Подозрительный процесс svchost.exe
Открыв диспетчер задач, мы увидим все процессы, запущенные на нашем компьютере. Если названия некоторых говорят сами за себя (к примеру, explorer.exe или winlogon.exe), то название процесса svchost.exe на какие-либо мысли кроме какого-то хоста не приводит. К тому же, уж очень смущает то, что этот процесс запущен раз 5, как минимум.
Дело в том, что процесс svchost.exe предназначен для запуска служб, не имеющих собственного запускаемого файла с расширением exe – он запускает службы, хранящиеся в dll библиотеках. Для каждой подобной службы в диспетчере задач запущен собственный процесс svchost.exe.
В последнее время зачастили вирусы, маскирующиеся под процесс svchost.exe, благодаря чему бывает довольно сложно их вычислить. Первый звоночек поступает, если открыв диспетчер задач (Ctrl+Alt+Del) вы обнаруживаете, что один из процессов svchost.exe забирает примерно 95-100% ресурсов ЦП или чрезмерный объем оперативной памяти. Или же может смутить слишком большое количество запущенных процессов svchost.exe. Для того, чтобы справиться с подобной проблемой, необходимо выяснить, какие процессы и dll библиотеки скрываются под маской svchost.exe. Итак, приступим.
Запускаем командную строку – «Пуск» -> «Выполнить» -> cmd. В командной строке пишем следующую команду:
tasklist /svc /fi “imagename eq svchost.exe
После запуска команды перед нами отобразится список всех процессов svchost.exe в том порядке, в котором мы видим их в диспетчере задач, при этом напротив каждого процесса будет написано – какую службу он запускает. Найдя название паразитирующей службы, приступим к ее отключению. Допустим, служба, которую нам необходимо отключить, называется RpcSs.
Открываем «Управление компьютером» («Пуск» –> «Панель управления» –> «Администрирование» –> «Управление компьютером»). Затем в левой части окна переходим в подраздел «Службы и приложения» -> «Службы». Перед нами открылся список всех служб, установленных на данном ПК. Поскольку нас, к примеру, интересует служба RpcSs – находим созвучное название – «Удаленный вызов процедур (RPC)». Для того, чтобы убедиться, что служба именно та – щелкаем на ней дважды левой кнопкой мыши и в появившемся окне в строке «Имя службы:» видим имя искомой службы RpcSs. Для отключения службы необходимо нажать «Стоп» в этом же окне и изменить тип запуска на «Отключено»
З.Ы. Служба RpcSs выбрана для примера – имя вредоносного процесса вы должны определить сами.
Доброго времени суток!
Спасибо за полезную статью. Все сделал, как написано, вот только в графе отображеня служб, к которым относятся svchostы напротив вредоносного, написано «Н/Д». Нет данных? Как же тогда вычислить гада?! Упорно грузить поцессор на 100%…
Анатолий, качай Process Explorer. Ссылка есть в разделе Загрузки. Потом щелкнешь дважды на загружаемый процесс и перейдешь во вкладку Threads, там буду файлы, отвечающие за нагрузку. Можно еще детальней копнуть — нажмешь Stack
У меня тоже не запускается это tasklist! Как еще можно в командной строке узнать процессы? Посмотрела уже все и в Process Explorer (не очень все ясно конечно), и всеми антивирусами проверила, вроде не сильно комп грузится и много никакой процесс не берет, не больше 50 Мб, но не работает ни с одного браузера сайт В контакте! (соединение прерывается и не открывает страницу вообще, с телефона работает).
Анастасия, это не в процессах дело. Вам нужно проверить DNS и файл hosts. Почитайте здесь и здесь.
Здравствуйте!У меня как у Анатолия-в графе написано Н/Д.Я скачала Process Explorer, посмотрела, а что дальше делать с этими файлами?просто удалить?
Имя образа PID Службы
========================= ====== =============================================
svchost.exe 1264 DcomLaunch, TermService
svchost.exe 1372 RpcSs
svchost.exe 1500 AudioSrv, BITS, Browser, CryptSvc, Dhcp,
dmserver, ERSvc, EventSystem,
helpsvc,
HidServ, LanmanServer, lanmanworkstation,
Netman, Nla, RasMan, Schedule, seclogon,
SENS, SharedAccess, ShellHWDetection,
srservice, TapiSrv, Themes, TrkWks, W32Time,
winmgmt, wscsvc, wuauserv, WZCSVC
svchost.exe 1552 WudfSvc
svchost.exe 1680 Dnscache
svchost.exe 1852 LmHosts, RemoteRegistry, SSDPSRV
svchost.exe 896 WebClient
svchost.exe 1312 stisvc
скажите мне пожалуйста какой из них может быть вредоносным? Заранее СПАСИБО!
Попробуйте сначала убить процесс, нажав кнопку Kill. Если после этого проблем не возникнет, можно удалять файл.
Golovanik, можете сравнить, к примеру, со службами на этой странице — http://www.windxp.com.ru/ClWinXP1.htm