Bonjour, chers lecteurs. Les utilisateurs qui voient souvent de nombreux processus « svchost.exe » dans la liste des processus (et il peut y en avoir une douzaine ou plus à la fois) commencent à paniquer terriblement. Et écrivez des lettres « d’urgence » sur le virus maléfique qui a envahi leur système. Et cela éclate presque littéralement hors du corps.

Nous allons le comprendre ici et essayer de clore une fois pour toutes cette question liée à ce qui est le plus maléfique virus svchost, et est-il nécessaire de le faire (et en général, est-ce un virus) ?

Alors, commençons. Qu'est-ce que svchost.exe ? Est-ce un virus ? Et que devez-vous faire si c'est le cas ?!

Commençons par le fait que Generic Processus hôte pour les services Win32 (c'est ce qu'est svchost) n'est rien de plus qu'un processus système universellement important dans l'existence de Windows, ou plutôt les services, applications et services système qui utilisent les bibliothèques dites DLL.

Et en effet, un grand nombre de ces mêmes « svchost.exe » peuvent être lancés dans le système. Pourquoi est-ce arrivé ? Le fait est qu'il est assez difficile pour ces mêmes applications et services d'utiliser et de bricoler simultanément un seul processus ! Après tout, il y en a beaucoup, toutes sortes de services et de programmes, mais un pauvre svchost sans défense est tout seul. Et à cause de cela, en règle générale, le système lance plusieurs instances de svchost, mais avec différents numéros, ou plus précisément, les identifiants de processus.

Et par conséquent, chaque svchost.exe en cours d'exécution est servi par son propre ensemble de programmes et de services, et donc, en fonction de leur nombre dans Windows, le nombre de ces mêmes processus svchost varie de quelques pièces à plusieurs dizaines. En bref, dans un langage simple: Ce sont des processus système et ne doivent pas être touchés.

Cependant, en réalité, il existe des situations où ce processus Les virus sont « camouflés » (encore une fois je tiens à attirer votre attention : ils sont camouflés, et ce sont les virus, et non le processus svchost lui-même, qui sont malveillants). Voyons donc comment les reconnaître et ce qu’il faut faire à leur sujet.

Aujourd'hui, nous allons examiner :

Comment calculer un svchost de virus :

Vous devez commencer par le fait que le vrai svchost.exe se trouve exclusivement dans les dossiers suivants, selon la version de Windows.

Où C:\ est le lecteur sur lequel le système lui-même est installé et * est un nom de dossier long comme amd64_microsoft-windows-s..s-svchost.resources_42bf5256ad364e78_6.1.9402.16383_ru-ru_f51efa35176fa2be.

Et s'il se trouve ailleurs, et particulièrement s'il est installé par miracle dans le dossier WINDOWS lui-même, alors avec une probabilité d'environ 95,9%, il s'agit d'un virus qui sera considérablement . À de très rares exceptions près.

Voici plusieurs façons de dissimuler les virus qui « tondent » le processus réel :

Et un certain nombre de noms de fichiers de virus les plus couramment utilisés qui se déguisent en svchost.exe :

En général, il existe également d’autres variantes, mais celles-ci sont les plus populaires, vous devez donc les garder à l’esprit et être vigilant.

Vous pouvez consulter les noms de fichiers dans le gestionnaire de tâches, bien qu'il soit recommandé d'utiliser immédiatement Process Explorer, car en l'utilisant, vous pouvez immédiatement voir des données aussi importantes que les chemins, etc. une information important, simplement en double-cliquant sur le processus dans la liste.

Comment supprimer les virus svchost.exe

Et si vous découvriez qu’EsWeChost est un virus après tout ? Ensuite, nous le supprimerons en utilisant l’une des méthodes décrites ici. Et donc, le premier utilitaire qui vous aidera à supprimer est le légendaire AVZ.

Comment supprimer :

1. Téléchargez avz, exécutez avz.exe ;
2. Sélectionnez « Fichier » dans la fenêtre du programme, puis « Exécuter le script » ;
3. Et collez le script suivant dans la fenêtre qui apparaît :

commencer
SearchRootkit(vrai, vrai);
SetAVZGuardStatus(Vrai);
QuarantineFile('vous devez insérer ici le chemin d'accès au fichier (ne mélangez pas les guillemets)','');
DeleteFile(' vous devez insérer ici le chemin d'accès au fichier (ne mélangez pas les guillemets)');
BC_ImportAll;
ExécuterSysClean ;
ExecuteWizard('TSW',2,3,true);
BC_Activer ;
Redémarrer Windows (vrai) ;
fin.

Où, comme vous l'avez déjà compris, sous le concept « insérer ici le chemin d'accès au fichier (l'essentiel ici est de ne pas mélanger les guillemets) », il faut en réalité insérer ce chemin, c'est-à-dire par exemple : C : \WINDOWS\system\syshost.exe. Cliquez sur « Exécuter » après avoir fermé tous les programmes.

En fait, c'est tout. Il est maintenant temps de profiter de la vie et d'un ordinateur propre.

Il est important pour un internaute moderne de comprendre qu'aujourd'hui, dans réseau mondial il existe une grande variété de menaces différentes. Lorsqu’ils infectent un PC, les virus sont souvent déguisés en processus système normaux. Cet article explique comment supprimer le virus svchost.exe.

Ce processus n'est pas le seul lors du fonctionnement du système. Dans le gestionnaire de tâches, vous pouvez voir plus d'une douzaine de processus portant le même nom à la fois.

DANS mode normal Personne ne prête beaucoup d'attention à ces processus, mais dès que l'ordinateur commence à « manger », il s'avère que svchost.exe « mange » la moitié des ressources système, voire plus, de manière continue. Bien sûr, vous pouvez prendre des mesures drastiques et effectuer une restauration du système. Mais ces mesures ne contribueront pas toujours à résoudre le problème actuel.

svchost.exe– est un processus système responsable du démarrage des services divers types sur PC. Ce processus vous permet d'exécuter plusieurs services simultanément, vous aidant ainsi à économiser de l'argent. ressources système. Ainsi, plusieurs lignes portant ce nom sont affichées à la fois dans le gestionnaire de tâches.

Les virus et chevaux de Troie peuvent se faire passer pour le processus svchost.exe, provoquant ainsi une lourde charge sur le matériel de l'ordinateur.

Pour déterminer si un processus donné appartient à code malicieux, vous devez commencer par appuyer sur Ctrl+Atl+Suppr. Dans l'onglet processus, la première colonne affiche tous processus en cours d'exécution, et la colonne suivante montre le processus appartenant à un utilisateur spécifique. svchost.exe ne peut être lancé qu'en tant que SERVICE RÉSEAU, SYSTÈME et SERVICE LOCAL. Si lors de l'analyse, il a été remarqué que ce processus a été lancé sous un nom différent, par exemple de USER (ou un autre nom), cela signifie qu'un virus opère dans le système.

Pour désactiver le lancement de logiciels malveillants, vous avez besoin. Pour cela, vous pouvez utiliser moyens standards OS ou gratuit

Pour aucun de Utilisateurs Windows Ce n’est un secret pour personne, lorsque votre ordinateur se bloque ou ralentit, vous devez d’abord consulter le « Gestionnaire des tâches » afin de mettre fin aux processus qui alourdissent le système. La tâche, disons, est réservée aux élèves de première année : c'est comme si nous nageions et nous savons ce qu'il y a là et comment. Cependant, en regardant à nouveau le fameux répartiteur, de nombreux utilisateurs, à leur grande surprise, remarquent presque pour la première fois cette surcharge processeur central exécute un processus comme svchost.exe, qui, veuillez noter, n'est pas affiché sur une, mais sur 4 lignes ou même plus à la fois :

Eh bien, réfléchissez par vous-même, quelle autre réaction pourrait-il y avoir à ce moment-là, autre que la panique à l'idée qu'un virus s'est installé sur votre PC préféré ? Dans ma mémoire, il n'y a jamais eu de moment où les processus système étaient dupliqués dans le « Gestionnaire des tâches » ! Cependant, avant de chercher avec horreur une solution pour supprimer rapidement svchost.exe de votre ordinateur, vous devez déterminer s'il s'agit réellement d'un virus ou non.

Étape n°1 : Détecter les virus

Il convient peut-être de noter tout de suite que le processus svchost.exe lui-même ne constitue aucune menace pour Windows, aussi étrange que cela puisse paraître. En fait, il est conçu pour exécuter des services intégrés au système, des services et divers programmes qui utilisent des bibliothèques DLL spéciales dans leur travail. Cependant, étant donné qu'il existe souvent un grand nombre de services système de ce type sur un ordinateur, leur exécution en un seul processus peut être très difficile. C'est pourquoi svchost.exe est souvent lancé plusieurs fois, pour desservir des services Windows individuels.

Il est clair que supprimer de tels processus n'a aucun sens, puisque pour les désactiver, il suffira simplement de redémarrer l'ordinateur. Dans le même temps suppression complète fichier système svchost.exe peut provoquer des plantages dans Windows fonctionne, l'apparition de toutes sortes d'erreurs et autres problèmes avec Windows. C'est pourquoi, après avoir trouvé tout un fan de svchost.exe dans le « Gestionnaire des tâches », il n'est pas nécessaire de se précipiter pour lui dire au revoir tout de suite : tout peut être beaucoup plus simple.

Cependant, dans ce cas, il ne faut pas non plus se détendre. Le fait est que les virus se déguisent souvent en svchost.exe, apportant avec eux des cadeaux très désagréables sous la forme de :

• sortie aléatoire de l'ordinateur du mode veille ;
• apparence erreur système lors du lancement d'applications, de l'ouverture du lecteur ou de la lecture d'un disque ;
• redémarrage automatique de Windows ;
• éteindre l'ordinateur sans raison ;
• Ralentissement du PC dû à une charge CPU supérieure à 90 % ;
• ouverture spontanée des candidatures, etc.

La question se pose, comment pouvez-vous déterminer dans ce cas où se trouve le virus et où se trouve le processus système normal svchost.exe ? La réponse est simple : regardez-la de plus près.

Ainsi, le premier signe que svchost.exe est un virus sera l'exécution de ce processus de la part de l'utilisateur (normalement, il est lancé au nom du SERVICE LOCAL, du SYSTÈME (système) ou du SERVICE RÉSEAU). Pour le déterminer, il suffit d'appuyer simultanément sur Ctrl+Shift+Esc sur votre clavier, appelant ainsi le « Gestionnaire des tâches », puis de sélectionner l'onglet « Processus » dans la fenêtre qui s'ouvre et, enfin, de regarder les données spécifiées dans la colonne « Utilisateur » pour le processus svchost.exe :

Je note que dans le même but, si vous le souhaitez, vous pouvez utiliser un programme spécial Process Explorer, qui affiche informations complètes sur tous les processus en cours d'exécution sur l'ordinateur, y compris svchost.exe :

Dans le même temps, l'emplacement d'un tel fichier peut aider à déterminer s'il existe une menace provenant de svchost.exe. Rappel : normalement il n'est stocké que dans l'un des 4 dossiers situés sur le disque dur, à savoir dans le répertoire :

• WINDOWS\Prélecture
• WINDOWS\ServicePackFiles\i386
• WINDOWS\système32
• WINDOWS\winsxs

Par conséquent, si svchost.exe se trouve ailleurs, par exemple séparément dans le dossier WINDOWS, rassurez-vous : il s'agit d'un vrai virus. Dans le même temps, le « Gestionnaire des tâches » peut à nouveau vous aider à vérifier si tel est réellement le cas. Dans ce cas, après l'avoir démarré, vous devrez faire un clic droit sur la ligne portant le nom du processus svchost.exe, sélectionner l'élément « Propriétés » dans le menu qui s'ouvre, puis faire attention au champ « Emplacement » :

De plus, le nom du processus lui-même peut être un indice. Ainsi, tout écart par rapport à l’orthographe de svchost.exe dans le nom de l’image peut être considéré en toute sécurité comme une menace virale cachée. Par conséquent, si vous voyez dans le « Gestionnaire des tâches » des processus tels que svhost.exe, svehost.exe, svxhost.exe, svchos1.exe, svchest.exe, svch0st.exe et d'autres valeurs mal orthographiées, vous pouvez les supprimer en toute sécurité : ce sont virus.

Étape n°2 : Supprimer les virus de svchost.exe

Il faut dire qu'en raison des nombreuses variétés de virus svchost.exe d'une certaine sorte méthode universelle Il n’existe tout simplement aucun moyen de les supprimer de votre ordinateur pour le moment. En particulier, dans la décision problème similaire complet peut aider Vérification de Windows installé sur PC programme antivirus. L'essentiel dans ce cas est de ne pas oublier avant de démarrer :

• déconnecter de réseau local et Internet ;
• mettre fin aux processus svchost.exe suspects dans le Gestionnaire des tâches ;
• effacer le démarrage des fichiers svchost.exe. Dans ce cas, nous devons d'abord appuyer sur ÿ+R sur le clavier, puis saisir la tâche msconfig dans l'utilitaire « Exécuter » qui apparaît, cliquer sur OK, puis après avoir sélectionné l'onglet « Démarrage » dans la fenêtre qui s'ouvre, vérifier la présence de svchost.exe dedans :

Dans le même temps, pour que l'effet du traitement de votre ordinateur ne s'avère pas temporaire, vous devez prendre soin d'installer et de mettre à jour le Windows puissant antivirus et pare-feu. C'est le seul moyen d'être sûr que le problème lié au fichier cheval de Troie malveillant svchost.exe ne reviendra pas dans le système.

Système fichier svchost devient très souvent une cible pour attaques de pirates. De plus, les auteurs de virus dissimulent leurs logiciels malveillants sous leur « apparence » logicielle. Un des plus représentants éminents virus de la catégorie « false-svchost » - Win32.HLLP.Neshta (classification Dr.Web).

Cet « imposteur » se copie dans un répertoire Windows, infecte les fichiers avec l'extension « exe » et enlève des ressources système ( RAM, Circulation du Internet). Cependant, il est capable d’autres choses désagréables. Il existe des cas d'infection connus lorsque le virus svchost charge la RAM de l'ordinateur de 98 à 100 %, déconnecte le canal Internet et perturbe le fonctionnement du réseau local.

fichiers svсhost - le bien et le mal, ou qui est qui

Toute la difficulté de neutraliser les virus de ce type réside dans le risque d’endommager/supprimer un fichier Windows fiable portant le même nom. Et sans cela, le système d'exploitation ne fonctionnera pas, vous devrez le réinstaller. Par conséquent, avant de commencer la procédure de nettoyage, familiarisons-nous avec les signes particuliers d'un fichier fiable et d'un « étranger ».

Véritable processus

Contrôle les fonctions du système lancées depuis bibliothèques dynamiques(.DLL) : les vérifie et les charge. Écoute les ports réseau et transmet des données via eux. En fait c'est officiel Application Windows. Situé dans le répertoire C : → Windows → Système 32. Dans les versions OS XP/7/8, dans 76 % des cas, il a une taille de 20 992 octets. Mais il existe d'autres options. Vous pouvez en savoir plus à leur sujet sur la ressource de reconnaissance filecheck.ru/process/svchost.exe.html (lien - « 29 options supplémentaires »).

A ce qui suit signatures numériques(dans le gestionnaire de tâches, la colonne « Utilisateurs ») :

• SYSTÈME;
• SERVICE LOCAL;
• SERVICE RÉSEAU.

faux pirate informatique

Peut se trouver dans les répertoires suivants :

• C:\Windows
• C:\Mes documents
• C:\Programmes
• C:\Windows\System32\drivers
• C:\Program Files\Fichiers communs
• C:\Programmes
• C:\Mes documents

En plus des répertoires alternatifs, les pirates utilisent des noms presque identiques, similaires au processus système, pour dissimuler le virus.

Par exemple:

• svch0st (chiffre « zéro » au lieu de la lettre « o ») ;
• svrhost (au lieu de « c » la lettre « r ») ;
• svhost (pas de "s").

Il existe d’innombrables versions de la « libre interprétation » du nom. Il est donc nécessaire d’accorder une attention particulière à l’analyse des processus existants.

Attention! Le virus peut avoir une extension différente (autre que exe). Par exemple, « com » (virus Neshta).

Ainsi, connaissant de vue l’ennemi (le virus !), vous pouvez commencer à le détruire en toute sécurité.

Méthode numéro 1 : nettoyage avec l'utilitaire Comodo Cleaning Essentials

Les essentiels du nettoyage - analyseur antivirus. Utilisé comme alternative outil logiciel pour nettoyer le système. Il est livré avec deux utilitaires permettant de détecter et de surveiller les objets Windows (fichiers et clés de registre).

Où télécharger et comment installer ?

1. Ouvrez comodo.com (le site officiel du fabricant) dans votre navigateur.

Conseil! Il est préférable de télécharger le kit de distribution de l'utilitaire sur un ordinateur « sain » (si possible), puis de l'exécuter à partir d'une clé USB ou d'un CD.

2. Activé page d'accueil survolez la section « Petites et moyennes entreprises ». Dans le sous-menu qui s'ouvre, sélectionnez le programme Comodo Cleaning Essentials.

3. Dans le bloc de téléchargement, dans le menu déroulant, sélectionnez le nombre de bits de votre OS (32 ou 64 bits).

Conseil! La profondeur de bits peut être trouvée via menu système: ouvrez « Démarrer » → saisissez « Informations système » dans la ligne → cliquez sur l'utilitaire du même nom dans la liste « Programmes » → regardez la ligne « Type ».

4. Cliquez sur le bouton « Téléchargement gratuit ». Attendez la fin du téléchargement.

5. Décompressez l'archive téléchargée : faites un clic droit sur le fichier → « Extraire tout... ».

6. Ouvrez le dossier décompressé et double-cliquez sur le fichier « CCE » avec le bouton gauche.

Comment configurer et nettoyer le système d'exploitation ?

1. Sélectionnez le mode « Numérisation personnalisée ».

2. Attendez un peu pendant que l'utilitaire met à jour ses bases de données de signatures.

3. Dans la fenêtre des paramètres d'analyse, cochez la case à côté du lecteur C. Et activez également l'analyse de tous éléments supplémentaires(« Mémoire », « Zones critiques… », etc.).

4. Cliquez sur « Scanner ».

5. Une fois l'analyse terminée, laissez l'antivirus supprimer le virus imposteur détecté et les autres objets dangereux.

Note. En plus de Comodo Cleaning Essentials, vous pouvez utiliser d'autres produits similaires pour traiter votre PC. utilitaires antivirus. Par exemple, le Dr. Web CureIt !.

Utilitaires d'assistance

Le package de traitement Cleaning Essentials comprend deux outils auxiliaires conçus pour la surveillance du système en temps réel et la détection manuelle des logiciels malveillants. Ils peuvent être utilisés si le virus ne peut pas être neutralisé pendant le processus d'analyse automatique.

Demande de rapidité et travail confortable avec des clés de registre, des fichiers, des services et des services. Autorun Analyzer détermine l'emplacement de l'objet sélectionné et, si nécessaire, peut le supprimer ou le copier.

Pour recherche automatique svchost.exe dans la section « Fichier », sélectionnez « Rechercher » et spécifiez le nom du fichier. Analysez les processus trouvés, guidés par les propriétés décrites ci-dessus (voir « Hacker fake »). Si nécessaire, supprimez les objets suspects via menu contextuel utilitaires.

Surveille les processus en cours, les connexions de réseau, la mémoire physique et la charge du processeur. Pour attraper un faux svchost à l'aide de KillSwitch, procédez comme suit :

1. Dans l'onglet Système, ouvrez la section Processus.
2. Analysez tous les processus svchost activés :
   • faites un clic droit sur le fichier ;
   • sélectionnez « Propriétés » ;
   • regardez son répertoire actuel. S'il est différent de C:\Windows\system32\, il est fort probable que l'objet examiné soit un virus.

Si un malware est détecté :

1. De plus, regardez la colonne « Note » (coffre-fort) et la signature dans son champ.
2. Si ces propriétés ne correspondent pas non plus aux caractéristiques du fichier système de confiance, activez à nouveau le menu contextuel (clic droit). Et puis exécutez les fonctions « Suspendre » et « Supprimer » dans l’ordre.
3. Continuez à vérifier, le virus a peut-être créé et lancé des copies de lui-même. Il est également impératif de s’en débarrasser !

Méthode n°2 : utiliser les fonctions système

Vérification du démarrage

1. Cliquez sur "Démarrer".
2. Tapez msconfig dans la barre de recherche et appuyez sur Entrée.
3. Dans la fenêtre Configuration du système, accédez à l'onglet Démarrage.
4. Afficher les commandes (colonne Commande) qui exécutent des éléments lorsque Démarrage de Windows, et leur emplacement (répertoires, clés de registre dans la colonne « Emplacement ») :
   • Désactivez toutes les directives contenant svchost (cochez la case à côté de l'entrée). C'est à 100% un virus. Le processus système du même nom n'est jamais enregistré au démarrage.
   • Ouvrez le répertoire des logiciels malveillants (répertorié dans « Emplacement ») et supprimez-le. Pour neutraliser une clé dans le registre, utilisez l'éditeur regedit standard : « Win ​​+ R » → regedit → Entrée.

Analyse des processus actifs

1. Appuyez sur "Ctrl + Alt + Suppr".
2. Cliquez sur l'onglet « Processus ».
3. Vérifiez les propriétés de tous les svchosts actifs (nom, extension, taille, emplacement). Lors de l'analyse, fiez-vous aux données du service filecheck.ru et aux caractéristiques données dans cet article.

Faites un clic droit sur le nom de l'image. Dans le menu, sélectionnez Propriétés.

Si un virus est détecté :

• dans les propriétés de l'objet, connaître son emplacement (copier ou mémoriser) ;
• cliquez sur « Terminer le processus » ;
• accédez au répertoire des logiciels malveillants et supprimez-le à l'aide de la fonction standard (clic droit → Supprimer).

S'il est difficile de déterminer : fiable ou virus ?

Parfois, il est difficile de dire avec certitude si svchost est réel ou faux. Dans une telle situation, il est recommandé d'effectuer une détection supplémentaire à l'aide du scanner en ligne gratuit Virustotal. Ce service utilise 50 à 55 antivirus pour analyser un objet à la recherche de virus.

1. Ouvrez virustotal.com dans votre navigateur.
2. Cliquez sur Sélectionner un fichier.
3. DANS Windows Explorer ouvrez le répertoire du processus que vous souhaitez vérifier, sélectionnez-le en cliquant, puis cliquez sur « Ouvrir ».
4. Pour lancer la numérisation, cliquez sur « Vérifier ! » Le fichier sera téléchargé du PC vers le service et la numérisation commencera automatiquement.
5. Passez en revue les résultats des tests. Si la plupart des programmes antivirus détectent un objet comme étant un virus, celui-ci doit être supprimé.