Відкривши диспетчер завдань і виявивши в його списку процесів масу записів з однаковим вмістом — svchost — багато користувачів впадають в передчасну паніку. Зазвичай це відбувається тоді, коли працездатність системи знаходиться під питанням — все висне, вікна не реагують, не допомагає навіть перезавантаження. Першим з процесів потрапляють під підозру зазвичай виявляється exe-шник svchost? Дійсно хост процес служб Windows винен у перевантаженні процесора? І якщо це так, то як з цим боротися?
Generic Host Process for Win32 Services, а саме так розшифровується назва розглянутої служби Windows, — є критично важливою утилітою операційної системи. Відключити цю службу не можна, так як в противному випадку стане неможливим використання одного з найважливіших інструментів Windows — поділюваних між додатками бібліотек підпрограм — так званих dll-бібліотек. А так як вся архітектура Windows базується на таких бібліотеках, робота з відключеним svchost.exe — абсолютно нереальна.
Проблема полягає в тому, що хакери вважають за краще маскувати свої шкідливі програми під один із системних процесів та Generic Host Process — ідеальний кандидат для таких маніпуляцій.
Система автоматично запускає не один, а безліч цих процесів, тому розібратися який з них є «здоровим», а який являє собою вірус — на-віч не вийде.
Зміст
Де живе Generic Host Process for Win32?
Одним з найпростіших способів виявити вірус даного типу є перевірка місця його проживання. Файли цього хост-процесу не можуть розташовуватися ніде, крім системних папок, розташованих всередині папки установки Windows (наприклад, C:WINDOWS) тобто її підпапок. Якщо щось сильно грузить систему, пройдіться, для початку, звичайним пошуком по системного розділу. У разі виявлення нашого «друга» в будь-якій іншій папці, крім зазначених, можете бути впевнені — це вірус.
Майте на увазі, що виявлення даної служби у самій папці Windows — також ознака зараження. Сама операційна система практично ніколи не зберігає такі служби в цьому місці (за винятком дуже рідких випадків, вірогідність яких не більше кількох відсотків.) Так що якщо що-то вантажить ваш комп’ютер — не лінуйтеся і використовуйте пошук для виявлення паразитів, мимикрирующих під здорові організми.
Потрібно звернути увагу ще на один нюанс. Вірус може називатися не в точності так само, як і файл здорового процесу.
Назва exe-шника може відрізнятися в одній-двох буквах. або до нього можуть додаватися цифри. В нашому випадку може виглядати так: svch0st, svchosl, svchosts32, ssvvcchhoosst і т. д. Отже має сенс використовувати замість точного, неточний пошук за зразком.
З життя паразита
Чим, власне, небезпечний цей тип вірусів і як виглядає його паразитична діяльність на нашому рідному комп’ютері? Ранні версії svchost були небезпечні не тим, що вантажили комп’ютер, а тим, що робота даного процесу призводила до появи повідомлення про автоматичне перезавантаження комп’ютера. Вдіяти з цим нічого не можна було: з моменту появи віконця з повідомленням проходило кілька десятків секунд і комп’ютер йшов на перезавантаження. Такий вірус особливо часто зустрічався в системах Windows 2000 і Windows XP. Вантажив він у ті часи систему чи ні, сказати важко.
Більш свіжі версії даного вірусу належать до зовсім іншої категорії. Запускаючись в Windows, цей exe негайно лізе в мережу і починає розсилати спам мало не по всьому Інтернету. При цьому процес найсильнішим чином вантажить систему. Хоча зустрічаються і цілком здорові прояви діяльності даної служби, які, втім, також дратують користувача, як і поведінка вірусу-спамера. Наприклад, закачування оновлення у фоновому режимі. Без хост-процесу і тут не обійшлося, але впоратися проблемою в даному випадку дуже просто — треба взяти і відключити автоматичне оновлення, яке вантажить Windows.
Рекомендації по боротьбі з вірусом — звичайнісінькі. Потрібно інсталювати Windows гарний, популярний антивірус і регулярно оновлювати антивірусні бази. Звертаючи особливу увагу на опції, відповідальні за spyware. Також допоможе установка брандмауера. Якщо взяти всі ці заходи заздалегідь, то ніякої svchost до вас не проникне. Про те що він вантажить систему зможете забути.
Але що робити, якщо шкідливий процес у вигляді exe-служби вже проник до вас в комп’ютер і що є сили вантажить операційку? Виконати наші подальші рекомендації.
Усуваємо проблему
Якщо ви виявляєте, що дана служба exe вантажить процесор, то дійте наступним чином:
Якщо систему грузить не вірус, а її замучили якісь фонові процеси, то:
- Зайдіть в «Центр оновлення» і відключіть автооновлення.
- Відшукайте в мережі один з аналізаторів Generic Host Process for Win32 і спробуйте з його допомогою відключити непотрібні примірники сервісу.
- На свій страх і ризик можете видалити вміст папки WINDOWSsystem32Tasks і видалити папку WINDOWSPrefetch.
Якщо вантажить систему вірус, то:
- Знаходимо в мережі, викачуємо і встановлюємо антивірусну утиліту AVZ.
- Запускаємо програму.
- У меню програми вибираємо пункт «Файл -> Виконати скрипт»
- З’явиться вікно вставляємо наступний текст (див. малюнок нижче):
- Тиснемо на кнопку «Запустити».
Програма видалить шкідливі файли і перезавантажить багатостраждальну Windows. Більше її ніщо не вантажить.
