Svchost.exe вантажить процесор і пам’ять на 100%. Вірус чи ні?!
У всіх без винятку версії Віндовс, починаючи з XP і закінчуючи Windows 10, є спеціальний службовий процес — svchost.exe. Його повна назва Generic Host Process for Win32 Services або, в останніх версіях ОС, Host Process for Windows Services. З назви видно, що головна роль — це своєрідна універсальна платформа для виконання у системі різних сервісів і служб. Наприклад, Захисник Windows, служба шрифтів, DNS, SSDP та ін. Саме тому, відкривши диспетчер задач, Ви можете виявити там відразу кілька рядків svchost. І це абсолютно нормально.
Але таку універсальність не змогли оминути і різні вірусописьменники, маскуючи під цей процес шкідливі виконувані файли, а часом і просто використовують його знову ж таки як платформу для роботи свого вірусу. Пару років тому така зараза зустрічалася суцільно й поруч. Іноді навіть і у більш досвідчених користувачів.
Отже, в один прекрасний день у Вас почав сильно гальмувати комп’ютер. Ви відкрили Диспетчер завдань і побачили, що процес svchost.exe вантажить Windows по максимуму (процесор і пам’ять можуть бути завантажені до 100%). Що робити і як визначити — вірус це чи ні? Давайте розбиратися разом.
Почнемо з того, що просто відкриємо диспетчер завдань і дуже уважно подивимося на назву виконуваного файлу — svchost.exe. Він повинен називатися саме так, як я написав. Якщо під Generic Host Process вірус маскується, то зазвичай його виконуваний файл названий хоч і дуже схоже, але все ж відмінність можна побачити — втрачений або навпаки — додано один або кілька символів в назві. Приклади:
svchosts.exe svchost32.exe або svchosts32.exe svhost.exe svshost.exe svch0st.exe - знак "нуль" замість o svcchost.exe
Ось наочний приклад:
Друга ознака, за якою можна розпізнати вірус — розташування файлу. Виконуваний файл svchost.exe знаходиться в системному каталозі:
C:WindowsSystem32 — для 32-х бітний систем
C:WindowsSysWOW64 — для Windows x64
У деяких випадках копії файлу можуть знаходиться в директоріях:
C:WINDOWSServicePackFilesi386 — зазвичай у Windows 7 після інсталяції пакета оновлень SP1
С:WINDOWSwinsxs — каталог з файлами оновлення сервісів і служб
C:WINDOWSPrefetch — тут зберігаються дані про програми, які запускаються при старті системи.
Якщо ж використовується яка-небудь інша папка, як на скріншоті вище — це вірус.
Ок, з назвою та місцезнаходженням в системі визначилися.
Але як бути якщо все ніби правильно, а процес вантажить Windows по повній. Тоді треба шукати винуватця в службах використовують svchost для своєї роботи.
Тоді там же, в Диспетчері завдань, натискаємо правою кнопкою на завдання «свхост» і вибираємо пункт «Перейти до служб»:
Відкриється список служб. В ньому будуть виділені ті, які використовують платформу Generic Host Process:
По черзі натискаємо правою кнопкою миші на кожну з них, вибираємо в меню пункт «Зупинити» і дивимося на результат.
Увага: майте на увазі, що прибивши системний сервіс Ви можете порушити роботу Windows і доведеться перезавантажуватися.
Те ж саме можна зробити і через командний рядок Windows.
Для цього натискаємо комбінацію клавіш Win+R і у вікні «Виконати» вводимо команду CMD. Клікаємо на «ОК». Таким чином ми запустимо командний рядок Windows. Вводимо команду:
tasklist /svc
І дивимося які служби використовують Host Process для своєї роботи:
Звертайте увагу на ті рядки з svchost.exe, де вказана одна служба. Якщо їх там 3 і більше — пропускаємо, це системні сервіси з імовірністю 99,99%
Далі по черзі пробуємо завершувати такі поодинокі процеси командою:
taskkill /F /PID <идентификатор_PID>
Приклад:
taskkill /F /PID 1868
Результатом має бути повідомлення «Успішно: Процес завершено».
Таким чином досвідченим шляхом ми зможемо знайти винуватця і головного пожирача ресурсів системи і вирубати його. Ось тепер треба перевіряти системний диск гарною антивірусної програми — DrWeb CureIT або Kaspersky Antivirus на наявність зарази.
Увага! Описані вище дії передбачають наявність деякого досвіду роботи з операційними системами Windows. Для недосвідчених і початківців користувачів я пораджу відразу перейти до перевірки системи антивірусною програмою.
Так само, я б настійно рекомендував просканувати Windows відмінною безкоштовною утилітою ADWCleaner щоб видалити можливі рекламні або шпигунські модулі.
Як правило, після всіх цих дій проблема успішно усувається.
P. S.
В якості постскриптуму не можу не згадати і варіант зі збоєм роботи якої-небудь системної служби після чого вона теж може призвести до того, що svchost завантажує процесор і пам’ять по максимуму. В цьому випадку треба пробувати робити відкат системи до більш раннього стану. Якщо і це не допомагає — то вихід один — повна переустановка операційної системи.