Подозрительный процесс svchost.exe
12 мая, 2009 | 
Автор: Открыв диспетчер задач, мы увидим все процессы, запущенные на нашем компьютере. Если названия некоторых говорят сами за себя (к примеру, explorer.exe или winlogon.exe), то название процесса svchost.exe на какие-либо мысли кроме какого-то хоста не приводит. К тому же, уж очень смущает то, что этот процесс запущен раз 5, как минимум.
Дело в том, что процесс svchost.exe предназначен для запуска служб, не имеющих собственного запускаемого файла с расширением exe – он запускает службы, хранящиеся в dll библиотеках. Для каждой подобной службы в диспетчере задач запущен собственный процесс svchost.exe.
В последнее время зачастили вирусы, маскирующиеся под процесс svchost.exe, благодаря чему бывает довольно сложно их вычислить. Первый звоночек поступает, если открыв диспетчер задач (Ctrl+Alt+Del) вы обнаруживаете, что один из процессов svchost.exe забирает примерно 95-100% ресурсов ЦП или чрезмерный объем оперативной памяти. Или же может смутить слишком большое количество запущенных процессов svchost.exe. Для того, чтобы справиться с подобной проблемой, необходимо выяснить, какие процессы и dll библиотеки скрываются под маской svchost.exe. Итак, приступим.
Запускаем командную строку – «Пуск» -> «Выполнить» -> cmd. В командной строке пишем следующую команду:
tasklist /svc /fi “imagename eq svchost.exe
После запуска команды перед нами отобразится список всех процессов svchost.exe в том порядке, в котором мы видим их в диспетчере задач, при этом напротив каждого процесса будет написано – какую службу он запускает. Найдя название паразитирующей службы, приступим к ее отключению. Допустим, служба, которую нам необходимо отключить, называется RpcSs.
Открываем «Управление компьютером» («Пуск» –> «Панель управления» –> «Администрирование» –> «Управление компьютером»). Затем в левой части окна переходим в подраздел «Службы и приложения» -> «Службы». Перед нами открылся список всех служб, установленных на данном ПК. Поскольку нас, к примеру, интересует служба RpcSs – находим созвучное название – «Удаленный вызов процедур (RPC)». Для того, чтобы убедиться, что служба именно та – щелкаем на ней дважды левой кнопкой мыши и в появившемся окне в строке «Имя службы:» видим имя искомой службы RpcSs. Для отключения службы необходимо нажать «Стоп» в этом же окне и изменить тип запуска на «Отключено»
З.Ы. Служба RpcSs выбрана для примера – имя вредоносного процесса вы должны определить сами.
Поделиться в соц. сетях
Рубрика: 
Метки: 
Loading ...
все вродебы сделал все вродебы нашол но на кнопку стоп нажать не дает не светится она у меня (((
тоже самое и у меня(((
Странно, но у меня почемуто не выполняеться команда tasklist /svc /fi “imagename eq svchost.exe
система: ХР Проф СП3
+1 не выполняется команда.ругается на параметр eq….
Если команду скопировали прямо с блога, то удалите и снова напишите кавычку перед imagename — это такой баг кодировок.
Если кнопка "Стоп" не светится, то, скорее всего, процесс системный и завершению не подлежит.
IMHO, гораздо проще скачать на http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx Process Explorer Марка Руссиновича (он бесплатный) и в нем посмотреть не только службы и программы, порождающие процесс, но и степень их опасности и их разработчика. В случае отсутствия оного, сразу ясно, что это зараза и комп надо лечить
Диспетчер процессов AVZ также способен дать исчерпывающую информацию о процессах, но умение работать с командой tasklist никогда не будет лишним (к примеру, в случае блокировки процессом всех сменных носителей).
"…вы обнаруживаете, что один из процессов svchost.exe забирает примерно 95-100% ресурсов ЦП или чрезмерный объем оперативной памяти."
чрезмерный объем — это примерно сколько?
Примерно больше 100 Кб.
А у меня все 5 — больше 100 Кб
(((((
Непорядок. Обновите AVZ и сделайте полную проверку. Также в AVZ отключите лишние процессы в автозапуске "Менеджер автозапуска" (они будут НЕ зелеными). Также могу посоветовать в AVZ запустить функцию "Восстановление системы" и отключить отладчиков системных процессов.
Здравствуйте! Вы мне не поможете? замучилась совсем с вирусами, а в компьютерах не то, что не сильна — это самая слабая моя сторона) у меня ситуация следующая:
http://i072.radikal.ru/1001/6d/093365eb2d96.jpg
все svchost.exe весят гораздо больше, чем 100 КБ, один даже около 14000КБ. и насчет паразитирующих служб, которые надо отключить — какие из них мне следует отключать? Спасибо заранее, Вы мне очень поможете своим ответом.
Чет я лоханулся))) Нет, конечно же, не 100 Кб имелось в виду, а 100 Мб.
Таня, у вас на скриншоте явно видно, что 87% ресурсов процессора и 54 Мб оперативной памяти забирает Rtvscan.exe — это часть антивируса от Symantec (Real Time Virus Scan). Советую сменить антивирус или поработать с его настройками.
Саша, а чем это плохо для компа? и что в настройках необходимо менять?
Таня, а вы не замечали за ним (компом), что он глючит? При потреблении сторонним процессом практически 90% процессорного времени машина должна непременно глючить. В настройках нужно установить, чтобы проверка компьютера на вирусы запускалась вручную, а не по расписанию автоматически. Точно сказать не могу, ибо не пользуюсь этим антивирусом.
В принципе, если нагрузка на процессор не мешает вам работать, можете не волноваться по этому поводу.
Я замечаю это каждый день, но не думала, что это из-за антивируса происходит. спасибо за разъяснения!
Вообще-то я думал что надо следить где находится svchost.exe если не в системных то рубить
Насчет системных не факт — ситуации бывают разные.
Была проблема похожего характера. из 5 служб в дипетчере задач олин занимал постоянно 95% общая загрузка 100% постоянно ( независимо в сети или нет) комп не вис но превращался в зомби. решение нашол случайно…
Пуск->Выполнить команда msconfig на вкладке Автозагрузка отменил подозрительный процесс..
А потом после перезагрузки Антивирус касперский 7.0 (базы 25.03.10) обнаружил троянскую програму
скриншот здесь… http://wassopotamia.moy.su/_ph/1/1/752633758.jpg
теперь работает все отлично……
привет кого не видел ) меня зовут Юра. у меня херня с компом какая то, подозреваю svchost. вобщих чертах : эксплорер виснет ппц как, на сайт drweb'a не заходит, да вообще любую деятельность с ним связанную не делает — виснет. скачал avz — папку с ним не открывает — виснет, с другими папками все ок, даже с того же инета скачанными. вчера думал что справился(Веб у меня по лицензии истек и меня сразу порвали вирусы ) — удалил вирус (ручками ) который в диспетчере отображался excel а в процессах algsvr.exe, не давал включать ни реестр ни таскманагер. все удалил — все ништяк, но седня опять та же петрушка — др веб не запускается, таскманагер с реестром не включаются. заметил новый пароцесс EXPLORER.EXE который не дает запусть нормальный эксплорер, гад. помогите чем можете, извиняюсь если не совсем по теме.
написал в цмд что просили, у меня выскочил список, все ок, там как раз svchost работает от RpcSs, это он самый?
Юрий, просто вирус восстановился после перезагрузки. Очевидно, вы не удалили источник, который заново регенерирует вредоносные процессы. Рекомендую проверить систему AVZ, а если не запускается — переименуйте запускаемый файл или папку.
Нет, RpcSs — это стандартная служба, грешить на нее не стоит. Просто я привел ее для примера. Попробуйте Process Explorer. Дважды щелкните на процессе, загружающем системный процессор и перейдите во вкладку Threads — там увидите проблемные файлы (они будут в самом верху и возле них будет написан процент потребляемых ресурсов).
Вопрос а сколько процессов svchost должно работать в windows 7
С Семеркой не работаю.
А может кто работает тот скажет почему у меня память на 7ке в режиме покоя компа грузитса не менее чем на 70% и грузят ее процессы svchost
что делать, если в командной строке, после команды пишет "сервер Rpc недоступен?"
у меня когда я команду в cmd ввожу то появляется окно и тутже исчезает что делать ?
tasklist /svc /fi “imagename eq svchost.exe
команда начинает выполняться загружается список процессов,после чего мнгновенно закрывается,как быть в таком случае?
сдраствуйте у мя такая проблема поставил AntivirTask вроде нормально работала потом бац я случайно поместил в карантин nt authority system после высветилось окно мол перезагрузка системы у вас 1 минута перезагружается потом как только запускается процесс AntivirTask опять происходит тоже самое я пошёл другим путём через другово пользователя удалил AntivirTask кое как потом вроде всё норм скачал утилиту каспера проверил на вирусы нашёл 2 или 3 почтовых хотя стоит Аваст на 1 год и таких не нашёл потом вроде всё норм 2 недели проходит я схватил банер а чтоб от него избавится надо ставить AntivirTask но если я ставлю у мя опять высвечивается окно у вас осталась 1 минута после комп перезагружается,пробовал через безопасный режим удалить или заблокировать вирус не получилось он опять перезагрузился я опять зашёл через другово пользователя зашёл в инет решил поинтересоваться что такое nt authority system выяснилось что это прога которая перезапускает комп в связке с svchost.exe я и про неё поинтересовался оказывается это дыра в службе видовс я пока оставил её и избавиля от nt authority system каким образом нашёл фаил userinit.exe он в диске C прячется щас удалил его заодно поставил сразу 2 антивируса на проверку Dr.web не чё не нашёл а Аваст нашёл парочку далее я почитал что такое svchost во как именно избавится от него чесно скажё у мя не получилось хоть я пробывал через cmd я заблокировал процесс RpcSs после этого остальные процессы svchost стали во много раз потреблять больше памяти компа хотя не факт что я окончательно избавился от банера пробовал через Process Explorer вычислить процес вообще не получилось она то вся на английском хрен поймёшь помогите плиз!!!!!!!
tasklist /svc /fi “imagename eq svchost.exe после ввода этой команды у меня появляется окно и тут же исчезает!
как мне поступить
Вводите постепенно. сначала Tasklist
потом tasklist /svc
и т.д.
для непонятливых там есть справка
tasklist /?
а у меря вообще не открывается
при отключении сети svchost.exe 1744 BthServ
забирает на себя 90 и более % процессора отключить нельзя комп. перезагружается ??? так и должно быть???
Написано всё понятно вполне. Проблема лишь найти это паразитирующую службу.
Вот смотрю список процессов, предположение такое: может отключить один из Net Driver HPZ12 или Pml Driver HPZ12? Может, они конфликтуют?
проделал вот это:
"Process Explorer. Дважды щелкните на процессе, загружающем системный процессор и перейдите во вкладку Threads — там увидите проблемные файлы (они будут в самом верху и возле них будет написан процент потребляемых ресурсов)."
однако вижу файл kernel32.dll который потребляет 50% проца, вопрос и че терь делать с ним?
задолбался я уже сам париться, вот пишу в надежде на то, что великие сисадмины не покинули ещё стен данного интернет святилища…
xp sp3 core2duo,если это важно
1 из 8 svchost.exe жрёт 50цп , иногда 48-52, но почти всегда ровно 50,поиск в avz не особо результативен ибо всё dll в svchost-ах настолько зелёные, что гринпис от радости помер бы неверное. А в Process Explorer под этим гадким svchost-том , жружим 50цп выводит вкладку wlcomm.exe живущую в windows live messenger — wlcomm.exe переименовал — результатов не дало.
убить не получается — делается рестарт компа с минутной задержкой nt authority/system(эту тему уже читал, посылать туда меня ненадо) и shutdown не помогает от него избавиться, а userinit.exe я уже на радостях первым делом удалил…
и ещё после всех моих извращений при запуске рабочий стол теперь не загружается, но что возможно сможет помочь понять что к чему — пока не запустиш %systemroot%\explorer.exe этот svchost.exe не появлятеся, как в общем и большинство других…
а по описаному в этой статье способу у меня сначала вредным был stisvc а теперь после перезапуска WebClient — который мне меньше всех нравиться и завтра с утра я именно его и буду пытать…а так каждый svchost имет следующие службы :
-DcomLaunch , TermService
-RpcSs-который вроде как нормальный
-AudioSrv,BITS,CryptSvc,Dhcp,dmserver,ERSvc,EventSystem,FastUserSwichingCompatibility,helpsvc,hidServ,LanmanServer,lanmanworkstation,Netman,Nla,RasMan,Schedule,seclogon,SENSSharedAccess,ShellHWDetection,srservice,tepiSrv,Themes,TrkWks,W32Time,winmgmt,WZCSVC
-WudfSvc
-Dnscache
-Alerter,LmHosts,RemoteRegistry,SSDPSRU
-WebClient
-stisvc
к тому же в службах я особо ничего не нашёл…
ну чтож,предоставил наверное всё что смог вспомнить и откопать… надеюсь кто-нибудь сможет помочь
http://sis-admin.blogspot.com/2009/03/nt-authority-system.html
ты не единственный)
у меня обнаружилась такая же RpcSs
у меня не работает служба tasklist
Блютус-сеть?
нажимайте «Kill Process». Кстати, Process Explorer выложил в раздел Загрузки
Здравствуйте!
А будет ли статья про процесс system? У меня он грузил процессор и занимал до 1,5 Гб ОЗУ. Собственно из-за него и набрёл на ваш блог. Восстановил систему Acronis’ом, но если проблема появится опять, хочу её встретить во всеоружии
Ну не думаю, что можно целую статью посвятить этой проблеме) Просто делайте как в моем предыдущем комментарии, т.е. через Process Explorer определите какая именно библиотека бесчинствует в процессе SYSTEM и отключите ее. После чего полностью просканируйте систему DrWeb CureIt.
вобщем была эта проблема, постоянно вырубал этот процесс svchost.exe тк не мог норм работать за компьютером(он появлялся через секунд 15 постоянно) и вот зашел на ваш сайт думаю надо все сделать как сказано
и смотрю а он уже сук не появляется ждал ждал его так и не появился ) вот она сила вашего сайта ))) стоило только зайти
Ну повеселил!!))) Спасибочки! Надо наверно услуги по лечению живительной силой сайта предлагать))
А как узнать имена именно вредоносных процессов?
Кто может написать имена процессов которые должны быть?
Имя образа PID Службы
========================= ====== =============================================
svchost.exe 1064 DcomLaunch, TermService
svchost.exe 1112 RpcSs
svchost.exe 1152 AudioSrv, BITS, CryptSvc, Dhcp, dmserver,
EventSystem, FastUserSwitchingCompatibility,
helpsvc, HidServ, lanmanworkstation, Netman,
Nla, RasMan, Schedule, SENS, SharedAccess,
ShellHWDetection, srservice, TapiSrv,
Themes, W32Time, winmgmt, wscsvc, wuauserv,
WZCSVC
svchost.exe 1192 WudfSvc
svchost.exe 1240 Dnscache
svchost.exe 1700 hpqcxs08, hpqddsvc
svchost.exe 1920 Net Driver HPZ12
svchost.exe 1956 Pml Driver HPZ12
svchost.exe 1984 stisvc
svchost.exe 2576 SSDPSRV
МОЖЕТЕ ПОДСКАЗАТЬ КАКИЕ СЛУЖБЫ ИЗ НИХ ВРЕДОНОСНЫЕ?
Arslan, возможно вредоносен процесс WZCSVC. Лучше скачай у меня в разделе Загрузки утилиту Process Explorer, дважды щелкни на нужном процессе и проверь вкладку Threads. Там уже посмотри, какой файл потребляет слишком много процессорного времени.
Cпасибо за внимание, сейчас попробуем)
у меня стоп не светится что делать?