Svchost.exe вантажить процесор і пам’ять на 100%. Вірус чи ні?!

У всіх без винятку версії Віндовс, починаючи з XP і закінчуючи Windows 10, є спеціальний службовий процес — svchost.exe. Його повна назва Generic Host Process for Win32 Services або, в останніх версіях ОС, Host Process for Windows Services. З назви видно, що головна роль — це своєрідна універсальна платформа для виконання у системі різних сервісів і служб. Наприклад, Захисник Windows, служба шрифтів, DNS, SSDP та ін. Саме тому, відкривши диспетчер задач, Ви можете виявити там відразу кілька рядків svchost. І це абсолютно нормально.
Але таку універсальність не змогли оминути і різні вірусописьменники, маскуючи під цей процес шкідливі виконувані файли, а часом і просто використовують його знову ж таки як платформу для роботи свого вірусу. Пару років тому така зараза зустрічалася суцільно й поруч. Іноді навіть і у більш досвідчених користувачів.
Отже, в один прекрасний день у Вас почав сильно гальмувати комп’ютер. Ви відкрили Диспетчер завдань і побачили, що процес svchost.exe вантажить Windows по максимуму (процесор і пам’ять можуть бути завантажені до 100%). Що робити і як визначити — вірус це чи ні? Давайте розбиратися разом.
Почнемо з того, що просто відкриємо диспетчер завдань і дуже уважно подивимося на назву виконуваного файлу — svchost.exe. Він повинен називатися саме так, як я написав. Якщо під Generic Host Process вірус маскується, то зазвичай його виконуваний файл названий хоч і дуже схоже, але все ж відмінність можна побачити — втрачений або навпаки — додано один або кілька символів в назві. Приклади:

svchosts.exe 
svchost32.exe або svchosts32.exe 
svhost.exe 
svshost.exe 
svch0st.exe - знак "нуль" замість o 
svcchost.exe

Ось наочний приклад:

Друга ознака, за якою можна розпізнати вірус — розташування файлу. Виконуваний файл svchost.exe знаходиться в системному каталозі:

C:WindowsSystem32 — для 32-х бітний систем
C:WindowsSysWOW64 — для Windows x64

У деяких випадках копії файлу можуть знаходиться в директоріях:
C:WINDOWSServicePackFilesi386 — зазвичай у Windows 7 після інсталяції пакета оновлень SP1
С:WINDOWSwinsxs — каталог з файлами оновлення сервісів і служб
C:WINDOWSPrefetch — тут зберігаються дані про програми, які запускаються при старті системи.
Якщо ж використовується яка-небудь інша папка, як на скріншоті вище — це вірус.
Ок, з назвою та місцезнаходженням в системі визначилися.
Але як бути якщо все ніби правильно, а процес вантажить Windows по повній. Тоді треба шукати винуватця в службах використовують svchost для своєї роботи.
Тоді там же, в Диспетчері завдань, натискаємо правою кнопкою на завдання «свхост» і вибираємо пункт «Перейти до служб»:

Відкриється список служб. В ньому будуть виділені ті, які використовують платформу Generic Host Process:

По черзі натискаємо правою кнопкою миші на кожну з них, вибираємо в меню пункт «Зупинити» і дивимося на результат.

Увага: майте на увазі, що прибивши системний сервіс Ви можете порушити роботу Windows і доведеться перезавантажуватися.

Те ж саме можна зробити і через командний рядок Windows.
Для цього натискаємо комбінацію клавіш Win+R і у вікні «Виконати» вводимо команду CMD. Клікаємо на «ОК». Таким чином ми запустимо командний рядок Windows. Вводимо команду:

tasklist /svc

І дивимося які служби використовують Host Process для своєї роботи:

Звертайте увагу на ті рядки з svchost.exe, де вказана одна служба. Якщо їх там 3 і більше — пропускаємо, це системні сервіси з імовірністю 99,99%
Далі по черзі пробуємо завершувати такі поодинокі процеси командою:

taskkill /F /PID <идентификатор_PID>

Приклад:

taskkill /F /PID 1868

Результатом має бути повідомлення «Успішно: Процес завершено».

Таким чином досвідченим шляхом ми зможемо знайти винуватця і головного пожирача ресурсів системи і вирубати його. Ось тепер треба перевіряти системний диск гарною антивірусної програми — DrWeb CureIT або Kaspersky Antivirus на наявність зарази.

Увага! Описані вище дії передбачають наявність деякого досвіду роботи з операційними системами Windows. Для недосвідчених і початківців користувачів я пораджу відразу перейти до перевірки системи антивірусною програмою.

Так само, я б настійно рекомендував просканувати Windows відмінною безкоштовною утилітою ADWCleaner щоб видалити можливі рекламні або шпигунські модулі.

Як правило, після всіх цих дій проблема успішно усувається.

P. S.
В якості постскриптуму не можу не згадати і варіант зі збоєм роботи якої-небудь системної служби після чого вона теж може призвести до того, що svchost завантажує процесор і пам’ять по максимуму. В цьому випадку треба пробувати робити відкат системи до більш раннього стану. Якщо і це не допомагає — то вихід один — повна переустановка операційної системи.

 

 

Related posts

 
 

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

http://poradumo.com.ua/193925-svchost-exe-vantajit-procesor-i-pamiat-na-100-virys-chi-ni/