Ελέγξτε το exe svchost για ιούς. Αφαίρεση του ιού EXE SVCHOST από το σύστημα των Windows

Το αρχείο συστήματος Svchost συχνά γίνεται στόχος για επιθέσεις χάκερ. Επιπλέον, οι ιοί θα καλύψουν το κακόβουλιά τους κάτω από το πρόγραμμά του "εμφάνιση". Ένας από τους πιο ζωντανούς εκπροσώπους των ιών της κατηγορίας "Lia-Svchost" - Win32.hllp.neshta (ταξινόμηση Dr.Web).

Αυτός ο απατεώνας αντιγράφει τον εαυτό του στον κατάλογο των Windows, μολύνει τα αρχεία με την επέκταση "EXE" και παίρνει πόρους συστήματος (RAM, Internet Traffic). Ωστόσο, είναι ικανό να είναι σε θέση να είναι άλλη. Οι περιπτώσεις μόλυνσης είναι γνωστές όταν ο ιικός Svchost φορτώνει ένα RAM υπολογιστή με 98-100%, απενεργοποιεί το κανάλι Internet, διαταράσσει τη λειτουργία του τοπικού δικτύου.

Τα αρχεία Svshost είναι ευγενικά και κακά, ή ποιος είναι ποιος

Όλη η πολυπλοκότητα της εξουδετέρωσης αυτού του τύπου ιών είναι ότι υπάρχει κίνδυνος βλάβης / διαγραφής ενός αξιόπιστου αρχείου των Windows με ένα πανομοιότυπο όνομα. Και χωρίς αυτό, το λειτουργικό σύστημα δεν θα λειτουργήσει, θα πρέπει να επανεγκαταστήσει. Επομένως, προτού προχωρήσετε στη διαδικασία καθαρισμού, θα εξοικειωθείτε με τα ειδικά σημάδια του αξιόπιστου αρχείου και του "Stranger".

Αληθινή διαδικασία

Διαχειρίζεται τις λειτουργίες του συστήματος που εκτελούνται από Δυναμικές βιβλιοθήκες (.Dll): ελέγχει και φορτώνει τα. Ακούει Θύρες δικτύου, μεταδίδει δεδομένα σε αυτά. Στην πραγματικότητα, είναι υπηρεσία Εφαρμογή των Windows. Βρίσκεται στον κατάλογο με: → Windows → Σύστημα 32. Οι εκδόσεις των εκδόσεων XP / 7/8 σε 76% των περιπτώσεων έχουν μέγεθος 20, 992 byte. Αλλά υπάρχουν και άλλες επιλογές. Περισσότερες πληροφορίες μαζί τους μπορείτε να βρείτε στο αναγνωρισμένο πόρο filecheck.ru/process/svchost.exe.html (σύνδεσμος - "άλλες 29 επιλογές").

Έχει τα εξής Ψηφιακές υπογραφές (Στη στήλη "Χρήστες"):

• Σύστημα;
• Τοπική υπηρεσία.
• Υπηρεσία δικτύου.

Χάκερ ψεύτικο

Μπορεί να είναι στους ακόλουθους καταλόγους:

• C: \\ Windows
• Γ: \\ Τα έγγραφά μου
• C: \\ Αρχεία προγράμματος
• C: \\ Windows \\ System32 \\ Drivers
• C: \\ Αρχεία προγράμματος \\ Κοινά αρχεία
• C: \\ Αρχεία προγράμματος
• Γ: \\ Τα έγγραφά μου

Εκτός από τον εναλλακτικό κατάλογο, οι χάκερ, σχεδόν πανομοιότυποι, παρόμοιες με το σύστημα, ονόματα, ονόματα χρησιμοποιούνται ως κάλυψη του ιού.

Για παράδειγμα:

• svch0st (ψηφίο "μηδέν" αντί της λίτριας "o").
• svrhost (αντί του "C" γράμμα "R").
• svhost (όχι "C").

Οι εκδόσεις του ονόματος "ελεύθερης διερμηνείας" αμέτρητοι. Ως εκ τούτου, είναι απαραίτητο να ασκήσει αυξημένη προσοχή κατά την ανάλυση των υφιστάμενων διεργασιών.

Προσοχή! Ο ιός μπορεί να έχει άλλη επέκταση (διαφορετική από την EXE). Για παράδειγμα, "COM" (ιός Neshta).

Έτσι, γνωρίζοντας τον εχθρό (ιός!) Στο πρόσωπο, μπορείτε να αρχίσετε με ασφάλεια να το καταστρέψουν.

Μέθοδος Αριθμός 1: Καθαρισμός του βοηθητικού συστήματος καθαρισμού COMODO

Βασικά είδη καθαρισμού - Αντι-ιός σαρωτή. Χρησιμοποιείται ως εναλλακτική λύση Λογισμικό Με τον καθαρισμό του συστήματος. Περιλαμβάνει δύο βοηθητικά προγράμματα για την ανίχνευση και την παρακολούθηση αντικειμένων των Windows (αρχεία και τα κλειδιά μητρώου).

Πού να κατεβάσετε και πώς να εγκαταστήσετε;

1. Ανοίξτε στο πρόγραμμα περιήγησης COMODO.com (η επίσημη ιστοσελίδα του κατασκευαστή).

Υπόδειξη! Το βοηθητικό πρόγραμμα διανομής έχει μεταφορτωθεί καλύτερα σε έναν "υγιή" υπολογιστή (εάν υπάρχει μια τέτοια ευκαιρία) και στη συνέχεια εκτελέστε από μια μονάδα flash USB ή CD.

2. Επί Κύρια σελίδα Ποντίκι πάνω από το τμήμα μικρών και μεσαίων επιχειρήσεων. Στο υπομενού που ανοίγει, επιλέξτε Essential καθαρισμού COMODO.

3. Στη μονάδα εκκίνησης, στο αναπτυσσόμενο μενού, επιλέξτε την εκκένωση του λειτουργικού σας συστήματος (32 ή 64 bit).

Υπόδειξη! Το bitmap μπορεί να βρεθεί μέσω του συστήματος Μενού: Ανοίξτε το "Έναρξη" → Εισάγετε τις πληροφορίες συστήματος στη συμβολοσειρά → Κάντε κλικ στο βοηθητικό πρόγραμμα με το ίδιο όνομα στη λίστα "Προγράμματα" → Προβολή "τύπου".

4. Κάντε κλικ στο κουμπί "Ρετάρι". Περιμένετε να ολοκληρωθεί η λήψη.

5. Αποσυσκευάστε το ληφθέν αρχείο: κάντε κλικ στο Κάντε δεξί κλικ Με αρχείο → "Εκχύλισμα τα πάντα ...".

6. Ανοίξτε τον αποσυσκευασμένο φάκελο και κάντε κλικ 2 φορές το αριστερό κουμπί στο αρχείο CCE.

Πώς να ρυθμίσετε και να καθαρίσετε το λειτουργικό σύστημα;

1. Επιλέξτε προσαρμοσμένη λειτουργία σάρωσης (επιλεκτική σάρωση).

2. Περιμένετε λίγο, ενώ η χρησιμότητα ενημερώνει τις βάσεις δεδομένων υπογραφής.

3. Στο παράθυρο Ρυθμίσεις σάρωσης, ελέγξτε το πλαίσιο μπροστά από τον δίσκο S. καθώς και ελέγξτε όλα τα πρόσθετα στοιχεία ("μνήμη", "κρίσιμες περιοχές .." κλπ.).

4. Κάντε κλικ στο "Σάρωση".

5. Μετά την ολοκλήρωση της επιθεώρησης, επιτρέψτε σε ένα antivirus να αφαιρέσει το βυθισμένο ιό-απατεώνας και άλλα επικίνδυνα αντικείμενα.

Σημείωση. Εκτός από τα απαραίτητα καθαρισμού COMODO, άλλα παρόμοια βοηθητικά προγράμματα Antivirus μπορούν να χρησιμοποιηθούν για τη θεραπεία υπολογιστών. Για παράδειγμα, ο Δρ. Web Dureit!.

Βοηθητικά βοηθητικά προγράμματα

Τα απαραίτητα καθαρισμού περιλαμβάνουν δύο Βοηθητικά εργαλείαΣκοπός για την παρακολούθηση του συστήματος σε πραγματικό χρόνο και ανιχνεύει το κακόβουλο λογισμικό με μη αυτόματο τρόπο. Μπορούν να χρησιμοποιηθούν εάν ο ιός δεν εξουδετερώνεται κατά τη διάρκεια του αυτόματου ελέγχου.

Η εφαρμογή για γρήγορη και βολική εργασία με κλειδιά μητρώου, αρχεία, υπηρεσίες και υπηρεσίες. Ο αναλυτής Autorun καθορίζει τη θέση του επιλεγμένου αντικειμένου, εάν είναι απαραίτητο, μπορεί να διαγράψει ή να το αντιγράψει.

Για να αναζητήσετε αυτόματα τα αρχεία svchost.exe στην ενότητα "Αρχείο", επιλέξτε "Εύρεση" και ρυθμίστε το όνομα του αρχείου. Αναλύστε τις διαδικασίες που βρέθηκαν, καθοδηγούμενη από τις ιδιότητες που περιγράφονται παραπάνω (βλέπε "Fake Hacker"). Εάν είναι απαραίτητο, αφαιρέστε τα ύποπτα αντικείμενα μέσω κατάλογος συμφραζόμενων βοηθητικά προγράμματα.

Παρακολουθήστε τις διαδικασίες λειτουργίας, Δικτυακές συνδέσεις, φυσική μνήμη και το φορτίο στην CPU. Για να "πιάσετε" ένα ψεύτικο svchost χρησιμοποιώντας killswitch, ακολουθήστε τα εξής βήματα:

1. Στην καρτέλα System, ανοίξτε την ενότητα Διαδικασίες.
2. Αναλύστε όλες τις ενεργοποιημένες διεργασίες SvChost:
   • Κάντε δεξί κλικ στο αρχείο.
   • Επιλέξτε "Ιδιότητες".
   • Κοιτάξτε τον τρέχοντα κατάλογο του. Εάν είναι διαφορετικό από το C: \\ Windows \\ System32 \\, πιθανότατα ότι το αντικείμενο που μελετώνεται είναι ένας ιός.

Σε περίπτωση ανίχνευσης κακόβουλου λογισμικού:

1. Πρόσθετη προβολή στην αρίθμηση πεδίου "Αξιολόγηση" (ασφαλή - ασφαλής) και υπογραφή.
2. Εάν αυτές οι ιδιότητες δεν αντιστοιχούν επίσης στα χαρακτηριστικά του αξιόπιστου Σύστημα συστήματοςΚαι πάλι, ενεργοποιήστε το μενού περιβάλλοντος (κάντε δεξί κλικ). Και στη συνέχεια να εκτελέσει διαδοχικά τις λειτουργίες "αναστολή" και "διαγραφή".
3. Συνεχίστε τον έλεγχο, ίσως ο ιός έχει δημιουργήσει και ξεκίνησε τα αντίγραφα του. Από αυτούς, πάρα πολύ, αναγκαστικά πρέπει να ξεφορτωθούν!

Μέθοδος αριθμός 2: Χρήση λειτουργιών συστήματος

Έλεγχος εκκίνησης

1. Κάντε κλικ στην επιλογή "Έναρξη".
2. Κλήση στη γραμμή αναζήτησης MSCONFIG και πατήστε "ENTER".
3. Στο παράθυρο "Διαμόρφωση συστήματος", μεταβείτε στην καρτέλα "Αυτόραυρ".
4. Περιηγηθείτε στις εντολές (εντολή στήλης "), ενεργοποιώντας στοιχεία όταν Ξεκινήστε τα WindowsΚαι την τοποθεσία τους (καταλόγους, κλειδιά μητρώου στη στήλη "τοποθεσία"):
   • Όλες οι οδηγίες που περιέχουν Svchost Απενεργοποιήστε (αφαιρέστε το κιβώτιο ελέγχου κοντά στην εγγραφή). Αυτός είναι ένας ιός 100%. Η διαδικασία συστήματος με το ίδιο όνομα δεν γράφεται ποτέ στο Autoload.
   • Ανοίξτε τον κατάλογο Galfire (που υποδεικνύεται στην "τοποθεσία") και διαγράψτε το. Για να εξουδετερώσετε το κλειδί στο μητρώο, χρησιμοποιήστε τον κανονικό επεξεργαστή Regedit: "Win + R" → REGEDIT → ENTER.

Ανάλυση ενεργών διαδικασιών

1. Πατήστε "CTRL + ALT + DEL".
2. Κάντε κλικ στην καρτέλα Διαδικασίες.
3. Ελέγξτε τις ιδιότητες όλων των ενεργών svchost (όνομα, επέκταση, μέγεθος, τοποθεσία). Κατά την ανάλυση, επικεντρωθείτε στην υπηρεσία FileCheck.ru και τα χαρακτηριστικά που εμφανίζονται σε αυτό το άρθρο.

Δεξιά με το όνομα της εικόνας. Στο μενού, επιλέξτε "Ιδιότητες".

Σε περίπτωση ανίχνευσης ιών:

• Στις ιδιότητες του αντικειμένου, μάθετε τη θέση του (αντιγραφή ή θυμηθείτε).
• Κάντε κλικ στην επιλογή "πλήρης διαδικασία".
• Μεταβείτε στον κατάλογο Galfire και διαγράψτε το χρησιμοποιώντας μια τυπική λειτουργία (κάντε δεξί κλικ → Διαγραφή).

Εάν είναι δύσκολο να προσδιοριστεί: έμπιστος ή ιός;

Μερικές φορές είναι σίγουρα δύσκολο να πούμε αν ο Svchost είναι πραγματικός ή ψεύτικος. Σε μια τέτοια κατάσταση, συνιστάται η διεξαγωγή πρόσθετης ανίχνευσης στον ελεύθερο online σαρωτή "Virustotal". Αυτή η υπηρεσία ελέγχου του αντικειμένου για τους ιούς χρησιμοποιεί 50-55 αντιιικά.

1. Ανοίξτε στο Browser Browsotal.com.
2. Κάντε κλικ στην επιλογή "Επιλογή αρχείου".
3. ΣΕ windows Explorer Ανοίξτε τον κατάλογο διαδικασίας που θέλετε να ελέγξετε, επιλέξτε το με ένα κλικ και στη συνέχεια κάντε κλικ στο κουμπί Άνοιγμα.
4. Για να ξεκινήσετε τη σάρωση, κάντε κλικ στην επιλογή "Έλεγχος!". Το αρχείο θα εκκινήσει από υπολογιστή στην υπηρεσία και θα ξεκινήσει αυτόματα τη σάρωση.
5. Ελέγξτε τα αποτελέσματα της επιθεώρησης. Εάν τα περισσότερα αντιιικά εντοπίζουν ένα αντικείμενο ως ιό, πρέπει να διαγραφεί.

Το Svchost είναι μια μονάδα συστήματος των Windows που χρησιμεύει για να ξεκινήσει διάφορες υπηρεσίες. Στο διαχειριστή εργασιών, οποιαδήποτε από τις υπηρεσίες που εκτελείται με αυτή τη μονάδα ορίζεται ως SvChost.

Αλλά υπάρχουν πολλοί ιοί που καλύπτουν κάτω από το Svchost, το πιο κοινό από το οποίο ονομάζεται αρουραίος. Άπειρος χρήστης Προσωπικός υπολογιστής Θα είναι αρκετά δύσκολο να αναγνωριστεί ένας τέτοιος ιός στον αποστολέα, και να το ανιχνεύσει σε όλο το σύστημα στο σύνολό του. Ως εκ τούτου, αξίζει να σημειωθεί ότι ένα σημαντικό χαρακτηριστικό της παρουσίας αυτού του ιού στο σύστημα μπορεί να είναι ένα μήνυμα που σας ενημερώνει για ένα σφάλμα που σχετίζεται με το svchost.exe και έναν χαρούμενο χρήστη που "η μνήμη δεν μπορεί να διαβαστεί". Σε αυτή την περίπτωση, πρέπει να κάνετε δράση που θα πει πώς να αφαιρέσετε το svchost. Διαφορετικά, ο υπολογιστής σας θα υποβληθεί σε σοβαρή αποτυχία. Ας το θεωρήσουμε σε στάδια, πώς να απαλλαγούμε από αυτόν τον ιό.

Πώς να προστατεύσετε τον εαυτό σας από την επαναχρησιμοποίηση

Πρώτον, είναι απαραίτητο να εξασφαλίσετε τον υπολογιστή σας από την επαναχρησιμοποίηση με έναν ιό, ρυθμίζοντας το πρόγραμμα προστασίας από ιούς σε αυτό.

Μην φοβάστε αυτό, γιατί Αυτή τη μέθοδο Πολύ απλό. Για να ξεκινήσετε, μεταβείτε στον Επεξεργαστή Μητρώου και βρείτε το HKEY_SOFTWE_MICRSORSION \\ RUNService "PowerManager" \u003d "% Windir% svchost.exe", στη συνέχεια, διαγράψτε το.

Svchost Exe, πώς να διαγράψετε, λέει το επόμενο βήμα. Για να το κάνετε αυτό, ανοίξτε την ενότητα που έχει σχεδιαστεί για να διαχειρίζεται τις υπηρεσίες των Windows, να βρείτε στη λίστα PowerManager και καλώντας το μενού περιβάλλοντος σε αυτήν την υπηρεσία, σταματήστε το.

Συμπληρώστε τη διαδικασία του ιικού προγράμματος

Το τρίτο βήμα θα είναι η ολοκλήρωση της διαδικασίας του ιικού προγράμματος.

Αφαίρεση των αρχείων ιών, να είστε εξαιρετικά προσεκτικοί ώστε να μην διαγράψετε λάθος "Real" Svchost, το οποίο βρίσκεται στο φάκελο% Windir% System32. Είναι αδύνατο να το διαγραφεί με οποιονδήποτε τρόπο. Επομένως, προτού αρχίσετε να διαγράφετε, ελέγξτε ξανά το σφάλμα.

Ο ιός Svchost, πώς να το διαγράψετε τελικά, λέει στο επόμενο βήμα. Τώρα πρέπει να καταργήσετε την αυτόματη έναρξη αυτού του προγράμματος από το μητρώο. Για να το κάνετε αυτό, εκτελέστε τον επεξεργαστή μητρώου, βρείτε και διαγράψτε το "Svchost" \u003d "% Windir% svchost.exe" σε αυτό. Στη συνέχεια, βρείτε το κλειδί και αλλάξτε το με% Windir% svchost.cmm "% 1"% * στο "% 1"% *.

Επίσης, στην αντικατάσταση απαιτεί το κλειδί. Η αξία του πρέπει να είναι "Userinit" \u003d "% Susterem% Usinit.exe".

Καλά Τελευταίο κλειδίαπαιτώντας αλλαγές, είναι :)