Довольно часто встречается ситуация, что компьютерные вирусы маскируются под системные процессы. Один из самых распространенных вариантов - вирус svchost.exe. Из-за того, что копий этого процесса в работе операционной системы Windows должно быть запущенно довольно много, вредоносному коду удается затеряться среди нормальных процессов системы.
Вы должны иметь представление о самом предназначении процесса svchost.exe, и уметь определять вирус, маскирующийся под этот процесс. Это необходимо для успешного удаления.
Оглавление:
- Для чего нужен процесс svchost.exe
- Как вирусы маскируются под процесс svchost.exe
- Как удалить вирус svchost
- Наши рекомендации
- Заключение
- Стоит почитать
Для чего нужен процесс svchost.exe
Данный процесс используется системой Windows, для обеспечения работоспособности ее функций. Процесс обеспечивает работу сервисов и программ, которые работают с динамическими DLL библиотеками. При проверке запущенных процессов через диспетчер задач, вы увидите несколько копий svchost.exe - это совершенно нормально.
В качестве папок, в которых может располагаться системный процесс svchost.exe могут быть следующие варианты:
- %system-disk%\windows\
- %system-disk%\Мои документы\
- %system-disk%\Windows\System32\drivers
- %system-disk%\Windows\System32\
- %system-disk%\Program Files\Common Files
Где переменная %system-disk% означает букву диска, на котором установлена операционная система Windows. Чаще всего это диск "С".
Чтобы проверить месторасположения процесса, в диспетчере задач кликните на него правой кнопкой мыши, и выберите пункт "Открыть место хранения файла" или "Свойства".
Если вы выбрали просмотр папки, где располагается процесс, она откроется в окне диспетчера файлов. Если вы решили просмотреть этот параметр через свойства, то вам нужен пункт "Расположение".
Обратите внимание! Нельзя диагностировать заражение процесса, основываясь только на его месторасположении, на системном диске.
Как вирусы маскируются под процесс svchost.exe
Большое количество копий svchost.exe, позволяет вирусным программ легко маскировать свое присутствие в системе, заменяя одну или несколько букв в названии процесса. Только если внимательно просмотреть все запущенные копии, и убедиться в корректности их названия, можно обнаружить вредоносный код (что далеко не всегда делают пользователи).
Ниже приведены варианты подмены названия.
- svcchost.exe - повторяется буква "c"
- svhost.exe - здесь наоборот, она пропущена
- svchostt.exe - в этом вредоносном процессе добавлена буква "t"
- svshost.exe - вместо буквы "c" используется "s"
Как вы можете заменить, основной алгоритм маскировки - это подставлять похожие по написанию буквы в название процесса, заменять или дублировать их.
Теперь запомните - есть только одно корректное наименование данного процесса:
SVCHOST.EXE
Как удалить вирус svchost
Если вы диагностировали у себя на компьютере зараженный процесс, и определили его месторасположение на диске, необходимо удалить его.
Для этого используется антивирусная утилита AVZ - скачать AVZ.
После запуска программы нажимаем "Файл - выполнить скрипт". У вас откроется окно для ввода кода.
Ниже представлен код скрипта - вам нужно скопировать его в программу.
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('Укажите путь к файлу',''); DeleteFile('Укажите путь к файлу'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Жирным шрифтов выделены две строки - сюда вы должны вставить полный путь до вредоносного файла. Допустим, мы диагностировали в диспетчере задач вирус svcchost.exe (двойная "c" в названии), расположенный в папке c:\windows\system32. Мы должны указать в коде скрипта вот такое значение:
c:\windows\system32\svcchost.exe
Это и будет полный путь до файла. У нас должно получиться следующее:
Далее нажимаем кнопку "Выполнить" - вредоносный файл будет удален. Нам нужно перегрузить компьютер, и убедиться в том, что вирус svchost.exe отсутствует в списке запущенных процессов.
Наши рекомендации
Если ваш компьютер подвергся заражению, обязательно проведите полное сканирование системы на вирусы.
Когда будете писать в коде скрипта путь и имя зараженного файла, используйте советы из второй главы (для определения целовой папки).
Заключение
Самый простой способ диагностировать вирус svchost.exe - это внимательно просмотреть весь список процессов в вашем диспетчере задач. Имейте ввиду - обязательно нужно просматривать процессы всех пользователей, в том числе и администраторов. Для этого отмечайте соответствующую галочку в диспетчере задач.
Стоит почитать
- Что такое ddos атака
- Скачать ssh клиент для windows