть в «Диспетчере задач».

Еще раз напоминаем: если вы видите файл svchost.exe (что это такое, вы уже знаете), ни в коем случае не торопитесь его удалять, подозревая в нем вирус!

Служба Windows Update

Нередко на Windows ХР проблема с почти 100%-й и svchost вызвана тем, что служба обновлений некорректно работает. На некоторых компьютерных ресурсах этому явлению нашли объяснение.

Дело в некорректном механизме проверки обновлений. Учитывая количество вышедших для этой системы исправлений, небольшая ошибка в распределении памяти превратилась в серьезную проблему: компьютер не только медленно работает, но и вполне можете искать «заплатки» сутками, попеременно зависая при этом.

Как отключить проблемную службу?

Чтобы временно отключить Windows Update, следует зайти в «Панель управления», отыскать там пункт «Система и безопасность». Именно там и находится искомый «Центр обновления Windows», в котором нас интересует пункт «Включение и отключение автоматического обновления». Ставим флажок напротив пункта «Не проверять наличие обновлений». Нажимаем на ОК и перезагружаем машину.

Если после этого все хорошо, и процессор не находится в «убитом» состоянии большую часть времени, то виновником всех проблем и впрямь была служба обновления. В том случае, когда проблема продолжает наблюдаться и после этого, возвращаем Windows Update в исходное состояние, после чего продолжаем искать виновника всех несчастий.

Обозреватель Интернета

Впрочем, не торопитесь. Во многих случаях виноват бывает Internet Explorer. Помните, как в самом начале статьи мы обсуждали важность svchost для «Проводника»? А ведь «Обозреватель Интернета» является важной составной частью файлового менеджера ОС семейства Windows.

Проблемы с ним очень часто начинаются в том случае, когда версия IE сильно устаревает. К примеру, в самой Microsoft уже очень давно не рекомендовали использовать Windows ХР с шестой версией Internet Explorer.

Соответственно, в этом случае достаточно просто. Воспользуйтесь упомянутой выше службой Windows Update. Скачайте и установите все последние обновления для вашей версии операционной системы, установите новую версию IE. Возможно, что эта мера вам поможет.

Игры

Пронаблюдайте, после попытки запуска каких приложений процессор перегружается. Кроме того, вас должны настораживать сообщения «svchost.exe ошибка приложения», которые являются практически 100% показателем того, что в неадекватном поведении системы виновато какое-то стороннее приложение.

Чаще всего этой программой бывает игра, скачанная ее счастливым владельцем с какого-то «левого» сайта. Те, кто вносил модификации в программный код, убирая из него защиту, редко тестируют свое творение на полную совместимость с некоторыми системами, их DLL-библиотеками и прочим. Так что удивляться в этом случае нечему.

«Летучая мышь»

В редких случаях с такой проблемой сталкиваются владельцы почтовой программы The Bat старых версий, которыми по тем или иным причинам продолжают пользоваться немало людей. Попробуйте удалить приложение. После этого поставьте самую новую версию утилиты, после чего снова посмотрите на поведение компьютера.

Драйверы

Очень часто при переносе системы на другой диск после каких-то серьезных ошибок в файловой системе, а также после вирусной атаки, пользователи сталкиваются с ОС, которая полностью зависла из-за svchost. exe. «Как удалить этот зловредный процесс?» - думают начинающие пользователи.

Еще раз предупредим: удаление данного файла приведет к тяжелейшим последствиям и полной неработоспособности системы, так что перед крайними мерами лучше прочтите наш очередной совет.

Имеются сведения, что процесс svchost.exe, ошибка которого портит столько нервов пользователям, может некорректно работать из-за неправильно установленных или «кривых» драйверов. Очень часто оказывается, что причиной являются программы для видеокарт и звуковых плат. Драйверы для них сложны и непредсказуемы, так что при возможности удалите их, а после этого установите самые свежие (или самые стабильные) версии.

Защитник Windows

Владельцам Windows Vista/7 следует обратить внимание на программу «Защитник Windows», входящую в стандартный комплект поставки данных операционных систем. Она служит для предотвращения попадания в систему вредоносных программ, но порой и сама ведет себя ничуть не лучше.

Проблемы возникают, если установленное стороннее противовирусное программное обеспечение из-за чего-то не деактивирует «Защитника». Особенно это справедливо для всех продуктов Eset Nod, которые в недавнем прошлом были чрезвычайно популярными у многих отечественных пользователей.

Чтобы исправить возникшую ситуацию, нажмите на кнопку «Пуск», перейдите в «Панель управления», после чего в ней отыщите «Защитника». В его главном окне есть пункт «Запускать проверку в состоянии простоя». Снимите флажок с него, нажмите ОК. В некоторых случаях эта мера оказывается полезной.

Надеемся, вы узнали, что за программа svchost.exe. Мы подробно рассказали о ее предназначении, а также о методах устранения проблем с ней. Как правило, приведенные нами способы устранения неполадок работают. От вас требуется только точное следование выложенным в статье инструкциям.

Кроме того, не помешает вовремя обновлять систему.

Svchost.exe – это название системного процесса, под который маскируется целый ряд вирусов. В результате появления этого вредоносного ПО может пропасть подключение к интернету или произойти серьезный системный сбой. Поэтому важно знать,как удалить svchost exe, прежде чем компьютер перестанет работать.

Выявление

Обнаружить вирус svchost.exe на компьютере достаточно трудно. Проблема заключается в том, что svchost – это системный модуль Windows, с помощью которого запускаются службы. Отключение этих служб может привести к появлению ошибок и некорректной работе системы.

Различные же вирусы лишь присваивают себе это имя, скрываясь среди действительно полезных процессов в «Диспетчере задач».

Внимание! Факт наличия в «Диспетчере задач» процесса svchost.exe не говорит о заражении компьютера вирусом! Такие процессы должны быть запущены, так как без них не может корректно работать система!

Но как среди действующих процессов выявить вредоносный, если имя у них у всех одинаковое? Необходимо обратиться к полю «Имя пользователя», где указано, кто является инициатором запуска процесса.

Системные модули запускаются от имени «System», «Local Service» или «Network Service». Если вы видите, что процесс svchost.exe запущен от имени пользователя, знайте – перед вами вирус, действующий под прикрытием.

Удаление

К сожалению, вирус, маскирующийся под системный модуль, полностью удалить можно лишь двумя способами: полной переустановкой системы или очищением реестра.

Программы, позволяющие удалить вирус url mal, здесь не помогут. Не справится с задачей подобного рода и SpyHunter – утилита, с помощью, которой можно удалить ads by offerswizard.

Про переустановку отдельно рассказывать нет смысла: это крайняя мера, когда другие способы уже испробованы и признаны недействующими.

Лучше сразу переходить к чистке реестра, но сначала можно попробовать установить более мощный антивирусный пакет или использовать лечащую утилиту Dr.Web CureIt, которая помогает удалить trovi com и справиться с другими подобными вирусными приложениями.

Отлично, если есть возможность сделать и то, и другое – проверить систему с помощью антивируса с обновленными сигнатурами, а затем запустить Dr.Web CureIt и с её помощью просканировать жесткий диск повторно.

Не забудьте также проверить список автозагрузки Windows.

Нажмите Win+R, введите команду «msconfig» и перейдите на вкладку «Автозагрузка». Проверьте, чтобы в списке элементов автозагрузки не было svchost exe. При обнаружении вируса, снимите с него галочку, а затем удалите из списка.

Если указанные действия не помогли, переходите к чистке реестра.

Работа с реестром

Откройте системный реестр с помощью команды «regedit». Здесь придется изменить и удалить целый ряд записей, поэтому запаситесь терпением.

Перейдите последовательно HKEY_Local Machine → Sоftwаre → Micrоsоft → Windоws → CurrеntVеrsion → Run. Найдите ключ «PowerManager”=”%WinDir%svchost.exe» и удалите его.

Теперь необходимо удалить другие записи, относящиеся к вирусу. Перейдите по адресу HKLM→Software→Microsoft→Windows NT→CurrentVersion→WinLogon. Найдите ключ «Userinit» и проверьте его значение. Приведите его к виду «C:\Windows\system32\userinit.exe,». Для этого нажмите на ключ правой кнопкой и выберите пункт «Изменить».

Воспользуйтесь функцией поиска (Ctrl+F) и найдите другие записи со значением «svchost». Удалите их все.

Как видите, с реестровыми записями придется немного помучиться. Поэтому если есть возможность – переустановите систему или попробуйте откатить её прежнего состояния с помощью контрольной точки восстановления.

Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» - Win32.HLLP.Neshta (классификация Dr.Web).

Этот «самозванец» копирует себя в директорию Windows, заражает файлы с расширением «exe» и забирает системные ресурсы (оперативную память, интернет-трафик). Впрочем, он способен и на другие гадости. Известны случаи инфицирования, когда вирусный svchost загружает ОЗУ компьютера на 98-100% , отключает интернет-канал, нарушает функционирование локальной сети.

Файлы svсhost - добрые и злые, или кто есть кто

Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».

Истинный процесс

Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка - «ещё 29 вариантов»).

Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):

  • SYSTEM;
  • LOCAL SERVICE;
  • NETWORK SERVICE.

Хакерская подделка

Может находиться в следующих директориях:

  • C:\Windows
  • C:\Мои документы
  • C:\Program Files
  • C:\Windows\System32\drivers
  • C:\Program Files\Common Files
  • C:\Program Files
  • C:\Мои документы

Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.

Например:

  • svch0st (цифра «ноль» вместо литеры «o»);
  • svrhost (вместо «с» буква «r»);
  • svhost (нет «с»).

Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.

Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).

Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.

Способ №1: очистка утилитой Comodo Cleaning Essentials

Cleaning Essentials - антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).

Где скачать и как установить?

1. Откройте в браузере comodo.com (официальный сайт производителя).

Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.

2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.

3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).

Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».

4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.

5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».

6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».

Как настроить и очистить ОС?

1. Выберите режим «Custom scan» (выборочное сканирование).

2. Подождите немного, пока утилита обновит свои сигнатурные базы.

3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).

4. Нажмите «Scan».

5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.

Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.

Вспомогательные утилиты

В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.

Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.

Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.

Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:

  1. На вкладке «Система» откройте раздел «Процессы».
  2. Проанализируйте все активированные процессы svchost:
    • кликните правой кнопкой по файлу;
    • выберите «Свойства»;
    • посмотрите его текущую директорию. Если она отличная от С:\Windows\system32\, вероятней всего, что исследуемый объект является вирусом.

В случае обнаружения зловреда:

  1. Дополнительно просмотрите в его поле графу «Оценка» (safe - безопасный) и подпись.
  2. Если эти свойства также не соответствуют характеристикам доверенного системного файла, снова активируйте контекстное меню (клик правой кнопкой). А затем последовательно запустите функции «Приостановить» и «Удалить».
  3. Продолжайте проверку, возможно, вирус создал и запустил свои копии. От них тоже в обязательном порядке необходимо избавиться!

Способ №2: использование системных функций

Проверка автозагрузки

  1. Кликните «Пуск».
  2. Наберите в поисковой строке msconfig и нажмите «Enter».
  3. В окне «Конфигурация системы» перейдите на вкладку «Автозагрузка».
  4. Просмотрите команды (колонка «Команда»), запускающие элементы при запуске Windows, и их расположение (директории, ключи реестра в колонке «Расположение»):
    • Все директивы, содержащие svchost, отключите (уберите кликом галочку возле записи). Это 100% вирус. Системный процесс с одноимённым названием никогда не прописывается в автозагрузке.
    • Откройте директорию зловреда (указана в «Расположение») и удалите его. Для нейтрализации ключа в реестре используйте штатный редактор regedit: «Win + R» → regedit → Enter.

Анализ активных процессов

  1. Нажмите «Ctrl + Alt + Del».
  2. Кликните по вкладке «Процессы».
  3. Проверьте свойства всех активных svchost (имя, расширение, размер, местоположение). При анализе ориентируйтесь на данные сервиса filecheck.ru и характеристики, приведенные в этой статье.

Кликните правой кнопкой по имени образа. В меню выберите «Свойства».

В случае обнаружения вируса:

  • в свойствах объекта узнайте его расположение (скопируйте или запомните);
  • нажмите «Завершить процесс»;
  • перейдите в директорию зловреда и удалите его при помощи штатной функции (клик правой кнопкой → Удалить).

Если сложно определить: доверенный или вирус?

Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.

  1. Откройте в браузере virustotal.com.
  2. Нажмите «Выберите файл».
  3. В проводнике Windows откройте директорию процесса, который необходимо проверить, выделите его кликом, а затем нажмите «Открыть».
  4. Для запуска сканирования кликните «Проверить!». Файл загрузится из ПК на сервис и автоматически начнётся сканирование.
  5. Ознакомьтесь с результатами проверки. Если большинство антивирусов детектируют объект как вирус, его необходимо удалить.