Svchost.exe - исполняемый файл, «напугавший» не одного пользователя. Хотя это слово можно было бы написать и без кавычек. Этот процесс своей полной, стопроцентной, загрузкой процессора компьютера действительно пугает.
За что отвечает этот процесс, почему происходит полная загрузка и как с этим бороться - тема сегодняшней статьи.

Svchost вирус или системный процесс?

Чтобы не тратить процессорное время и не нагружать оперативную память, разработчики назначили один процесс сразу для нескольких служб. Это решение разработчиков некоторые пользователи посчитали ошибочным, поскольку оно имеет целый ряд недостатков. И вот почему.

Важная информация! Svchost.exe постоянно используется злоумышленниками, которые создают трояны и вирусы, для того, чтобы замаскировать под этот процесс свои исполняемые файлы, наносящие, подчас, непоправимый вред операционной системе. То, что процесс запускает несколько служб сразу, на руку разработчикам вредоносных программ. И когда у пользователя возникают проблемы и подозрение на вирусы в системе, он запускает диспетчер, а там этих svchost.exe чуть ли не десяток. И как угадать, под каким из этих одинаковых процессов скрывается вредоносный файл?

Так как этот процесс является системным, разрешенным для запуска операционной системой, то и завершить его чревато нестабильной работой компьютера или критическими ошибками. Поэтому многие пользователи обращают внимание на другие файлы, надеясь найти вредоносные коды и программы в других местах ОС.

Важная информация! Процесс svchost.exe никогда не запускается от имени администратора (пользователя). Эту операцию запускают только системные сервисы, NETWORK и LOCAL SERVICE, а также SYSTEM через свои механизмы. Если операция запущена Run-разделом реестра - это стопроцентно вирусный исполняемый файл.

Способы решения проблемы с svchost.exe

Решение второеПроверьте вирусную активность в системе. Она проверяется самостоятельно либо запускается . Но самому проще проглядеть вирусы, а вот программа вряд ли ошибется. Но для надежности проверьте систему сначала в ручном режиме, а затем запустите антивирусную проверку специальной утилитой.

Найдите вкладку «Процессы».

Чтобы удобней было проверять, отсортируйте все процессы в зависимости от того, как они нагружают систему, или сколько потребляют оперативной памяти. Это можно сделать в столбцах «Память» и «ЦП».

Кликните на эти два столбца, система отсортирует процессы, и первыми будут идти те, что потребляют больше ресурсов. Вы увидели несколько файлов svchost.exe.

Теперь вы должны посмотреть, от чьего имени запущены исполняемые файлы. Если от системы (SYSTEM), NETWORK и LOCAL SERVICE, значит, это безопасные процессы, запущенные ОС.

А если вам интересно, от чьего имени (какой службой) запущен процесс svchost.exe, кликните на каждом из них и перейдите в отдельную вкладку.

Много ресурсов обычно потребляют «Вспомогательная служба IP» и та, что отвечает за автоматическое обновление программного обеспечения компьютера.

Отключите поочередно первую и вторую службу, но во втором случае вы не будете получать автоматические обновления для операционной системы, и все эти процессы придется запускать вручную.

С помощью вспомогательной службы IP поддерживается IPv6, не используемый массово, поэтому можете смело ее отключить. На работе операционной системы это не скажется.

Бывают случаи, когда вирус, замаскированный под svchost.exe, заражает саму антивирусную программу, установленную на операционной системе, и поэтому она его не распознает и выдает некорректные результаты проверки.

Чтобы сканирование на вирусную активность было успешным, пользуйтесь не установленными антивирусами, а бесплатными утилитами, которые предназначены специально для таких однократных проверок, например, от лаборатории Касперского. Чтобы запустить проверку, загруженную на компьютер программу, скопируйте на съемный носитель. Затем включите систему в безопасном режиме и проверьте с помощью утилиты.

Решение четвертоеМожно восстановить операционную систему из последней контрольной точки. Суть в том, что создается контрольная точка при полностью работоспособной операционной системе. А при возникновении проблем, систему можно откатить (восстановить), используя ране созданную контрольную точку. Компьютер загружается с рабочими параметрами, и операционная система работает в прежнем режиме.

Решение пятоеПапка Prefetch используется компьютером для того, чтобы запускать программы и ускорять операционную систему. В эту папку система сохраняет параметры прежних загрузок. Удалите все, что там сохранено. Prefetch можно найти в системном каталоге (папка Windows) операционной системы.

SVCHOST.EXE — один из важных процессов при работе ОС Windows. Попробуем разобраться, выполнение каких функций входит в его задачи.

SVCHOST.EXE есть возможность видеть в Диспетчере задач (для перехода нажмите Ctrl+Alt+Del или Ctrl+Shift+Esc) в разделе «Процессы» . Если вы не наблюдаете элементов с подобным наименованием, то нажмите «Отображать процессы всех пользователей» .

Для удобства отображения можно щелкнуть по наименованию поля «Имя образа» . Все данные в списке будут выстроены в алфавитном порядке. Процессов SVCHOST.EXE может функционировать очень много: от одного и теоретически до бесконечности. А практически количество действующих одновременно активных процессов ограничивается параметрами компьютера, в частности мощностью ЦП и величиной оперативной памяти.

Функции

Теперь очертим круг задач изучаемого процесса. Он ответственен за работу тех служб Windows, которые загружаются из dll-библиотек. Для них он является хост-процессом, то есть, главным процессом. Его одновременное функционирование для нескольких служб значительно экономит оперативную память и время на выполнение задач.

Мы уже выяснили, что процессов SVCHOST.EXE может функционировать много. Один активируется при старте ОС. Остальные экземпляры запускает services.exe, который является Диспетчером служб. Он формирует блоки из нескольких служб и запускает для каждого из них отдельный SVCHOST.EXE. В этом и заключается суть экономии: вместо того, чтобы запускался отдельный файл для каждой службы, активируется SVCHOST.EXE, который объединяет целую группу служб, тем самым снижая уровень нагрузки на ЦП и расход оперативной памяти ПК.

Размещение файла

Теперь давайте узнаем, где размещен файл SVCHOST.EXE.

Почему SVCHOST.EXE нагружает систему

Относительно часто юзеры встречаются с ситуацией, когда один из процессов SVCHOST.EXE нагружает систему. То есть, он использует очень большое количество оперативной памяти, а загрузка центрального процессора от деятельности данного элемента превышает 50%, иногда доходя почти до 100%, что делает работу на компьютере практически невозможной. У подобного явления могут быть такие основные причины:

• Подмена процесса вирусом;
• Большое количество одновременно запущенных ресурсоемких служб;
• Сбои в работе ОС;
• Проблемы с Центром обновления.

Подробно о путях решения указанных проблем описывается в отдельном материале.

SVCHOST.EXE – вирусный агент

Иногда SVCHOST.EXE в Диспетчере задач оказывается вирусным агентом, который, как уже сказано выше, грузит систему.

1. Главный признак вирусного процесса, который сразу должен обратить на себя внимание пользователя – это большое расходование им ресурсов системы, в частности большая загруженность ЦП (больше 50%) и оперативки. Чтобы определить, настоящий или фальшивый SVCHOST.EXE нагружает компьютер, активируем Диспетчер задач.

   Сначала обращаем внимание на поле «Пользователь» . В различных версиях ОС оно также может называться «Имя пользователя» или «User Name» . Соответствовать SVCHOST.EXE могут только следующие имена:

   • Network Service;
   • SYSTEM («система»);
   • Local Service.

   Если вы заметите имя, соответствующее изучаемому объекту, с любым иным наименованием юзера, например, с названием текущего профиля, то можете быть уверены, что имеете дело с вирусом.



2. Также стоит проверить место расположения файла. Как мы помним, в подавляющем большинстве случаев, за вычетом двух очень редких исключений, оно должно соответствовать адресу:

   C:\Windows\System32

   Если вы обнаружили, что процесс ссылается на директорию, отличную от тех трех, о которых шел разговор выше, то уверенно можно говорить о наличии вируса в системе. Особенно часто вирус пытается скрыться в папке «Windows» . Узнать расположение файлов можно при помощи Проводника тем способом, который был описан выше. Можете применить и другой вариант. Щелкните по наименованию элемента в Диспетчере задач правой кнопкой мышки. В меню выберите «Свойства» .

   

   Откроется окошко свойств, в котором во вкладке «Общие» находится параметр «Расположение» . Напротив него записан путь к файлу.



3. Также бывают ситуации, когда вирусный файл располагается в той же директории, где и подлинный, но имеет немного измененное наименование, например, «SVCHOST32.EXE». Бывают даже случаи, когда для того, чтобы обмануть пользователя, злоумышленники вместо латинской буквы «C» в троянский файл вставляют кириллическую «С» или вместо буквы «O» вставляют «0» («ноль»). Поэтому нужно обратить особое внимание на наименование процесса в Диспетчере задач или файла, его инициирующего, в Проводнике . Особенно это важно, если вы увидели, что данный объект потребляет слишком много системных ресурсов.



4. Если опасения подтвердились, и вы выяснили, что имеете дело с вирусом. То следует как можно быстрее его устранить. Прежде всего, нужно остановить процесс, так как все дальнейшие манипуляции будут затруднительны, если вообще возможны, из-за загруженности процессора. Чтобы сделать это, щелкните по вирусному процессу в Диспетчере задач правой кнопкой мыши. В списке выберите «Завершить процесс» .



5. Запускается небольшое окошко, где нужно подтвердить свои действия.



6. После этого, не делая перезагрузки, следует просканировать компьютер антивирусной программой. Лучше всего для этих целей использовать приложение , как наиболее хорошо зарекомендовавшее себя в борьбе с проблемой именно такого характера.



7. Если использование утилиты не помогло, то следует файл удалить вручную. Для этого после завершения процесса перемещаемся в директорию расположения объекта, щелкаем по нему правой кнопкой мыши и выбираем «Удалить» . Если нужно будет, то в диалоговых окнах подтверждаем намерение удалить элемент.

   

   Если вирус блокирует процедуру удаления, то перезагрузите компьютер и зайдите в систему в Безопасном режиме (Shift+F8 или F8 при загрузке). Выполните ликвидацию файла по указанному выше алгоритму.

Таким образом, мы выяснили, что SVCHOST.EXE является важным системным процессом Windows, который отвечает за взаимодействие со службами, тем самым снижая расход ресурсов системы. Но иногда данный процесс может оказаться вирусом. В этом случае, наоборот, он выжимает из системы все соки, что требует немедленной реакции пользователя по устранению вредоносного агента. Кроме того, бывают ситуации, когда из-за различных сбоев или отсутствия оптимизации, сам SVCHOST.EXE может быть источником проблем.

Svсhost – это системный процесс в семействах операционных систем Windows 2000, Windows XP, Windows Vista, Windows 8, Windows 10. Svсhost имеет важное значение для процессов совместного обслуживания, в то время, когда несколько сервисов может совместно пользоваться одним процессом для сокращения потребления ресурсов системы. Группировка сервисов в один процесс экономит ресурсы, и это соображение беспокоит разработчиков NT, так как создание процессов в Windows занимает все больше времени и потребляет больше оперативной памяти.

Если одна из служб вызывает необработанное исключение, весь процесс может завершиться сбоем. Кроме того, для конечных пользователей может оказаться сложнее идентифицировать сервисы компонентов. Проблемы с различными размещенными службами, особенно с Центром обновления Windows, сообщаются пользователями, что связано с Svchost.

Процесс Svchost был представлен в Windows 2000, хотя базовая поддержка сервисных процессов существовала со времен Windows NT 3.1.

Его исполняемый образ «%SystemRoot%»/»System32″/»Svchost.exe» или «%SystemRoot%»/»SysWOW64 «/»Svchost.exe» (для 32-разрядных служб, работающих в 64-разрядных системах) выполняется в нескольких экземплярах, каждый из которых размещает одну или несколько служб.

Службы, запущенные в Svchost, реализованы как динамически связанные библиотеки (DLL). Ключ реестра такой службы должен иметь значение с именем ServiceDll в разделе «Параметры», указывая на DLL-файл соответствующей службы. Их определение ImagePath имеет вид «%SystemRoot%»/»System32″/»Svchost.exe -k». Сервисы, совместно использующие один и тот же процесс Svchost, указывают один и тот же параметр, имеющий одну запись в базе данных SCM.

В первый раз, когда процесс Svchost запускается с определенным параметром, он ищет значение с тем же именем в ключе «HKLM»-«SOFTWARE»-«Microsoft»-«Windows NT «-«CurrentVersion»-«Svchost», которое оно интерпретирует как список имен служб. Затем он уведомляет SCM о всех сервисах, которые он размещает. SCM не запускает второй процесс Svchost для любой из полученных служб: вместо этого он просто отправляет команду «начать» соответствующему процессу Svchost, содержащему имя службы, которое должно быть запущено в его контексте.

Согласно презентации MS 2003, минимальный рабочий набор общей службы составляет приблизительно 150 КБ против 800 КБ для автономного процесса.

Service tags

Начиная с Windows Vista, внутренняя идентификация сервисов внутри общих процессов (включая svchost) достигается с помощью так называемых Service tags. Service tags для каждого потока хранится в SubProcessTag его блока среды потока (TEB). Service tag распространяется по всем потокам, которые затем запускают основной поток службы, за исключением потоков, созданных косвенно API-интерфейсами потоков Windows. Набор процедур управления Service tags в настоящее время является не документированным API, хотя он используется некоторыми утилитами Windows, такими как netstat, для отображения TCP-соединений, связанных с каждой службой. Некоторые сторонние инструменты, такие как ScTagQuery, также используют этот API.

Svchost.exe (netsvcs)

Netsvcs — подпроцесс, используемый svchost.exe

Netsvcs — это подпроцесс, используемый svchost.exe (netsvcs). Если и когда происходит утечка памяти, svchost.exe начинает сильно нагружать CPU. Эта проблема возникает из-за утечки дескриптора в службе Winmgmt после установки Windows Management Framework 3.0 на компьютере. Служба Winmgmt является службой инструментария управления Windows (WMI) в процессе svchost.exe, которая выполняется под учетной записью LocalSystem.

Идентификация и управление размещенными службами

Проводник Microsoft Sysinternals Process Explorer также предоставляет информацию о сервисах, выполняемых в процессах svchost.exe, когда пользователь наводит курсор на svchost.

Ни один из вышеперечисленных методов не позволяет пользователю определить, какая из многих служб, запущенных внутри svchost, является конкретным ресурсом, например, процессор, диск, сеть или память. Монитор ресурсов Windows учитывает большинство этих ресурсов, когда процесс детализирован. Тем не менее он учитывает использование процессора при детализации служб путем перехода на вкладку «ЦП». Список открытых TCP-соединений и открытых портов UDP можно получить с помощью «netstat -b».

Чтобы решить другие проблемы с сервисом, запущенным внутри svchost, служба (или службы, которые должны вызвать проблему) должна быть (все) перенастроена, чтобы каждый из них выполнялся внутри своего собственного экземпляра svchost. Например, «sc config foo type = own» перенастроит службу с именем «foo», чтобы запустить свой собственный svchost. Изменение типа «back to the general» выполняется с помощью аналогичной команды. Чтобы эти изменения конфигурации вступили в силу, необходимо перезапустить службу. Однако этот процесс отладки не является надежным. В некоторых случаях может произойти ошибка heisenbug, из-за чего проблема исчезает, когда служба работает отдельно.

Более сложным методом устранения неполадок является создание изолированной группы обслуживания.

Высокое потребление CPU и оперативной памяти процессом svchost. exe

Проблемы с высоким уровнем использования Svchost.exe, в большинстве случаев, происходят на компьютерах, зараженных вирусом или вредоносной программой. В остальных случаях проблемы с высокой степенью загрузки процессора или проблемы с Svchost.exe (netsvcs) могут быть вызваны Центром обновления Windows, полным файлом журнала событий или другими программами и службами, которые запускают множество процессов во время их выполнения.

Видео — Что делать, если svchost грузит процессор

Как решить проблему с Svchost.exe (netsvcs) с высоким потреблением памяти или CPU

Решение 1. Сканируйте компьютер на наличие вирусов

Многие вирусы или вредоносные программы могут вызвать проблемы с высокой загрузкой процессора и памяти svchost.exe. Поэтому перед тем, как продолжить устранение проблемы с загрузкой svchost.exe, используйте различные для сканирования и удаления вредоносных программ.

Решение 2. Найдите и отключите службу, которая вызывает проблему с высоким уровнем использования svchost

Svchost.exe — это процесс, который необходим нескольким службам или программам для их запуска. Таким образом, определите, какой сервис или программа выполняется в процессе svchost.exe, а также загружает ресурсы вашей системы и память вашей системы, а затем переходите к отключению или полному удалению этой программы (или службы).

Шаг 1. Нажмите клавиши «Ctrl+Alt+Del» одновременно, а затем откройте «Диспетчер задач».

Шаг 2. На вкладке «Процессы» установите флажок «Показывать процессы от всех пользователей».

Шаг 3. Щелкните правой кнопкой мыши на процесс svchost.exe с высоким уровнем использования и выберите «Перейти к службам».

Шаг 4. На вкладке «Службы» вы должны увидеть несколько выделенных служб, которые выполняются в процессе svchost.exe.

Шаг 5. Теперь пришло время выяснить, какой процесс забивает ресурсы ЦП. Для этого у вас есть два варианта:

Шаг 6. После того, как вы выяснили виновную службу или программу, перейдите в «Управление компьютером» («Панель управления» / «Система и безопасность» / «Администрирование»), чтобы отключить эту службу (или полностью удалить программу).

Чтобы отключить службу на вашем компьютере навсегда:

Решение 3. Пустой журнал просмотра событий

В некоторых случаях проблема использования svchost.exe с высокой загрузкой процессора (или большим потреблением памяти) связана с большими файлами журнала в средстве просмотра событий Windows. Итак, еще одно решение — очистить журнал Просмотр событий.

Для этого:

Решение 4. Устранение неполадок Windows Updates

На других компьютерах проблема с высокой степенью использования svchost.exe может возникнуть, если Windows ищет обновления (в фоновом режиме). Чтобы устранить проблемы с высокой загрузкой процессора во время «Центра обновления Windows», выполните следующие действия:

Шаг 1. Заставьте Windows заново создать пустую папку «Центр обновления Windows».

Папка «Центр обновления Windows» (обычно называемая папкой «SoftwareDistribution») – это место, где Windows хранит загруженные обновления. Если эта папка повреждена, вы столкнетесь с проблемами во время обновления Windows. Поэтому сначала попробуйте заставить Windows заново создать новую пустую папку «SoftwareDistribution».

Для этого:

1. Одновременно нажмите клавишу «Windows+R», чтобы открыть окно командной строки.
2. В поле ввода команды запуска введите: «services.msc» и нажмите «Enter».

   

3. Найдите службу «Windows Update», затем щелкните дважды левой кнопкой мыши по ней и выберите «Стоп».

   

   

4. Перейдите в папку «C:»/«Windows».

   

5. Удалите (или переименуйте) папку «SoftwareDistribution.old» в папку «SoftwareDistribution».

   

   

   Примечание! При повторном запуске в следующий раз, когда «Центр обновления Windows» проверяет наличие доступных обновлений, новая папка «SoftwareDistribution» будет автоматически создана Windows для хранения обновлений.

6. Перезагрузите компьютер и попробуйте проверить наличие обновлений.

Если проблема с высоким уровнем использования «svchost» сохраняется, перейдите к следующему шагу.

Шаг 2. Запустите средство устранения неполадок «Windows Update».

1. Загрузите средство устранения неполадок «Windows Update Microsoft» на компьютер.

   

2. Запустите средство устранения неполадок «Windows Update».

   

3. Выберите «Windows Update» в первом окне и нажмите «Далее».

   

4. Ожидайте пока закончится процесс обнаружения проблем.

   

5. Щелкаете на ссылку «Применить это исправления».

   

6. Позвольте программе исправить проблемы с «Центром обновления Windows», и перезагрузить компьютер.

   

7. Проверьте наличие обновлений еще раз, и, если проблема с высокой загрузкой svchost.exe сохраняется, переходите к следующему шагу.

Шаг 3. Установите последнюю версию агента обновления Windows

Шаг 4. Установите Microsoft Security Bulletin MS13-097.

Шаг 5. Исправьте поврежденные системные файлы с помощью средства готовности к обновлению системы (например, «Deployment Image Servicing and Management») — инструмент DISM).

Другие решения, которые можно применить в разных случаях, при которых проблема с высоким уровнем использования «svchost.exe» возникает при поиске обновлений.

Случай 1. Применяется при новой установке Windows 7 SP1.

Случай 2. Применяется на ноутбуке HP с Windows 7 SP1 Home.

Шаг 1. Установите обновление безопасности KB2993651 в соответствии с версией вашей ОС:

• обновление безопасности для Windows 7 для систем на базе x86 (KB2993651);
• обновление безопасности для Windows 7 для x64-систем (KB2993651);
• обновление безопасности для Windows 8.1 для систем на базе x86 (KB2993651);
• обновление безопасности для Windows 8.1 для x64-систем (KB2993651);

Шаг 2. Сбросьте Windows Update Components. Перезагрузите компьютер.

Случай 3.

Случай 4. Применимо к Windows 7 SP1 и Windows Server 2008 R2 SP1.

Загрузите и установите накопительный пакет обновления 3 (KB3161608) для Windows Update в соответствии с вашей версией ОС.

Примечание! Если установка зависает: перезагрузите компьютер, остановите службу Windows Update, а затем установите обновление.

Если после выполнения всех этих задач вы по-прежнему сталкиваетесь с проблемами с высокой загрузкой процессора или памяти, отключите Windows Update полностью или переустановите Windows на своем компьютере. Если вы используете Windows 8 или Windows 8.1, вы также можете обновить систему. Удачи!

Видео – Svchost грузит процессор. Решение проблемы

Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» - Win32.HLLP.Neshta (классификация Dr.Web).

Этот «самозванец» копирует себя в директорию Windows, заражает файлы с расширением «exe» и забирает системные ресурсы (оперативную память, интернет-трафик). Впрочем, он способен и на другие гадости. Известны случаи инфицирования, когда вирусный svchost загружает ОЗУ компьютера на 98-100% , отключает интернет-канал, нарушает функционирование локальной сети.

Файлы svсhost - добрые и злые, или кто есть кто

Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».

Истинный процесс

Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка - «ещё 29 вариантов»).

Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):

• SYSTEM;
• LOCAL SERVICE;
• NETWORK SERVICE.

Хакерская подделка

Может находиться в следующих директориях:

• C:\Windows
• C:\Мои документы
• C:\Program Files
• C:\Windows\System32\drivers
• C:\Program Files\Common Files
• C:\Program Files
• C:\Мои документы

Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.

Например:

• svch0st (цифра «ноль» вместо литеры «o»);
• svrhost (вместо «с» буква «r»);
• svhost (нет «с»).

Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.

Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).

Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.

Способ №1: очистка утилитой Comodo Cleaning Essentials

Cleaning Essentials - антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).

Где скачать и как установить?

1. Откройте в браузере comodo.com (официальный сайт производителя).

Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.

2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.

3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).

Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».

4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.

5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».

6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».

Как настроить и очистить ОС?

1. Выберите режим «Custom scan» (выборочное сканирование).

2. Подождите немного, пока утилита обновит свои сигнатурные базы.

3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).

4. Нажмите «Scan».

5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.

Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.

Вспомогательные утилиты

В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.

Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.

Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.

Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:

1. На вкладке «Система» откройте раздел «Процессы».
2. Проанализируйте все активированные процессы svchost:
   • кликните правой кнопкой по файлу;
   • выберите «Свойства»;
   • посмотрите его текущую директорию. Если она отличная от С:\Windows\system32\, вероятней всего, что исследуемый объект является вирусом.

В случае обнаружения зловреда:

1. Дополнительно просмотрите в его поле графу «Оценка» (safe - безопасный) и подпись.
2. Если эти свойства также не соответствуют характеристикам доверенного системного файла, снова активируйте контекстное меню (клик правой кнопкой). А затем последовательно запустите функции «Приостановить» и «Удалить».
3. Продолжайте проверку, возможно, вирус создал и запустил свои копии. От них тоже в обязательном порядке необходимо избавиться!

Способ №2: использование системных функций

Проверка автозагрузки

1. Кликните «Пуск».
2. Наберите в поисковой строке msconfig и нажмите «Enter».
3. В окне «Конфигурация системы» перейдите на вкладку «Автозагрузка».
4. Просмотрите команды (колонка «Команда»), запускающие элементы при запуске Windows, и их расположение (директории, ключи реестра в колонке «Расположение»):
   • Все директивы, содержащие svchost, отключите (уберите кликом галочку возле записи). Это 100% вирус. Системный процесс с одноимённым названием никогда не прописывается в автозагрузке.
   • Откройте директорию зловреда (указана в «Расположение») и удалите его. Для нейтрализации ключа в реестре используйте штатный редактор regedit: «Win + R» → regedit → Enter.

Анализ активных процессов

1. Нажмите «Ctrl + Alt + Del».
2. Кликните по вкладке «Процессы».
3. Проверьте свойства всех активных svchost (имя, расширение, размер, местоположение). При анализе ориентируйтесь на данные сервиса filecheck.ru и характеристики, приведенные в этой статье.

Кликните правой кнопкой по имени образа. В меню выберите «Свойства».

В случае обнаружения вируса:

• в свойствах объекта узнайте его расположение (скопируйте или запомните);
• нажмите «Завершить процесс»;
• перейдите в директорию зловреда и удалите его при помощи штатной функции (клик правой кнопкой → Удалить).

Если сложно определить: доверенный или вирус?

Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.

1. Откройте в браузере virustotal.com.
2. Нажмите «Выберите файл».
3. В проводнике Windows откройте директорию процесса, который необходимо проверить, выделите его кликом, а затем нажмите «Открыть».
4. Для запуска сканирования кликните «Проверить!». Файл загрузится из ПК на сервис и автоматически начнётся сканирование.
5. Ознакомьтесь с результатами проверки. Если большинство антивирусов детектируют объект как вирус, его необходимо удалить.

Любой человек, использующий в работе разные версии ОС Windows, неизменно сталкивается с наличием в системе непонятных служб, помеченных как хост-процесс для служб такое, мы сейчас и попробуем разобраться на примере трех основных процессов. Попутно будут даны рекомендации по устранению некоторых проблем.

Что такое хост-процесс?

Начнем с того, в самом широком понимании хост-процесс определяет специализированное промежуточное звено (платформу), отвечающее за взаимодействие компьютерной системы, «железа», программ и их компонентов с пользователем.

Сегодня существует очень много таких процессов, зачастую скрытых от глаз юзера. Для корректной работы какого-либо и используется определенный хост-процесс для служб Windows. Что это может быть в «операционке»? Это средство запуска программ и приложений, как вызываемых пользователем вручную, так и тех, которые стандартным способом запустить невозможно, или для их запуска необходимо включать дополнительные компоненты.

Не углубляясь в дебри принципов работы все системных процессов, рассмотрим три наиболее известных и чаще всего используемых. Это службы Svchost, Rundll32 и Taskhost. Кстати, именно с ними возникает множество проблем, связанных с непомерно большой нагрузкой на центральный процессор и оперативную память.

Служба Svchost.exe

Она представляет собой основной системный хост-процесс для служб Windows. Что это такое, давайте и посмотрим.

Раньше, скажем, еще в версиях Windows XP эта служба отвечала исключительно за сетевые подключения, но со временем трансформировалась в единый процесс, за счет которого запускаются дополнительные компоненты самой «операционки» или пользовательские приложения, за счет чего, по идее, должно снижаться потребление ресурсов процессора и «оперативки». Иными словам одна служба отвечает за одновременный запуск нескольких программ или их компонентов.

После загрузки системы в «дереве процессов» таких служб имеется минимум четыре. Как-только в пользовательском сеансе запускается какая-либо программа еще, она тут же появляется в «Диспетчере задач» в виде активного приложения, а в дереве процессов - в виде данной службы, но с пометкой в описании, что запущен именно пользовательский процесс. Естественно, если возникают проблемы с системными ресурсами, ее можно завершить или отключить. В некоторых случаях это может быть вирус, тогда лучше использовать для проверки системы антивирусное ПО.

Хост-процесс Windows Rundll32.exe

Rundll32 тоже является системной службой, однако она отвечает исключительно за запуск программных компонентов, представленных в системе в виде 32-разрядных динамических компонентов (библиотек с расширением файлов.dll), которые обычным способом (как, например,

Такой процесс считывает находящийся в библиотеке исполняемый программный код и инициирует его запуск (уже по типу исполняемого файла).

Естественно, тут тоже наблюдаются сбои, возникающие чаще всего с повреждением самого файла Rundll32.exe или заражения его вирусами и вредоносными кодами. Исправить такую ситуацию можно с Windows, находящуюся на оригинальном инсталляционном диске, или опять же проверить систему на предмет наличия угроз.

Процесс Taskhost.exe

Теперь о службе Taskhost. И она тоже представляет собой хост-процесс для служб в более широком понимании? По сути, оказывается, что эта служба является как бы дублирующей к первым двум, но отвечает исключительно за запуск приложений и программ, отличающихся по типу исполняемого файла, но только с архитектурой 32 бита.

Если говорить проще, в той же 64-битной версии «операционки» Windows 7 запуск приложений или динамических библиотек (архитектура 32 бита) осуществляется с помощью процесса Taskhost. Как показывает практика, его можно безболезненно отключить, поскольку вызов приложений такого рода может осуществлять и вышеописанными службами. Что примечательно: такое отключение на работоспособности системы не повлияет, зато освободит часть используемых системных ресурсов.