آیا امکان حذف svchost وجود دارد؟ فرآیند svchost و نحوه تشخیص آن از ویروسی که در آن پنهان شده است

Svchost.exe نام یک فرآیند سیستمی است که تحت آن تعدادی ویروس خود را پنهان می کنند. این بدافزار ممکن است باعث شود اتصال اینترنت خود را از دست بدهید یا باعث خرابی جدی سیستم شود. بنابراین، مهم است که بدانید چگونه svchost exe را قبل از توقف کار رایانه خود حذف کنید.

آشکار شدن

تشخیص ویروس svchost.exe در رایانه بسیار دشوار است. مشکل این است که svchost یک ماژول سیستم ویندوز است که خدمات را اجرا می کند. غیرفعال کردن این خدمات ممکن است منجر به خطا و عملکرد نادرست سیستم شود.

ویروس های مختلف فقط این نام را به خود اختصاص می دهند و در میان فرآیندهای واقعا مفید در Task Manager پنهان می شوند.

توجه! اینکه فرآیند svchost.exe در Task Manager وجود دارد به این معنی نیست که کامپیوتر به ویروس آلوده شده است! چنین فرآیندهایی باید شروع شود، زیرا بدون آنها سیستم نمی تواند به درستی کار کند!

اما چگونه می توان یک مخرب را در میان فرآیندهای فعال شناسایی کرد، اگر همه آنها نام یکسانی داشته باشند؟ باید به قسمت «نام کاربری» مراجعه کنید، که نشان می‌دهد چه کسی آغازگر راه‌اندازی فرآیند است.

ماژول های سیستم تحت نام "System"، "Local Service" یا "Network Service" اجرا می شوند. اگر می بینید که فرآیند svchost.exe به عنوان یک کاربر اجرا می شود، می دانید که این یک ویروس است که به صورت مخفی کار می کند.

حذف

متأسفانه، ویروسی که به عنوان یک ماژول سیستم تبدیل شده است را می توان به طور کامل از دو طریق حذف کرد: با نصب مجدد کامل سیستم یا پاک کردن رجیستری.

برنامه هایی که به شما امکان حذف ویروس url mal را می دهند در اینجا کمکی نمی کنند. SpyHunter، ابزاری که می تواند برای حذف تبلیغات توسط offerwizard استفاده شود، نمی تواند با این نوع کارها کنار بیاید.

صحبت در مورد نصب مجدد به طور جداگانه هیچ فایده ای ندارد: این یک اقدام شدید زمانی است که روش های دیگر قبلاً آزمایش شده و ناکارآمد هستند.

بهتر است فوراً به پاک کردن رجیستری بروید، اما ابتدا می توانید یک بسته آنتی ویروس قوی تر نصب کنید یا از ابزار درمانی Dr.Web CureIt استفاده کنید که به حذف trovi com و مقابله با سایر برنامه های ویروس مشابه کمک می کند.

اگر بتوانید هر دو را انجام دهید عالی است - سیستم را با استفاده از یک آنتی ویروس با امضاهای به روز شده بررسی کنید و سپس Dr.Web CureIt را راه اندازی کنید و از آن برای اسکن مجدد هارد دیسک استفاده کنید.

فراموش نکنید که لیست راه اندازی ویندوز را نیز بررسی کنید.

Win+R را فشار دهید، دستور "msconfig" را وارد کرده و به تب "Startup" بروید. بررسی کنید که svchost exe در لیست موارد راه اندازی نباشد. اگر ویروسی شناسایی شد، تیک آن را بردارید و سپس آن را از لیست حذف کنید.

اگر مراحل بالا کمکی نکرد، اقدام به پاکسازی رجیستری کنید.

کار با رجیستری

با استفاده از دستور "regedit" رجیستری سیستم را باز کنید. در اینجا باید تعدادی از ورودی ها را تغییر داده و حذف کنید، پس صبور باشید.

به HKEY_Local Machine → Software → Microsoft → Windows → CurrentVersion → Run بروید. کلید “PowerManager”=”%WinDir%svchost.exe” را پیدا کرده و آن را حذف کنید.

اکنون باید سایر ورودی های مرتبط با ویروس را حذف کنید. به مسیر HKLM→Software→Microsoft→Windows NT→CurrentVersion→WinLogon بروید. کلید "Userinit" را پیدا کنید و مقدار آن را بررسی کنید. آن را به فرم "C:\Windows\system32\userinit.exe" تغییر دهید. برای انجام این کار، بر روی کلید راست کلیک کرده و "Change" را انتخاب کنید.

از تابع جستجو (Ctrl+F) استفاده کنید و ورودی های دیگر با مقدار "svchost" را بیابید. همه آنها را حذف کنید.

همانطور که می بینید، شما باید کمی با ورودی های رجیستری رنج بکشید. بنابراین، در صورت امکان، سیستم را مجدداً نصب کنید یا سعی کنید با استفاده از یک نقطه بازیابی، وضعیت قبلی خود را به عقب برگردانید.

عملکرد سیستم عامل ویندوز فرآیند پیچیده ای است که تنها با عملکرد صحیح تمامی اجزای نرم افزار امکان پذیر است. MacOS کمتر پیچیده نیست، اما در آن کاربران توانایی نظارت بر فرآیندهای سیستم را ندارند. در ویندوز، می توانید تمام فایل های اجرایی را در Task Manager مشاهده کنید و برخی از آنها ممکن است کاربران بی تجربه را بترسانند. نمونه بارز فایلی که باعث نگرانی می شود svchost.exe است. اغلب در ویندوز، svchost.exe حافظه یا CPU را بارگیری می کند و این احساس وجود دارد که ویروس است. آیا این واقعا درست است؟ بیایید آن را بفهمیم.

Svchost.exe: این فرآیند چیست، چه عملکردهایی دارد و چرا به آن نیاز است؟

مبنایی برای این باور گسترده وجود دارد که svchost.exe یک ویروس است، اما در واقعیت، اغلب، این فرآیند هیچ تهدیدی ایجاد نمی کند. اگر مسئولیت های عملکردی را که به این فایل اختصاص داده شده است را درک می کنید، لازم است DLL های پویا را برای برنامه ها و سرویس هایی که بدون آنها کار نمی کنند متصل کنید. هر برنامه از فایل svchost خود استفاده می کند که می تواند در پوشه های مختلف سیستم عامل ویندوز قرار گیرد.

اغلب، فایل svchost.exe را می توان در آدرس های زیر یافت:

• C:\WINDOWS\system32
• C:\WINDOWS\Prevetch
• C:\WINDOWS\winsxs\ amd64_microsoft-window
• C:\WINDOWS\ServicePackFiles\i386

اگر فایل svchost.exe در پوشه های دیگر قرار دارد، این دلیلی برای به صدا درآوردن زنگ هشدار است، اما به دور از نشانه ای از ویروس بودن آن است. این قانون در جهت مخالف نیز اعمال می شود؛ اگر svchost.exe حتی در یکی از پوشه های بالا قرار دارد، ممکن است معلوم شود که نرم افزار ویروسی است.

تعیین اینکه فرآیندهای فعال فعلی svchost.exe در کدام پوشه قرار دارند بسیار آسان است. برای انجام این کار؛ این موارد را دنبال کنید:

در سیستم عامل های ویندوز 8 و ویندوز 10 می توانید لیست سرویس هایی را که از فرآیند svchost.exe استفاده می کنند از طریق Task Manager مشاهده کنید. انجام این کار آسان است - باید روی فرآیند مشکوک کلیک راست کرده و "Go to services" را انتخاب کنید. شایان ذکر است که نام بسیاری از خدمات بعید است به کاربر معمولی رایانه چیزی بگوید.

فرآیند svchost.exe ممکن است ویروس نباشد و اگر سیستم را بارگیری کند، در اینجا باید 2 سناریو در نظر گرفته شود:

• رایانه آلوده به ویروسی است که هرزنامه می فرستد، ارز دیجیتال را برای سازندگان آن استخراج می کند، یا سایر داده ها را به مهاجمان منتقل می کند.
• به دلیل بی توجهی، کاربر متوجه نمی شود که فرآیند مخرب فقط تحت پوشش کتابخانه سیستم svchost.exe پنهان شده است، اما در واقع یکی نیست.

اگر رایانه شما به ویروس آلوده شده است و به همین دلیل فرآیند svchost.exe ویندوز 10 یا نسخه قبلی سیستم عامل را بارگیری می کند، باید رایانه خود را با آنتی ویروس های محبوب اسکن کنید. حتما یک فایروال نصب کنید که امنیت شبکه کامپیوتر شما را تضمین می کند.

در حالت دوم باید فایل مخرب svchost.exe را که چنین نیست شناسایی و سپس آن را حذف کنید.

چگونه ویروس svchost.exe را از یک فایل سیستمی تشخیص دهیم

اگر فرآیند svchost.exe از حافظه یا CPU استفاده می کند، باید مطمئن شوید که فایلی که به آن ارجاع می دهد معتبر است. برای انجام این کار، نام فرآیند اجرا را به دقت بررسی کنید. در زیر چندین ترفند از مهاجمان را ارائه می دهیم که فرآیند svchost.exe را با یکی دیگر، اما از نظر نام مشابه جایگزین می کنند. طرح های زیر اغلب برای پنهان کردن ویروس استفاده می شود:

فهرست‌شده در بالا تنها رایج‌ترین گزینه‌ها برای پوشاندن ویروس هستند، اما ممکن است گزینه‌های دیگری نیز وجود داشته باشد. مطمئن شوید که فرآیند svchost.exe نامیده می شود و همه حروف با حروف لاتین نوشته شده باشند.

اگر فرآیندی پیدا کردید که به عنوان svchost.exe ظاهر می شود، اما یکی نیست، باید آن را حذف کنید. در صورت استفاده از برنامه AVZ انجام این کار بسیار آسان است.

نحوه حذف svchost.exe با استفاده از برنامه AVZ

ابزار معروف آنتی ویروس AVZ قادر به شناسایی و حذف برنامه های ناخواسته از جمله ویروس ها است. رایگان است و دارای بسیاری از ویژگی های مفید است. مزیت برنامه AVZ این است که نیازی به نصب بر روی درایو سیستم ندارد. AVZ را می توان از درایو فلش، هارد اکسترنال یا مستقیماً از یک آرشیو دانلود شده راه اندازی کرد.

برای حذف فایل svchost.exe با استفاده از ابزار AVZ، باید مراحل زیر را انجام دهید:

شروع SearchRootkit (درست، درست)؛ SetAVZGuardStatus(True)؛ QuarantineFile ("مسیر ویروس ",""); DeleteFile ("مسیر به ویروس"); BC_ImportAll; ExecuteSysClean; ExecuteWizard("TSW",2,3,true); BC_Activate; RebootWindows (true); پایان.

به جای کلمات "مسیر به ویروس" که با رنگ قرمز مشخص شده است، باید محل فرآیند ویروس svchost را مشخص کنید. قبلاً در بالا توضیح داده‌ایم که چگونه می‌توان فایل ویروسی را که به عنوان svchost.exe مخفی می‌شود، در کجا قرار دارد. مسیر را در آن کپی کنید (یا آن را به صورت دستی بنویسید) و آن را به جای کلمات برجسته شده با قرمز قرار دهید. توجه: نقل قول ها را نمی توان از اسکریپت حذف کرد - فقط حروف با رنگ قرمز برجسته شده اند.

پس از حذف موفقیت‌آمیز فایلی که وانمود می‌کرد svchost.exe است، اکیداً توصیه می‌کنیم که کامپیوتر خود را از نظر ویروس اسکن کنید. به احتمال زیاد یکی از برنامه ها فایل های جدیدی تولید می کند که به طور خودکار در فرآیندها اجرا می شوند و وانمود می کنند svchost.exe هستند.

اگر در حال خواندن این مقاله هستید، احتمالاً قبلاً متوجه فرآیند سیستمی به نام شده اید "svchost.exe". علاوه بر این، او معمولاً تنها نیست و با چندین فرآیند دیگر به همین نام همراه است:

در شرایط عادی، عملکرد کامپیوتر از این فرآیند آسیب نمی بیند و کاربران عادی به آن توجه نمی کنند. هنگامی که یک فرآیند شروع به "بلعیدن" از نیمی تا 100٪ از منابع رایانه می کند، وضعیت کاملاً متفاوت است. و نه گهگاهی، بلکه مدام. در این مورد، گاهی اوقات یک راه حل اساسی برای مشکل، بازگرداندن سیستم به زمانی است که به طور معمول کار می کند. این روش‌ها نه تنها غیر ضروری هستند، بلکه همیشه کمکی نمی‌کنند، بنابراین امروز راه‌حل‌های ساده‌تری برای مشکل زمانی که فرآیند svchost.exe پردازنده رایانه را با ظرفیت کامل بارگیری می‌کند، به شما خواهیم گفت.

svchost.exe چیست؟

بیایید با تئوری شروع کنیم. Svchost.exe- یک فرآیند سیستم ویندوز که مسئول راه اندازی سرویس های مختلف در رایانه است (به عنوان مثال، خدمات چاپیا دیوار آتش ویندوز). با استفاده از آن می توان چندین سرویس را به طور همزمان روی یک کامپیوتر اجرا کرد که می تواند مصرف منابع کامپیوتری توسط این سرویس ها را کاهش دهد. علاوه بر این، خود فرآیند می تواند در چندین نسخه راه اندازی شود. به همین دلیل است که همیشه بیش از یک فرآیند svchost.exe در Task Manager اجرا می شود.

پس چرا svchost.exe می تواند بار زیادی روی پردازنده و حافظه رایانه ایجاد کند؟ در اینترنت می توانید این عقیده را پیدا کنید که فرآیند svchost.exe توسط یک ویروس آغاز شده است یا اصلاً یک ویروس است. این اشتباه است. به طور دقیق، برخی از ویروس ها و تروجان ها می توانند استتارتحت آن، بار اضافی بر روی منابع رایانه ایجاد می کند، اما محاسبه و خنثی کردن آنها بسیار آسان است.

نحوه حذف ویروسی که تحت عنوان فرآیند svchost.exe پنهان شده است

Task Manager را راه اندازی کنید (با استفاده از میانبر صفحه کلید Control+Atl+Deleteیا از منو Start > Programs > Accessories > System Tools) و تب "Processes" را باز کنید. در ستون اول نام فرآیندها و در ستون دوم - نشانه ای از طرف چه کسی راه اندازی شده است. بنابراین، لطفاً توجه داشته باشید که svchost.exe فقط می‌تواند به‌عنوان سرویس‌های محلی، سیستم (یا «سیستم») و NETWORK SERVICE کاربران اجرا شود.

اگر متوجه شدید که این فرآیند از طرف کاربر شما (مثلاً از طرف کاربر) اجرا می شود، پس ویروس دارید. از آنجایی که svchost.exe واقعی فقط توسط سرویس های سیستم راه اندازی می شود، نمی توان آن را در "Startup" کاربر فعلی ویندوز قرار داد. بنابراین، اینجاست که ما سعی خواهیم کرد ویروسی را پیدا کنیم که به عنوان فرآیند سیستم svchost.exe پنهان شده است. شما می توانید از دو طریق به Startup دسترسی پیدا کنید: برای مثال از طریق یک برنامه شخص ثالث یا با استفاده از ابزارهای استاندارد ویندوز.

برای اینکه بدون نصب برنامه های اضافی وارد Startup شوید، آن را باز کنید شروع کنیدو در نوار جستجوی برنامه (در ویندوز XP - in شروع > اجرا) نوشتن msconfig، سپس کلیک کنید خوب. پنجره System Configuration ظاهر می شود. به برگه بروید و لیست برنامه هایی را که با بوت شدن سیستم شروع می شوند را به دقت بررسی کنید. اگر فرآیندی را در این لیست پیدا کردید svchost.exe، پس می توانید از منشاء ویروسی آن مطمئن شوید.

واقعی svchost.exeمی تواند راه اندازی شود فقطاز پوشه C:\WINDOWS\system32، که در آن "C" درایوی است که ویندوز روی آن نصب شده است. (در یک سیستم عامل 64 بیتی، نسخه 32 بیتی svchost.exe در پوشه C:\WINDOWS\SysWOW64 قرار دارد و از نظر تئوری فرآیند نیز می تواند از آنجا راه اندازی شود. اما به طور پیش فرض، تمام فرآیندهای سیستم، از جمله svchost.exe، در 64 بیتی هستند که ویندوز از C:\WINDOWS\system32 راه اندازی شده است.) در تصویر بالا می بینید که فایل در پوشه WINDOWS قرار دارد و به آن "svhost.exe" نیز می گویند. "sv" ج host.exe" که مستقیماً منشا ویروسی آن را نشان می دهد.

لیست مورد علاقه ترین پوشه ها برای پوشاندن ویروس چیزی شبیه به این است:

ج:\WINDOWS\ svchost.exe
C:\WINDOWS\config\ svchost.exe
C:\WINDOWS\drivers\ svchost.exe
C:\WINDOWS\system\ svchost.exe
C:\WINDOWS\سیستم\ svchost.exe
ج:\WINDOWS\windows\ svchost.exe
ج:\کاربران\نام کاربری شما\ svchost.exe

فایل فرآیند ویروس نه تنها ممکن است در یکی از پوشه های ذکر شده در بالا (و نه در پوشه استاندارد که svchost.exe واقعی در آن قرار دارد) قرار داشته باشد، بلکه نام دیگری نیز داشته باشد:

svhost.exe
svch0st.exe
svchost32.exe
svchosts.exe
syshost.exe
svchosl.exe
svchos1.exe

بنابراین، ویروس svchost.exe را در Startup پیدا کردید. اولین کاری که باید انجام دهید این است که با برداشتن تیک کادر کنار آن در ستون «مورد راه اندازی»، اتوران آن را غیرفعال کنید. اکنون باید فرآیند آن را از طریق "Task Manager" (دکمه سمت راست ماوس روی فرآیند >) پایان دهید فرآیند را پایان دهید) و خود فایل را حذف کنید. مسیر کامل فایل، مانند تصویر بالا، همیشه در ستون "Command" نشان داده شده است. کاملاً ممکن است که فایل فرآیند به خود اجازه حذف ندهد - در این مورد، ابتدا رایانه را مجدداً راه اندازی کنید و عملیات را تکرار کنید یا از برنامه برای حذف چنین پرونده های "غیرقابل حذف" Unlocker استفاده کنید.

پس از این، ایده خوبی است که یک اسکن آنتی ویروس از رایانه خود نیز انجام دهید. اگر هنوز آنتی ویروس روی رایانه خود نصب نکرده اید، توصیه می کنیم مقاله ما را مطالعه کنید.

هیچ ویروسی در سیستم وجود ندارد، اما svchost.exe همچنان کامپیوتر را بارگیری می کند؟

آیا همه ویروس های سیستم را پیدا کرده و خنثی کرده اید یا مطمئن شده اید که هیچ ویروسی در رایانه شما وجود ندارد، اما svchost.exe همچنان از کار کردن شما جلوگیری می کند؟ سعی کنید دریابید که چه برنامه یا سرویسی از این فرآیند استفاده می کند. انجام این کار با استفاده از برنامه ساده و رایگان Process Explorer آسان است. اغلب فرآیند svchost.exe از این سرویس استفاده می کند به روز رسانی ویندوز، که به طور خودکار به روز رسانی ها را در رایانه شما نصب می کند:

در این صورت، می‌توانید منتظر بمانید تا همه به‌روزرسانی‌های ویندوز دانلود و نصب شوند یا به‌روزرسانی خودکار ویندوز را موقتاً غیرفعال کنید. این را می توان از طریق انجام داد صفحه کنترلدر فصل سیستم و امنیت > Windows Update، افتتاح تنظیمات پارامتر(در منوی کناری پنجره) و انتخاب مورد در لیست کشویی به روز رسانی را بررسی نکنید:

اگر غیرفعال کردن به‌روزرسانی‌های خودکار کمکی نکرد، می‌توانید سایر سرویس‌های ویندوز را نیز بررسی کنید. شما می توانید هر سرویس ویندوز را از طریق Snap-in Services متوقف یا غیرفعال کنید. ورود به آن آسان است: کلیک کنید شروع >کلیک کنید کامپیوترراست کلیک کنید، از منوی باز شده انتخاب کنید مدیریت >رفتن به Services and Applications > Services. پس از انتخاب سرویس مورد نظر، روی آن کلیک راست کرده و انتخاب کنید متوقف کردن. اگر این او بود که بار را روی رایانه ایجاد کرد، پس از توقف سرویس، فرآیند svchost.exe بارگیری رایانه شما را 100٪ متوقف می کند.

با نفوذ به رایانه، ویروس‌ها معمولاً سعی می‌کنند حضور خود را تبلیغ نکنند، فرآیندهای خود را از چشم کاربر پنهان کنند یا آنها را به عنوان فرآیندهای سیستمی بی‌ضرر پنهان کنند، که بیشترین آسیب را از آن متحمل می‌شوند. svchost.exe. و این کاملا قابل درک است. پس از کشف دوازده مورد از این فرآیند در Task Manager، کاربران شروع به مشکوک شدن می کنند که چیزی اشتباه است، پیوند دادن svchost.exeبا برخی مشکلات که ممکن است ربطی به آن نداشته باشد. برخی از مبتدیان حتی سعی می کنند آن را حذف کنند، که البته به هیچ چیز خوبی منجر نمی شود.

خب این یکی چیه؟ svchost.exeو چرا اینقدر تکرار می شود؟ اولا، svchost.exeویروس نیست، اگرچه هنوز هم نمونه‌هایی از بدافزارهایی وجود دارد که به عنوان این فرآیند بسیار مهم و ضروری برای عملکرد ویندوز پنهان شده‌اند. ما به شما خواهیم گفت که چگونه ویروس های پنهان شده در پشت آنها را کمی پایین تر افشا کنید، اما در حال حاضر اجازه دهید چند کلمه در مورد هدف بگویم svchost.exe. بنابراین، این فرآیند نیز نامیده می شود فرآیند میزبان عمومی برای خدمات Win32مستقیماً در عملکرد برنامه‌ها، خدمات و سرویس‌هایی که از کتابخانه‌های پویا (DLL) استفاده می‌کنند که بخش قابل‌توجهی از فایل‌های سیستم ویندوز و برنامه‌های کاربردی را تشکیل می‌دهند، درگیر است.

از آنجا که svchost.exeحفظ بسیاری از برنامه ها و خدمات ضروری است؛ برای اطمینان از ثبات، در چندین نسخه منتشر شده است که تعداد آنها در برخی موارد می تواند به چندین ده برسد. به طور کلی، لمس کنید svchost.exeبه شدت توصیه نمی شود، اما همانطور که قبلاً گفتیم، ویروس ها می توانند مانند آن ظاهر شوند. چگونه آنها را بشناسیم؟ بیایید با این واقعیت شروع کنیم که فایل واقعی است svchost.exeباید در یکی از این پوشه ها باشد:

• C:/WINDOWS/system32
• C:/Windows/SysWOW64
• C:/WINDOWSPrefetch
• C:/WINDOWS/winsxs/*

نکته: ستاره انتهای مسیر گزینه چهارم به این معنی است که بعد از اسلش ممکن است پوشه دیگری وجود داشته باشد که معمولاً یک نام طولانی دارد که مجموعه ای از کاراکترها است. با استثنائات نادر svchost.exeممکن است در دایرکتوری های برخی از برنامه ها یافت شود، برای مثال، Malwarebytes Anti-Malware.

اگر این فایل در پوشه های اصلی ویندوز یا پوشه های کاربر قرار دارد، به احتمال زیاد یک ویروس است. نمایش گزینش پذیری، خودنمایی به عنوان یک فرآیند سیستمی svchostفایل های مخرب می توانند در غیرمنتظره ترین مکان ها پنهان شوند. برای یافتن آنها، می‌توانید از Task Manager یا Process Explorer استفاده کنید و مسیرها را بر اساس فرآیند شناسایی کنید؛ جستجو بر اساس نام فایل انجام خواهد شد. MasterSeekerیا برنامه مشابه

علاوه بر مکان، باید به نام فایل نیز توجه زیادی داشت. تعداد کمی از کاربران مبتدی به این توجه می کنند، اما بیهوده. در نگاه اول، ممکن است متوجه تفاوت فایل ها با یکدیگر نشوید svchost.exeو (در دومی "c" وجود ندارد). و در نام فایل، حروف لاتین را می توان با حروف سیریلیک جایگزین کرد. شناسایی آن دشوارتر است، زیرا ممکن است در پوشه "درست" قرار داشته باشد، و فقط ویندوز تفاوت نام را می بیند؛ برای شناسایی آن، باید با استفاده از جدول کد، کاراکترهای نام را بررسی کنید ( حروف سیریلیک و لاتین ظاهراً یکسان هستند، کدهای مختلفی دارند).

اگر یک svchost "نادرست" پیدا کردید یا در مکان نامناسبی قرار دارد چه باید کرد؟ ابتدا آن را برای اسکن بفرستید ویروس توتال، اگر چیزی در آن باشد، از هر پنجاه آنتی ویروس حداقل یکی سیگنال می دهد. فایل واقعی svchostباید کاملا تمیز باشد برای حذف تقلبی svchostفایل، ویروس را بخوانید، استفاده کنید Dr.Web CureIt!، Dr.Web LiveDiskیا کاربردی AVZ. برای کار در AVZشما همچنین به یک اسکریپت نیاز خواهید داشت.

و اینجا خود فیلمنامه است. یک فایل *.txt ایجاد کنید و موارد زیر را در آن قرار داده و ذخیره کنید.

شروع
SearchRootkit (درست، درست)؛
SetAVZGuardStatus(True)؛
QuarantineFile('مسیر کامل به فایل مخرب',");
DeleteFile('مسیر کامل به فایل مخرب');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows (true);
پایان.

در پرانتز مقابل دستورات QuarantineFileو حذف فایلباید مسیر کامل فایل مخرب را مشخص کنید. مثلا: (' C:\Windows\system\syshost.exe‘,”);

راه اندازی کنیم AVZ، از منو انتخاب کنید فایل، سپس انتخاب کنید اجرای اسکریپت، کد اسکریپت از پیش ویرایش شده را در پنجره ای که باز می شود قرار دهید (آنچه باید انجام شود در خود اسکریپت نشان داده شده است) و دکمه " را فشار دهید راه اندازی" پس از راه اندازی مجدد رایانه، بررسی می کنیم که آیا فایل مخرب حذف شده است یا خیر و سپس اسکن کامل دیسک سیستم را با استفاده از هر گونه ابزار ضد ویروس و ضد جاسوس افزار انجام می دهیم.

SVCHOST.EXE یکی از فرآیندهای مهم هنگام اجرای سیستم عامل ویندوز است. بیایید سعی کنیم بفهمیم که چه عملکردهایی در وظایف آن گنجانده شده است.

SVCHOST.EXE را می توان در Task Manager مشاهده کرد (برای رفتن کلیک کنید Ctrl+Alt+Delیا Ctrl+Shift+Esc)در فصل "فرآیندها". اگر عناصری با نام مشابه نمی بینید، روی آن کلیک کنید "نمایش فرآیندهای همه کاربران".

برای سهولت نمایش، می توانید روی نام فیلد کلیک کنید "نام تصویر". تمام داده های موجود در لیست به ترتیب حروف الفبا مرتب می شوند. فرآیندهای SVCHOST.EXE زیادی می تواند وجود داشته باشد: از یک و از نظر تئوری تا بی نهایت. اما در عمل، تعداد فرآیندهای فعال به طور همزمان توسط پارامترهای رایانه، به ویژه قدرت CPU و مقدار RAM محدود می شود.

کارکرد

اکنون اجازه دهید طیف وسیعی از وظایف فرآیند مورد مطالعه را مشخص کنیم. این مسئول عملکرد سرویس های ویندوزی است که از کتابخانه های dll بارگیری می شوند. برای آنها، این فرآیند میزبان، یعنی فرآیند اصلی است. عملکرد همزمان آن برای چندین سرویس باعث صرفه جویی قابل توجهی در RAM و زمان برای تکمیل وظایف می شود.

ما قبلاً متوجه شده ایم که می تواند بسیاری از فرآیندهای SVCHOST.EXE وجود داشته باشد. یکی با شروع سیستم عامل فعال می شود. نمونه های باقی مانده توسط services.exe که مدیر سرویس است راه اندازی می شوند. بلوک هایی از چندین سرویس را تشکیل می دهد و یک SVCHOST.EXE جداگانه برای هر یک از آنها اجرا می کند. این جوهر صرفه جویی است: به جای اجرای یک فایل جداگانه برای هر سرویس، SVCHOST.EXE فعال می شود که کل گروه خدمات را ترکیب می کند و در نتیجه سطح بار CPU و مصرف RAM رایانه شخصی را کاهش می دهد.

محل فایل

حالا بیایید دریابیم که فایل SVCHOST.EXE در کجا قرار دارد.

چرا SVCHOST.EXE سیستم را بارگذاری می کند؟

نسبتاً اغلب، کاربران با موقعیتی مواجه می شوند که یکی از پردازش های SVCHOST.EXE سیستم را بارگذاری می کند. یعنی از مقدار بسیار زیادی رم استفاده می کند و بار CPU ناشی از فعالیت این عنصر از 50 درصد فراتر می رود، گاهی اوقات تقریباً به 100 درصد می رسد که کار بر روی رایانه را تقریباً غیرممکن می کند. این پدیده ممکن است دلایل اصلی زیر را داشته باشد:

• جایگزینی یک فرآیند با یک ویروس؛
• تعداد زیادی از خدمات همزمان با منابع فشرده؛
• نقص سیستم عامل؛
• مشکل در مرکز به روز رسانی

راه های حل این مشکلات در یک مطلب جداگانه به تفصیل شرح داده شده است.

SVCHOST.EXE – عامل ویروس

گاهی اوقات SVCHOST.EXE در Task Manager یک عامل ویروسی است که همانطور که در بالا ذکر شد، سیستم را بارگیری می کند.

1. نشانه اصلی یک فرآیند ویروسی، که باید بلافاصله توجه کاربر را به خود جلب کند، مصرف زیاد آن از منابع سیستم، به ویژه بار بالای CPU (بیش از 50٪) و RAM است. برای تعیین اینکه آیا یک SVCHOST.EXE واقعی یا جعلی در حال بارگیری رایانه شما است، Task Manager را فعال کنید.

   ابتدا به میدان توجه می کنیم "کاربر". در نسخه های مختلف سیستم عامل نیز ممکن است نامیده شود "نام کاربری"یا "نام کاربری". فقط نام‌های زیر می‌توانند با SVCHOST.EXE مطابقت داشته باشند:

   • خدمات شبکه؛
   • SYSTEM ("سیستم");
   • خدمات محلی

   اگر متوجه نامی شدید که شی مورد مطالعه با هر نام کاربری دیگری، به عنوان مثال، نام نمایه فعلی مطابقت دارد، می توانید مطمئن باشید که با یک ویروس سر و کار دارید.



2. همچنین ارزش بررسی مکان فایل را دارد. همانطور که به یاد داریم، در اکثریت قریب به اتفاق موارد، منهای دو استثنای بسیار نادر، باید با آدرس مطابقت داشته باشد:

   C:\Windows\System32

   اگر متوجه شدید که این فرآیند به دایرکتوری متفاوت از سه مورد مورد بحث در بالا اشاره دارد، می توانید با اطمینان بگویید که یک ویروس در سیستم وجود دارد. به خصوص اغلب ویروس سعی می کند در پوشه پنهان شود "پنجره ها". با استفاده از آن می توانید مکان فایل ها را پیدا کنید رهبر ارکستربه روشی که در بالا توضیح داده شد. می توانید از گزینه دیگری استفاده کنید. روی نام مورد در Task Manager کلیک راست کنید. از منو، را انتخاب کنید "خواص".

   

   یک پنجره خصوصیات باز می شود که در آن، در تب "معمول هستند"یک پارامتر وجود دارد "محل". روبروی آن مسیر فایل است.



3. همچنین شرایطی وجود دارد که فایل ویروس در همان دایرکتوری اصلی قرار دارد، اما نام آن کمی تغییر کرده است، به عنوان مثال، "SVCHOST32.EXE". حتی مواردی وجود دارد که مهاجمان برای فریب کاربر، سیریلیک "є" را به جای حرف لاتین "C" در فایل تروجان وارد می کنند یا "0" ("صفر") را به جای حرف "O" وارد می کنند. بنابراین، باید به نام فرآیند در Task Manager یا فایلی که آن را آغاز می کند، توجه ویژه ای داشته باشید. رهبر ارکستر. این امر به ویژه در صورتی مهم است که می بینید این شی در حال مصرف بیش از حد منابع سیستم است.



4. اگر ترس شما تایید شد و متوجه شدید که با یک ویروس سر و کار دارید. باید در اسرع وقت از بین برود. اول از همه، شما باید فرآیند را متوقف کنید، زیرا تمام دستکاری های بعدی به دلیل بار پردازنده، اگر غیرممکن نباشد، دشوار خواهد بود. برای انجام این کار، روی فرآیند ویروس در Task Manager کلیک راست کنید. از لیست انتخاب کنید "پایان فرآیند".



5. یک پنجره کوچک باز می شود که در آن باید اقدامات خود را تأیید کنید.



6. پس از این کار، بدون راه اندازی مجدد، باید کامپیوتر خود را با یک برنامه آنتی ویروس اسکن کنید. بهتر است از برنامه برای این اهداف استفاده کنید، زیرا خود را در مبارزه با مشکل دقیقاً به این ماهیت ثابت کرده است.



7. اگر استفاده از ابزار کمکی نکرد، باید فایل را به صورت دستی حذف کنید. برای انجام این کار، پس از تکمیل فرآیند، به دایرکتوری که شی در آن قرار دارد بروید، روی آن کلیک راست کرده و انتخاب کنید. "حذف". در صورت لزوم، قصد حذف عنصر را در کادرهای محاوره ای تأیید کنید.

   

   اگر ویروسی روند حذف را مسدود کرده است، کامپیوتر خود را مجددا راه اندازی کنید و وارد حالت Safe Mode شوید ( Shift+F8یا F8هنگام بارگیری). با استفاده از الگوریتم بالا فایل را حذف کنید.

بنابراین، متوجه شدیم که SVCHOST.EXE یک فرآیند مهم سیستمی ویندوز است که وظیفه تعامل با سرویس‌ها را بر عهده دارد و در نتیجه مصرف منابع سیستم را کاهش می‌دهد. اما گاهی اوقات این فرآیند می تواند تبدیل به یک ویروس شود. در این حالت، برعکس، تمام آب را از سیستم خارج می کند که نیاز به پاسخ فوری کاربر برای از بین بردن عامل مخرب دارد. علاوه بر این، شرایطی وجود دارد که به دلیل اشکالات مختلف یا عدم بهینه سازی، خود SVCHOST.EXE می تواند منبع مشکلات باشد.