Ako odstrániť vírus svchost.exe

Systémový súbor svchost sa často stáva terčom útokov hackerov. Spisovatelia vírusov navyše maskujú svoj malware ako „vzhľad“ softvéru. Jedným z najvýznamnejších predstaviteľov vírusov s falošným svchostom je Win32.HLLP.Neshta (klasifikácia Dr.Web).

Tento „podvodník“ sa skopíruje do adresára Windows, infikuje súbory s príponou „exe“ a odstraňuje systémové prostriedky (RAM, internetový prenos). Je však schopný ďalších škaredých vecí. Existujú známe prípady infekcie, keď vírusový svchost načíta RAM počítača o 98 - 100%, zakáže internetový kanál, naruší fungovanie lokálnej siete.

Ako odstrániť svchost.exe, ktorý útočník „vrazil“ do systému? Existujú prinajmenšom dva spôsoby, ako tento parazit zistiť a zničiť. Neváhajte! Začíname čistenie počítača.

Súbory svсhost sú dobré a zlé, alebo kto je kto

Celá náročnosť neutralizácie vírusov tohto typu spočíva v tom, že existuje riziko poškodenia /vymazania dôveryhodného súboru Windows s rovnakým názvom. A bez toho, OS nebude fungovať, bude musieť byť preinštalovaný. Preto sa pred začatím čistenia zoznámime so špeciálnymi vlastnosťami dôveryhodného súboru a „cudzincom“.

Skutočný proces

Spravuje systémové funkcie, ktoré sa spúšťajú z dynamických knižníc (.DLL): kontroluje a načítava ich. Počúva sieťové porty, prenáša údaje o nich. V skutočnosti ide o aplikáciu systému Windows. Nachádza sa v adresári C: → Windows → System 32. Vo verziách XP /7/8 v 76% prípadovmá veľkosť 20 992 bajtov. Existujú však aj iné možnosti. Viac informácií nájdete na informačnom prostriedku filecheck.ru/process/svchost.exe.html (odkaz - „ďalších 29 možností“).

Má nasledujúce digitálne podpisy (stĺpec „Používatelia“ v správcovi úloh):

  • SYSTÉM;
  • MIESTNA SLUŽBA;
  • SIEŤOVÁ SLUŽBA.

Falšovaný hacker

Môže byť v týchto adresároch:

  • C: \ Windows
  • C: \ Moje dokumenty
  • C: \ Program Files
  • C: \ Windows \ System32 \ drivers
  • C : \ Program Files \ Common Files
  • C: \ Program Files
  • C: \ Moje dokumenty

Hackeri okrem alternatívnych adresárov používajú na zamaskovanie vírusu takmer rovnaké názvy podobné systémovému procesu.

Napríklad:

  • svch0st (číslo „nula“ namiesto písmena „o“);
  • svrhost (namiesto písmena „c“ písmeno „r“);
  • svhost (nie „s“).

Existuje nespočetné množstvo „slobodného výkladu“ mena. Pri analýze existujúcich procesov je preto potrebné venovať zvýšenú pozornosť.

Pozor!Vírus môže mať odlišné rozšírenie (iné ako exe). Napríklad „com“ (vírus Neshta).

Takže s vedomím nepriateľa (vírus!) Tvárou v tvár môžete bezpečne pokračovať v jeho zničení.

Metóda č. 1: Čistenie pomocou obslužného programu Comodo Cleaning Essentials

Cleaning Essentials je antivírusový skener. Používa sa ako alternatívny nástroj na čistenie systému. Dodáva sa s dvoma pomocnými programami na zisťovanie a monitorovanie objektov Windows (súbory a kľúče registra).

Kde stiahnuť a ako nainštalovať?

1. Otvorte webový prehliadač comodo.com (oficiálna webová stránka výrobcu).

Rady!Sada na distribúciu nástrojov sa najlepšie sťahuje na „zdravom“ počítači (ak je to možné) a potom sa spúšťa z USB flash disku alebo CD.

2. Na hlavnej stránke umiestnite kurzor myši nad časť „Malé a stredné a veľké“. Stredná firma. “ V podponuke, ktoré sa otvorí, vyberte program Comodo Cleaning Essentials.

3. V bloku sťahovania v rozbaľovacej ponuke vyberte bitovú hĺbku vášho operačného systému (32 alebo 64 bitov).

Rady!Hĺbku bitov nájdete v ponuke systému: otvorte „Štart“ → zadajte do riadku „Systémové informácie“ → kliknite na pomôcku s rovnakým názvom v zozname „Programy“ → pozrite sa na riadok „Typ“.

4. Kliknite na tlačidlo „Bezplatne stiahnuť“. Počkajte na dokončenie sťahovania.

5. Rozbaľte stiahnutý archív: kliknite pravým tlačidlom myši na súbor → „Extrahovať všetko ...“.

6. Otvorte nevybalený priečinok a dvakrát kliknite ľavým tlačidlom myši na súbor „CCE“.

Ako nakonfigurovať a vyčistiť OS?

1. Vyberte režim „Vlastné skenovanie“.

2. Počkajte chvíľu, kým pomôcka aktualizuje svoje databázy podpisov.

3. V okne s nastaveniami skenovania začiarknite políčko oproti jednotke C. A povoľte aj kontrolu všetkých ďalších položiek („Pamäť“, „Kritické oblasti ...“ atď.).

4. Kliknite na tlačidlo „Skenovať“.

5. Po dokončení kontroly antivírusový program musí odstrániť vírus podvodníka a iné nebezpečné predmety, ktoré našiel.

Poznámka.Okrem Comodo Cleaning Essentials sa na liečbu PC môžu používať aj ďalšie podobné antivírusové programy. Napríklad Dr. Web CureIt!

Utility Utilities

Ako súčasť balíka na ošetrenieProgramy Čistenie Essentials zahŕňajú dva pomocné nástroje určené na monitorovanie systému v reálnom čase a manuálnu detekciu škodlivého softvéru. Môžu sa použiť, ak sa vírus pri automatickej kontrole nedá neutralizovať.

Pozor!Nástroje sa odporúčajú iba pre pokročilých používateľov.

Autorun Analyzer

Žiadosť o rýchlu a pohodlnú prácu s kľúčmi registra, súbormi, službami a službami. Autorun Analyzer určuje umiestnenie vybraného objektu, v prípade potreby ho môže odstrániť alebo skopírovať.

Ak chcete automaticky vyhľadávať súbory svchost.exe, v časti „Súbor“ vyberte možnosť „Nájsť“ a zadajte názov súboru. Analyzujte nájdené procesy, ktoré sa riadia vyššie uvedenými vlastnosťami (pozri „Falošný hacker“). Ak je to potrebné, odstráňte podozrivé objekty pomocou kontextovej ponuky pomôcky.

KillSwitch

Monitoruje prebiehajúce procesy, sieťové pripojenia, fyzickú pamäť a zaťaženie procesora. Na zachytenie falošného svchost pomocou KillSwitch postupujte podľa týchto krokov:

  1. Na karte „Systém“ otvorte časť „Procesy“.
  2. Analyzujte všetky svchostom aktivované procesy:
    • kliknite pravým tlačidlom myši na súbor;
    • vyberte „Vlastnosti“;
    • pozri sa na jeho aktuálny adresár. Ak sa líši od C: \ Windows \ system32 \, je veľmi pravdepodobné, že skúmaným objektom je vírus.

V prípade zistenia škodlivého softvéru:

  1. Okrem toho pozri stĺpec „Hodnotenie“ (bezpečné -bezpečné) a podpis.
  2. Ak tieto vlastnosti tiež nezodpovedajú charakteristikám dôveryhodného systémového súboru, znova aktivujte kontextové menu (pravým tlačidlom myši). Potom postupne spustite funkcie „Pozastaviť“ a „Odstrániť“.
  3. Pokračujte v skenovaní, vírus mohol vytvoriť a spustiť jeho kópie. Musí sa tiež bez problémov zlikvidovať!

Metóda č. 2: Používanie systémových funkcií

Kontrola spustenia

  1. Kliknite na tlačidlo „Štart“.
  2. Do vyhľadávacieho poľa napíšte msconfig a stlačte kláves Enter.
  3. V okne „Konfigurácia systému“ kliknite na kartu „Spustenie“.
  4. Pozrite sa na príkazy (stĺpec „Príkaz“), ktoré spúšťajú prvky pri štarte Windows a ich umiestnenie (adresáre, kľúče registra v stĺpci „Umiestnenie“):
    • Vypnite všetky smernice obsahujúce svchost (kliknutím zrušte začiarknutie políčka vedľa záznamu). Toto je 100% vírus. Systémový proces s rovnakým menom nie je pri štarte nikdy napísaný.
    • Otvorte adresár škodlivého softvéru (uvedený v časti „Umiestnenie“) a odstráňte ho. Na neutralizáciu kľúča v registri použite bežný editor regedit: “Win ​​+ R” → regedit → Enter.

Analýza aktívnych procesov

  1. Stlačte „Ctrl + Alt + Del“.
  2. Kliknite na kartu Procesy.
  3. Skontrolujte vlastnosti všetkých aktívnych svchostov (názov, rozšírenie, veľkosť, umiestnenie). Pri analýze sa spoliehajte na údaje služby filecheck.ru a charakteristiky uvedené v tomto článku.

Pravým tlačidlom myši kliknite na názov obrázka. V ponuke vyberte položku"Vlastnosti".

Ak sa zistí vírus:

  • vo vlastnostiach objektu zistiť jeho umiestnenie (kopírovať alebo zapamätať);
  • kliknite na tlačidlo „Ukončiť proces“;
  • prejdite do adresára škodlivého softvéru a odstráňte ho pomocou štandardnej funkcie (kliknite pravým tlačidlom myši → Odstrániť).

Ak je ťažké určiť: dôveryhodné alebo vírus?

Niekedy je jedinečne ťažké povedať, či je svchost skutočný alebo falošný. V takejto situácii sa odporúča vykonať ďalšiu detekciu na bezplatnom online skeneri „Virustotal“. Táto služba používa 50 až 55 antivírusov na kontrolu objektu na prítomnosť vírusov.

  1. Otvorte vo svojom prehliadači virustotal.com.
  2. Kliknite na „Vybrať súbor“.
  3. V programe Windows Prieskumník otvorte adresár procesu, ktorý chcete skontrolovať, kliknite naň a potom kliknite na Otvoriť.
  4. Pre spustenie skenovania kliknite na „Skontrolovať!“. Súbor sa stiahne z počítača do servisu a automaticky sa začne skenovanie.
  5. Zobraziť výsledky overovania. Ak väčšina antivírusov detekuje objekt ako vírus, musíte ho odstrániť.

Prevencia

Po neutralizácii „parazita“ zo systému Windows, bez ohľadu na použitú metódu odstránenia, naskenujte diskové oddiely pomocou nástroja Malwarebytes Anti-Malware alebo Kaspersky Virus Removal Tool. Skontrolujte fungovanie hlavného antivírusu: pozrite si nastavenia detekcie, aktualizujte databázu podpisov.