Користувачі сьомої модифікації Windows часто стикаються з проблемою, коли якийсь процес Windows 7 Svchost.exe вантажить процесор. Рішення щодо усунення проблеми, як виявляється, лежить на поверхні. Однак для того, щоб точно визначитися, яку саме методику застосовувати для виправлення ситуації, спочатку необхідно розібратися з тим, що являє собою даний процес і пов'язані з ним службові компоненти, оскільки відключення деяких з них може спровокувати не тільки некоректну роботуОС, а й поява більш неприємних симптомів (навіть синій екранне виключається).

Svchost: що це за процес?

Оскільки проблеми підвищеного навантаження цією службою найчастіше спостерігаються саме в Windows 7, а в системах пізніших випусків майже не зустрічаються, при розгляді всіх аспектів відштовхуватимемося саме від сьомої модифікації.

Що це за компонент, що він споживає таку неймовірну кількість системних ресурсів? Це спеціалізований засіб запуску системних і користувальницьких програм, який, як стверджується розробниками з Microsoft, по ідеї має знижувати навантаження на систему в моменти запуску програм та їх компонентів, що виконуються, наприклад, представлених у вигляді динамічних бібліотек, що завантажуються при старті виконуваного компонента в якості додаткових об'єктів у оперативну пам'ять.

Якщо говорити більш простою і зрозумілою мовою, у Windows 7 самій системі не потрібно запускати кожну програму у вигляді окремого процесу, оскільки для цього використовується тільки один основний компонент, за рахунок якого і стартують всі програми, будучи прив'язаними до нього. А процес Svchost є свого роду посередницьким мостом між програмою, що запускається, і основним системним компонентом, що відповідає за її старт. Тобто всі програми і процеси, що стартують, через даний компонет підключаються до однієї-єдиної служби запуску.

Чому в «Диспетчері завдань» видно надто багато однойменних процесів?

Але основна служба старту у тому ж «Диспетчері завдань» не відображається. У ньому можна побачити тільки однойменні процеси Svchost, яких у звичайному стані бездіяльності може бути близько чотирьох, а за наявності працюючих програм - і більше.

Таким чином, якщо Svchost вантажить процесор і пам'ять, Windows 7 просто в даний момент обробляє дуже багато активних фонових (системних) і додатків користувача. Адже багато хто з них може бути досить ресурсомістким (візьміть хоча б AutoCAD або програми для обробки відео в реальному часі). У таких ситуаціях зазвичай у Windows 7 Svchost вантажить процесор на 50% (може трохи більше). Якщо ж помічені пікові навантаження, коли операційна система зависає і перестає реагувати на будь-які дії користувача, доведеться з'ясовувати причини того, чому це відбувається.

Windows 7: Svchost вантажить процесор на 100%. Чому?

Що ж до самих причин, їх може бути досить багато, і не завжди такі ситуації можуть бути спровоковані системними збоями (хоча, на превеликий жаль, без них не обходиться).

Але повернемося до ситуації, коли в Windows 7 Svchost.exe вантажить процесор занадто сильно. Найбільш ймовірними причинами такого явища називаються такі:

• короткочасні збої системних процесів;
• вірусне зараження;
• проблеми із службою оновлення системи;
• занадто велика кількість або збої супутніх служб та системних компонентів;
• некоректна робота тунельного адаптера;
• проблеми із компонентом SuperFetch;
• велика кількість комп'ютерного сміття.

У списку наведено лише основні аспекти, які далі й розглядатимуться. І для ситуацій, коли в Windows 7 Svchost.exe вантажить процесор, рішення для кожного конкретного випадку буде запропоновано саме виходячи з того, що стало першопричиною такої неприємної ситуації. Але про все по порядку.

Windows 7: Svchost (netsvcs) вантажить процесор: рішення щодо швидкого зниження навантаження

Багато користувачів абсолютно справедливо вважають, що знизити навантаження в найпростішому випадку можна шляхом завершення всіх процесів Svchost в диспетчері завдань. Так, справді, зробити це можна. Але в даному випадку це лише тимчасовий захід (а за наявності вірусів - не допомагає взагалі).

Те саме стосується і звичайного перезавантаження операційної системи. Після рестарту підвищеного споживання ресурсів, звичайно, не буде, але сам процес у вигляді чотирьох (як мінімум) файлів, що виконуються в «Диспетчері завдань» все одно буде присутнім. Цей системний компонентзавантажується разом із системою автоматично, а відключити його стандартними методами, скажімо, з використанням меню автозавантаження неможливо.

Перевірка системи на віруси

Але бувають ситуації і гірші. Припустимо, у Windows 7 Svchost вантажить процесор. Що робити, якщо користувач бачить у «Диспетчері завдань» десятка півтора рядків з посиланням на один і той же файл, що виконується, а навантаження на ЦП досягає максимальних пікових значень?

Очевидно, це є першою ознакою вірусного впливу, оскільки дуже багато загроз маскуються якраз під системний процес і здатні одночасно запускати кілька власних копій. Тут знадобиться ручне втручання користувача із запуском якоїсь потужної портативної утиліти для глибокої перевірки комп'ютера на віруси.

Найкраще використовувати сканер Dr. Web CureIt!, але оптимальним варіантом стане завантаження зі знімного носія із записаною на ньому утилітою Kaspersky Rescue Disk. Саме ця програма є безумовним лідером, оскільки стартує ще до завантаження ОС, може виявляти та нейтралізувати загрози, що глибоко влаштувалися не тільки в операційній системі, а й в оперативній пам'яті.

Визначити, що обраний процес відноситься саме до вірусної загрози, можна за додатковим атрибутом імені користувача. Їх може бути лише два: або NETWORK SERVICE, або LOCAL. Якщо користувач спостерігає будь-який інший опис, висновок є очевидним: це і є вірус, замаскований під оригінальний процес. В принципі, перед тим, як використовувати антивірусні утиліти, можна через ПКМ звернутися до директорії розташування супутнього файлу процесу і, якщо вийде, видалити його вручну.

Усунення проблем із оновленням системи

Але й віруси далеко не завжди є причиною того, що у Windows 7 Svchost (netsvcs) вантажить процесор. Найчастіше це пов'язано зі збоями автономного установника апдейтів (Центру оновлень).

Наприклад, якийсь пакет під час завантаження був недокачаний. Ось і виходить, що системна служба намагається його довантажити (при цьому запускається процес Svchost, їй відповідний), а результату немає. З іншого боку, і сам Центр оновлення може з якихось причин працювати некоректно. Для нього може знадобитися перезапуск.

У цьому випадку спочатку викликається розділ служб (services.msc), у якому необхідно знайти відповідний компонент, увійти до розділу редагування, зупинити службу та встановити для неї відключений тип запуску. Після цього систему потрібно перезавантажити та активувати службу повторно з автоматичним типом старту.

Вимкнення або зупинення пов'язаних служб

Якщо нічого із запропонованого не допомогло, а в Windows 7 Svchost вантажить процесор, рішення може зводитися до того, щоб подивитися, які саме процеси зіставлені файлу, що виконується, і по можливості відключити їх.

Для цього використовується все той же «Диспетчер завдань», в якому через ПКМ на кожному процесі потрібно подивитися на відповідну службу, перейти до основного розділу та на якийсь час відключити всі процеси, як це було показано трохи вище.

Виправлення проблем тунельного адаптера

Нечасто, але іноді можуть траплятися і нестандартні ситуації, пов'язані з роботою так званого саме через його неправильної роботиу Windows 7 Svchost вантажить процесор. Рішення полягає у коригуванні його параметрів або навіть у повному вимкненні.

Для цього найкраще використовувати командну консоль, що викликається через меню "Виконати" командою cmd. Далі в консолі прописуються рядки, показані на зображенні вище, а після їх виконання здійснюється повне перезавантаження комп'ютерної системи.

від сміття

Є і більше проста проблема, але така ж нав'язлива. Якщо у Windows 7 Svchost вантажить процесор, рішення, можливо, може бути якось пов'язане з комп'ютерним сміттям, наприклад, щодо браку вільного дискового простору для нормального функціонування самої операційної системи (зазвичай у системному розділі рекомендується тримати вільним приблизно 10 % від загального обсягу ).

Для початку можна очистити диск стандартним інструментом, якщо звернутися до властивостей розділу через меню ПКМ у «Провіднику». З іншого боку, деякі залишкові файли після деінсталяції програм у такий спосіб не видаляються. Але знаходити їх самому – справа досить проблематична. Як варіант, можна скористатися спеціальними програмами-чистильниками або оптимізаторами (CCleaner, Advanced SystemCare, Glary Utilitiesабо чимось подібним).

Проблеми SuperFetch

Ще однією з найпоширеніших ситуацій багато фахівців називають проблеми зі службою SuperFetch. Для її відключення можна застосовувати методи, запропоновані вище, із входом до розділу служб, зупинкою процесу та зміною типу запуску.

Однак найчастіше проблема навіть не в цьому, а в переповненні відповідного каталогу Prefetch, який розташований в корені системи. Саме через нього в Windows 7 Svchost вантажить процесор. Рішення найпростіше: самостійно видаліть директорію, завершіть усі процеси Svchost.exe в «Диспетчері завдань» та здійсніть перезавантаження. Після рестарту повторно активувати відключену службу не потрібно. Більшості користувачів, вона, загалом, зовсім не потрібна, а крім іншого, є досить «ненажерливою» в плані споживання системних ресурсів, що на слабких комп'ютерних конфігураціях і призводить до сумних наслідків.

Якщо ж у «Диспетчері завдань» спостерігається активація процесу з ім'ям виконуваного файлу wuauclt.exe, необхідно знайти директорію SoftwareDistribution (кореневий каталог ОС) та видалити з неї всі вкладені папки та файли, після чого, як завжди, зробити рестарт комп'ютера. Також можна перейменувати і сам оригінальний каталог, надавши йому ім'я з доповненням «.old» і перезавантажити негайно навіть без видалення.

Короткі підсумки

Ось і все, що стосується основних причин появи підвищених навантажень на центральний процесор та оперативну пам'ять, а також основних методів їх усунення. Щоправда, у певному сенсі сказати одразу, що спровокувало таке явище, дуже складно. З упевненістю це можна зробити тільки за вірусному зараженніабо у випадку, коли в «Центрі оновлення» не працює навіть ручна перевіркаапдейтів чи їх встановлення. У всіх інших ситуаціях доведеться виконувати кожну дію окремо. Якщо не брати до уваги можливих збоїв або пошкоджень заліза (зокрема, це стосується планок ОЗП), хоча б одна методика, але позитивний ефект дасть у будь-якому випадку.

Про всяк випадок багато фахівців рекомендують очистити журнал подій системи, в якому зберігаються LOG-файли. Його можна викликати через консоль "Виконати" рядком eventvwr, після чого для розділів додатків, системи, безпеки та установки через ПКМ використовувати пункти очищення. Після закінчення всіх дій систему обов'язково потрібно перезавантажити.

Якщо запропоновані методи з якихось причин не працюють, ідентичні дії можна зробити в режимі Safe Mode, натиснувши під час старту F8.

Починаючи з версії Windows XP в операційних системах цього сімейства з'явилася одна неординарна служба - Svchost.exe (netsvcs). У початковому варіанті вона здебільшого відповідала за мережеві підключення, але згодом стала використовуватися ширше. Не секрет, що саме процес Svchost.exe (netsvcs) вантажить процесор (Windows 7). Як усунути проблему та вимкнути непотрібні компоненти, зараз і буде показано. Але спочатку розберемося, що це за процес і для чого він потрібний.

Служба Svchost.exe (netsvcs): що це за процес?

За основу візьмемо Windows 7, оскільки в системах рангом вище проблема із зазначеною службою виражена не так яскраво.

Саме починаючи з сьомої модифікації Windows розробникивирішили зробити систему швидше, використавши для цього, як вони вважали, універсальне рішення, суть якого зводилася до того, щоб не викликати виконуваний файл якогось системного або користувача процесу, а запускати його за допомогою однієї служби у фоновому режимі.

Принцип роботи служби

Якщо переглянути список процесів у «Диспетчері завдань», можна побачити кілька служб Svchost.exe (netsvcs). Що це і чому так відбувається, стане зрозумілим, якщо розібратися в основних принципах роботи даного компонента.

Взагалі, у процесах може бути від чотирьох (мінімум) і більше таких компонентів, але всі вони відносяться до однієї групи (netsvcs). Принцип роботи процесу полягає в тому, щоб запускати системні процеси через спеціальні svc-хости за допомогою інструмента Services.exe. У цьому випадку супутні компоненти будь-якої програми (наприклад, динамічні бібліотеки DLL, які звичайним способом виконання системи не приймаються) завантажуються в оперативну пам'ять. Як вважається, це дозволяє прискорити старт додатків, що виконуються (у тому числі і користувацьких).

Чому процес навантажує оперативну та віртуальну пам'ять?

Але чому тоді процес Svchost.exe (netsvcs) вантажить пам'ять Windows 7? Рішення щодо усунення такої проблеми доведеться приймати виходячи з причин такої поведінки системи. Серед них основними називають такі:

• вплив вірусів, що маскуються під процеси Svchost.exe;
• порушення в роботі засобу пошуку та встановлення оновлень Windows;
• накопичення комп'ютерного сміття при інтернет-серфінгу;
• проблеми з тунельним адаптером;
• увімкнена служба Prefetch.

При цьому варто зазначити, що процес Svchost.exe (netsvcs) вантажить фізичну пам'ять(оперативну та віртуальну, яка використовує зарезервоване на вінчестері місце для завантаження компонентів програм при нестачі ОЗП).

У найпростішому випадку від надмірного навантаження можна позбутися звичайним рестартом системи. Але це дає лише короткочасний ефект, як і завершення кожного процесу у тому «Диспетчері завдань». Тому доведеться вживати кардинальних заходів.

Перевірка на наявність вірусів та шкідливих кодів

Насамперед треба визначити наявність вірусів, що маскуються в системі під процеси Svchost.exe (netsvcs), можна за їх атрибутами в «Диспетчері завдань». У запущених службах з іменем користувача в описі процесів можуть стояти лише атрибути Network Service, Local Service або System. Якщо вказано щось інше (найчастіше Admin), одразу потрібно розпочинати перевірку.

У найпростішому варіанті можна скористатися штатним сканером, але здебільшого це результату не дає (адже, зважаючи на все, антивірус вже пропустив загрозу). Більшість фахівців рекомендують використовувати незалежні утиліти, серед яких однією з найпотужніших є Rescue Disk від Лабораторії Касперського. Антивірус можна завантажити з диска або флешки ще до старту Windows, а він здатний знаходити віруси, навіть дуже глибоко інтегровані в систему.

Svchost.exe (netsvcs) вантажить пам'ять Windows 7. Рішення - служба оновлення системи

Ще однією поширеною проблемою багато експертів називають проблеми із «Центром оновлення». Буває так, що Svchost.exe (netsvcs) вантажить процесор (Windows 7) без видимих ​​причин (як здається). Але є причина. Вона полягає в тому, що деякі оновлення могли бути недовантажені, тому система намагається завантажити і встановити їх знову і знову.

Вимкнення пошуку та інсталяції апдейтів через «Центр оновлення», що викликається з «Панелі керування», може не спрацювати (навіть під час встановлення режиму автоматичного пошуку та пропозиції установки на розсуд користувача). В даному випадку найкраще використовувати командний рядок, запущену від імені адміністратора, в якій прописуються три команди з наступним натисканням клавіші введення після кожної з них (для будь-якої версії Windows):

• для зупинки служби – net stop wuauserv;
• для відключення фонової інтелектуальної передачі – net stop bits;
• для деактивації оптимізації доставки – net stop bits.

Завершення пов'язаних процесів

Тепер подивимося ще один варіант деактивації процесів Svchost.exe (netsvcs). Як вимкнути компоненти, пов'язані зі службою? Спочатку слід з'ясувати, які саме процеси до неї «прив'язані» та викликаються при старті системи, але відсутні у меню автоматичного завантаження.

Для цього в «Диспетчері завдань» потрібно знайти всі рядки, що містять Svchost.exe (netsvcs), відсортувавши процеси в алфавітному порядку.

На вибраному процесі через меню правого кліка потрібно перейти до служб, використовуючи для цього відповідний рядок.

Кожну службу можна зупинити прямо тут або відкрити розділ управління сервісами (зробити це також можна і через меню запуску програм «Виконати» (Win + R), де вводиться команда services.msc. Але такий варіант трохи незручний тільки тому, що доведеться запам'ятовувати назву кожного сервісу, а потім шукати його в дереві служб.

Далі, подвійним клікомвикликається меню налаштувань, де служба або зупиняється відповідною кнопкою, або їй надається інший пріоритет запуску або повного відключення. Але перестаратися не варто так можна відключити важливі системні процеси, що може негативно позначитися на роботі всієї ОС (аж до відмови, після якого доведеться проводити відновлення або так званий відкат до попереднього працездатного стану).

Видалення комп'ютерного сміття та оптимізація реєстру

У деяких випадках навантаження на систему з боку процесів Svchost.exe (netsvcs) може бути пов'язане з банальним засміченням комп'ютерного сміття.

Проводити очищення власними силами - заняття дуже клопітне, тому для спрощення роботи варто використовувати оптимізатори на кшталт CCleaner, Glary Utilities, Advanced SystemCare, в яких для сканування потрібно відзначити не лише видалення тимчасових файлів або очищення кешу, але й увімкнути пошук проблем системному реєстріз подальшим виправленням чи видаленням невірних ключів і навіть дефрагментацією.

Усунення проблем із тунельним адаптером

Нечасто, але трапляється проблема з тунельним адаптером Teredo. При цьому навіть деякі елементи керування ним можуть банально зависати. Виходом із такої ситуації стане відключення відповідного протоколу (особливо якщо він включений за умовчанням, але не використовується).

Для його деактивації потрібно запустити командний рядок з правами адміну і прописати дві команди: netsh interface ipv6 set teredo disable і netsh interface teredo set state disable, а після виконання перезавантаження комп'ютерного терміналу.

Перевірка стану служби SuperFetch

Нарешті, ще однією глобальною проблемою, щоправда, частково пов'язаною з процесами Svchost, вважається активована служба запам'ятовування програм і додатків, що часто використовуються, для оптимізації або прискорення їх запуску, яка називається SuperFetch.

Вимкнути цей компонент можна через розділ керування службами (services.msc) з вибором потрібного типузапуску або зробити аналогічні дії у системному реєстрі, що не дуже зручно.

Але, як вважається, самим простим методомзниження навантаження на системні ресурсисаме до цієї служби є видалення папки Prefetch, яка знаходиться в кореневій директорії Windows у системному розділі. Після цього можна буде завершити всі процеси Svchost у стандартному «Диспетчері завдань» і зробити повний рестарт Windows.

Підсумки

Що ж можна сказати про розглянуті процеси, якщо підбивати деякі підсумки та робити висновки? Серед основних причин, що викликають підвищене використання системних ресурсів, і особливо Windows 7, основними є проблеми впливу вірусів, збої в роботі служби апдейта і сервісу SuperFetch. Але така ситуація в більшості випадків проявляється на малопотужних комп'ютерах, які є надто слабкими для одночасної підтримки оптимізації запуску великої кількості ресурсомістких програм. І що найцікавіше, найчастіше основний удар на себе приймає не процесор, а оперативна пам'ять, використання якої в деяких випадках може досягати і ста відсотків. Нестача обсягу ОЗП призводить до того, що система починає активно використовувати віртуальну пам'ять (місце на жорсткому диску), що призводить до сильного уповільнення при зверненні до вінчестера.

Що ж до вирішення цієї проблеми, слід використовувати кожен із наведених вище методів. Але доведеться бути вкрай обережним, щоб не завершити якусь системну важливий процес(хоча в цьому випадку може просто наслідувати мимовільне перезавантаження з відновленням). А ось компонент SuperFetch на сучасних машинах з великими обсягами RAM та потужними процесорамивідключати не варто. Таке рішення застосовується лише у випадку зі застарілим комп'ютерним обладнанням.

Svchost.exe - файл, що виконується, «налякав» не одного користувача. Хоча це слово можна було б написати і без лапок. Цей процес своєю повною, стовідсотковою завантаженням процесора комп'ютера дійсно лякає.
За що відповідає цей процес, чому відбувається повне завантаження та як із цим боротися – тема сьогоднішньої статті.

Svchost вірус чи системний процес?

Svchost.exe – процес, який завантажує динамічні DLL-бібліотеки. Усі служби, які використовують такі файли, звертаються до цього процесу. Ця операція є у всіх версіях операційної системи Windows, від першої, 2000, і до останньої, десятки.

Щоб не витрачати процесорний час і не навантажувати оперативну пам'ять, розробники призначили один процес відразу кількох служб. Це рішення розробників деякі користувачі вважають помилковим, оскільки воно має низку недоліків. І ось чому.

Важлива інформація! Svchost.exe постійно використовується зловмисниками, які створюють трояни і віруси, для того, щоб замаскувати під цей процес свої файли, що виконують, часом, непоправну шкоду операційній системі. Те, що процес запускає кілька служб відразу, на руку розробникам шкідливих програм. І коли у користувача виникають проблеми та підозра на віруси в системі, він запускає диспетчер, а там цих svchost.exe мало не десяток. І як вгадати, під яким із цих однакових процесів ховається шкідливий файл?

Так як цей процес є системним, дозволеним для запуску операційною системою, то і завершити його загрожує нестабільною роботою комп'ютера або критичними помилками. Тому багато користувачів звертають увагу на інші файли, сподіваючись знайти шкідливі коди та програми в інших місцях ОС.

Важлива інформація! Процес svchost.exe ніколи не запускається від імені адміністратора (користувача). Цю операцію запускають лише системні сервіси, NETWORK та LOCAL SERVICE, а також SYSTEM через свої механізми. Якщо операція запущена Run-розділом реєстру - це повністю вірусний виконуваний файл.

Способи вирішення проблеми з svchost.exe

Рішення першеУ деяких випадках просте перезавантаження комп'ютера може вирішити багато проблем, тому цей варіант ми поставили в основу.

Рішення друге Перевірте вірусну активність у системі. Вона перевіряється самостійно або запускається. Але найпростіше переглянути віруси, а ось програма навряд чи помилиться. Але для надійності перевірте систему спочатку у ручному режимі, а потім запустіть антивірусну перевірку спеціальною утилітою.

Знайдіть вкладку «Процеси».

Щоб зручніше було перевіряти, відсортуйте всі процеси залежно від того, як вони навантажують систему, або скільки споживають оперативну пам'ять. Це можна зробити в стовпцях «Пам'ять» та «ЦП».

Клацніть на ці два стовпці, система відсортує процеси, і першими будуть йти ті, що споживають більше ресурсів. Ви побачили кілька файлів svchost.exe.

Тепер ви повинні подивитися, від імені якого запущені виконувані файли. Якщо від системи (SYSTEM), NETWORK і LOCAL SERVICE, це безпечні процеси, запущені ОС.

А якщо вам цікаво, від імені якого (якою службою) запущено процес svchost.exe, клацніть на кожному з них і перейдіть в окрему вкладку.

Тут ви побачите, яка служба ініціювала запуск цього процесу.

Тільки після цього можна відключити служби по черзі, щоб вирішити проблему перезавантаження процесора та великого споживання оперативної пам'яті.

Багато ресурсів зазвичай споживають «Допоміжна служба IP» та та, що відповідає за автоматичне оновлення програмного забезпеченнякомп'ютера.

Відключіть по черзі першу та другу службу, але у другому випадку ви не отримуватимете автоматичні оновленнядля операційної системи і всі ці процеси доведеться запускати вручну.

За допомогою допоміжної служби IP підтримується IPv6, який не використовується масово, тому можете сміливо її вимкнути. На роботі операційної системи це не позначиться.

Трапляються випадки, коли вірус, замаскований під svchost.exe, заражає саму антивірусну програму, встановлену на операційній системі, і тому вона його не розпізнає та видає некоректні результати перевірки.

Щоб сканування на вірусну активність було успішним, користуйтеся не встановленими антивірусами, а безкоштовними утилітами, які спеціально призначені для таких одноразових перевірок, наприклад, від лабораторії Касперського. Щоб запустити перевірку, завантажену на комп'ютер, скопіюйте на знімний носій. Потім увімкніть систему в безпечному режиміта перевірте за допомогою утиліти.

Рішення третєПеревірте вихід нових оновлень для операційної системи Windows, і якщо вони з'явилися, встановіть усе.

Рішення четвертеМожна відновити операційну системуз останньої контрольної точки. Суть у тому, що створюється контрольна точка за цілком працездатної операційної системи. А при виникненні проблем систему можна відкотити (відновити), використовуючи рано створену контрольну точку. Комп'ютер завантажується з робочими параметрами, і операційна система працює у колишньому режимі.

Рішення п'ятеПапка Prefetch використовується комп'ютером для того, щоб запускати програми та прискорювати операційну систему. У цю папку система зберігає параметри попередніх завантажень. Видаліть усе, що там збережено. Prefetch можна знайти в системному каталозі ( папка Windows) операційної системи.

Системний файл svchostдосить часто стає мішенню для хакерських атак. Більше того, вірусописувачі маскують своїх шкідників під його програмну «зовнішність». Один із найяскравіших представників вірусів категорії «лже-svchost» – Win32.HLLP.Neshta (класифікація Dr.Web).

Цей "самозванець" копіює себе в директорію Windows, заражає файли з розширенням "exe" та забирає системні ресурси (оперативну пам'ять, інтернет-трафік). Втім, він здатний і на інші гидоти. Відомі випадки інфікування, коли вірусний svchost завантажує ОЗУ комп'ютера на 98-100%, відключає інтернет-канал, порушує функціонування локальної мережі.

Файли svсhost - добрі та злі, або хто є хто

Вся складність нейтралізації вірусів цього типу полягає в тому, що є ризик пошкодити/видалити довірений файл Windows з ідентичною назвою. А без нього ОС працювати не буде, її доведеться встановлювати заново. Тому, перш ніж приступити до процедури очищення, ознайомимося з особливими прикметами довіреного файлу та «чужинця».

Справжній процес

Керує системними функціями, які запускаються з динамічних бібліотек (.DLL): перевіряє та завантажує їх. Слухає мережеві порти, Передає з них дані. Фактично є службовим додатком Windows. Знаходиться в директорії С: → Windows → System 32. У версіях ОС XP/7/8 у 76% випадків має розмір 20,992 байти. Але й інші варіанти. Докладніше з ними можна ознайомитися на розпізнавальному ресурсі filecheck.ru/process/svchost.exe.html (посилання – «ще 29 варіантів»).

Має такі цифрові підписи(у диспетчері завдань колонка «Користувачі»):

• SYSTEM;
• LOCAL SERVICE;
• NETWORK SERVICE.

Хакерська підробка

Може перебувати в наступних директоріях:

• C:\Windows
• C:\Мої документи
• C:\Program Files
• C:\Windows\System32\drivers
• C:\Program Files\Common Files
• C:\Program Files
• C:\Мої документи

Крім альтернативних директорій, хакери як маскування вірусу використовують практично ідентичні, схожі на системний процес, назви.

Наприклад:

• svch0st (цифра "нуль" замість літери "o");
• svrhost (замість «с» літера «r»);
• svhost (ні «с»).

Версій «вільного трактування» назви безліч. Тому необхідно виявляти підвищену увагу під час аналізу діючих процесів.

Увага!Вірус може мати інше розширення (на відміну від exe). Наприклад, "com" (вірус Neshta).

Отже, знаючи ворога (вірус!) в обличчя, можна сміливо братися до його знищення.

Спосіб №1: очищення утилітою Comodo Cleaning Essentials

Cleaning Essentials - антивірусний сканер. Використовується як альтернативний програмного засобуз очищення системи. До нього додаються дві утиліти для детектування та моніторингу об'єктів Windows (файлів та ключів реєстру).

Де скачати та як встановити?

1. Відкрийте у браузері comodo.com (офіційний сайт виробника).

Порада!Дистрибутив утиліти краще завантажувати на здоровому комп'ютері (якщо є така можливість), а потім запускати з USB-флешки або CD-диска.

2. На головній сторінцінаведіть курсор на розділ "Small & Medium Business". У підменю, що відкрилося, виберіть програму Comodo Cleaning Essentials.

3. У блоці завантаження у спадному меню виберіть розрядність вашої ОС (32 або 64 bit).

Порада!Розрядність можна дізнатися через системне меню: відкрийте «Пуск» → введіть у рядок «Відомості про систему» ​​→ клацніть по утиліті з такою самою назвою у списку «Програми» → перегляньте рядок «Тип».

4. Натисніть кнопку «Free Download». Дочекайтеся завершення завантаження.

5. Розпакуйте завантажений архів: клік правою кнопкоюза файлом → «Витягнути все…».

6. Відкрийте розпаковану папку і клацніть двічі лівою кнопкою по файлу «CCE».

Як налаштувати та очистити ОС?

1. Виберіть Custom scan (вибіркове сканування).

2. Зачекайте, поки утиліта оновить свої сигнатурні бази.

3. У вікні параметрів сканування встановіть галочку навпроти диска С. А також увімкніть перевірку всіх додаткових елементів(«Memory», «Critical Areas..» та інших.).

4. Натисніть кнопку Scan.

5. Після завершення перевірки дозвольте антивірусу видалити знайдений вірус-самозванець та інші небезпечні об'єкти.

Примітка.Крім Comodo Cleaning Essentials, для лікування ПК можна використовувати інші аналогічні антивірусні утиліти. Наприклад, Dr. Web CureIt!

Допоміжні утиліти

У пакет лікуючої програми Cleaning Essentials входять два допоміжні інструменти, призначені для моніторингу системи в реальному часі та детектування зловредів вручну. Їх можна використовувати в тому випадку, якщо вірус не вдасться знешкодити в процесі автоматичної перевірки.

Додаток для швидкої та зручної роботи з ключами реєстру, файлами, службами та сервісами. Autorun Analyzer визначає розташування вибраного об'єкта, при необхідності може видалити або скопіювати його.

Для автоматичного пошуку файлів svchost.exe у розділі "File" виберіть "Find" і введіть ім'я файлу. Проаналізуйте знайдені процеси, керуючись властивостями, наведеними вище (див. «Хакерська підробка»). При необхідності видаліть підозрілі об'єкти через контекстне менюутиліти.

Моніторить запущені процеси, мережеві з'єднання, фізичну пам'ять та навантаження на ЦП. Щоб «відловити» підроблений svchost за допомогою KillSwitch, виконайте такі дії:

1. На вкладці «Система» відкрийте розділ «Процеси».
2. Проаналізуйте всі активовані процеси svchost:
   • клацніть правою кнопкою по файлу;
   • виберіть "Властивості";
   • перегляньте його поточну директорію. Якщо вона відмінна від С: Windows system32, найімовірніше, що досліджуваний об'єкт є вірусом.

У разі виявлення зловреда:

1. Додатково перегляньте у його полі графу «Оцінка» (safe – безпечний) та підпис.
2. Якщо ці властивості також не відповідають характеристикам довіреного системного файлу, знову активуйте контекстне меню (клік правою кнопкою). Потім послідовно запустіть функції «Зупинити» та «Видалити».
3. Продовжуйте перевірку, можливо вірус створив і запустив свої копії. Їх теж в обов'язковому порядку необхідно позбутися!

Спосіб №2: використання системних функцій

Перевірка автозавантаження

1. Клацніть "Пуск".
2. Наберіть у пошуковому рядку msconfig та натисніть «Enter».
3. У вікні «Конфігурація системи» перейдіть на вкладку «Автозавантаження».
4. Перегляньте команди (колонка «Команда»), які запускають елементи при запуску Windows, та їх розташування (директорії, ключі реєстру в колонці «Розташування»):
   • Усі директиви, що містять svchost, відключіть (приберіть кліком галочку біля запису). Це 100% вірус. Системний процес з однойменною назвою ніколи не прописується в автозавантаженні.
   • Відкрийте директорію зловреда (вказана в «Розташуванні») та видаліть його. Для нейтралізації ключа в реєстрі використовуйте штатний редактор regedit: Win + R → regedit → Enter.

Аналіз активних процесів

1. Натисніть "Ctrl + Alt + Del".
2. Клацніть на вкладці «Процеси».
3. Перевірте властивості всіх активних svchost (ім'я, розширення, розмір, розташування). При аналізі орієнтуйтесь на дані сервісу filecheck.ru та характеристики, наведені у цій статті.

Клацніть правою кнопкою на ім'я образу. У меню виберіть "Властивості".

У разі виявлення вірусу:

• у властивостях об'єкта дізнайтеся про його розташування (скопіюйте або запам'ятайте);
• натисніть "Завершити процес";
• перейдіть до директорії зловреда та видаліть його за допомогою штатної функції (клік правою кнопкою → Видалити).

Якщо важко визначити: довірений чи вірус?

Іноді однозначно складно сказати, чи є svchost справжнім чи підробкою. У такій ситуації рекомендується провести додаткове детектування на безкоштовному онлайн-сканері Virustotal. Цей сервіс для перевірки об'єкта наявність вірусів використовує 50-55 антивірусів.

1. Відкрийте у браузері virustotal.com.
2. Натисніть "Виберіть файл".
3. У провіднику Windowsвідкрийте директорію процесу, який потрібно перевірити, виділіть його кліком, а потім натисніть «Відкрити».
4. Для запуску сканування натисніть «Перевірити!». Файл завантажиться з ПК на сервіс і автоматично розпочнеться сканування.
5. Ознайомтеся із результатами перевірки. Якщо більшість антивірусів детектують об'єкт як вірус, його потрібно видалити.