симптоми:
Ваш комп'ютер раптом сильно почав виснути і гальмувати систему. При цьому у вас стоїть антивірус з новітніми антивірусними базами. Натисніть Ctrl + Alt + Delete і клацніть по вкладці Процеси. Ви побачите список всіх процесів, які йдуть в даний момент; при цьому ви побачите, що якийсь із процесів споживає багато ресурсів комп'ютера (хоча ніякі програми ви в даний момент не використовуєте). Тут ви і побачите якийсь процес svchost (процесів з такою ж назвою буде кілька штук, але вам потрібен саме той, який завантажує систему під 100%).
Рішення:
1) Спробуйте, в першу чергу, просто перезавантажити комп'ютер.
2) Якщо після перезавантаження цей процес продовжує вантажити систему, то клікніть правою клавішею по процесу та, в списку, виберете Завершити дерево процесів. Потім перезавантажте комп'ютер.
3) Якщо вам не допомогли перші два способи, то зайдіть в папку Windows і знайдіть там папку Prefetch (C: \ WINDOWS \ Prefetch). Видаліть цю папку (видаліть саме папку Prefetch; НЕ видаліть випадково саму папку Windows.) Далі дотримуйтесь другого пункту (тобто видаліть дерево процесів svchost). Перезавантажте комп'ютер.
Скільки має бути всього процессовsvchost.exe у вкладці «Процеси»?
Кількість процесів з такою назвою залежить від того, скільки сервісів запущено через svchost. Кількість може залежати від версії Windows, властивостей вашого комп'ютера і т.д. А тому, процесів з назвою «svchost.exe» може бути від 4 (абсолютний мінімум) до нескінченності. У мене на 4х-ядерному комп'ютері з Windows 7 (з урахуванням запускаються сервісів) у вкладці «Процеси» коштує 12 svchost'ов.
Як визначити, який з них є вірусом?
Ви можете побачити на скріншоті вище, що в колонці «Користувач» поруч з кожним svchost'ом міститься назва джерела, який і запустив цей самий процес. У нормальному вигляді поруч з svchost'амі буде написано «system», або «network service», або «local service». Віруси ж запускають себе від імені «user» (може бути написано «користувач» або «адміністратор»).
Що таке, взагалі, процессsvchost.exe?
Якщо говорити простою мовою, то процес svchost - це прискорювач запуску і роботи сервісів і служб. Запускаються svchost'и через системний процес services.exe
Що буде якщо я, натиснувши на «Завершити дерево процесів», випадково завершу системний процессsvchost, а не сам вірус?
Нічого страшного не станеться. Система видасть вам помилку і перезавантажить комп'ютер. Після перезавантаження все встане на свої місця.
Які віруси маскуються подsvchost.exe?
За даними Лабораторії Касперського під svchost.exe маскуються віруси: Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn, Net-Worm.Win32.Welchia.a
За непідтвердженими даними деякі версії Trojan.Carberp теж маскується під svchost.exe
Як працюють ці віруси?
Ці віруси без вашого відома заходять на спеціальні сервера, звідки або скачують ще що-небудь небезпечне, або ж відправляють інформацію на сервер (а саме ваші паролі, логи і т.д.)
Процессsvchost.exe вантажить систему, але в графі «Користувач» написано «system». Що це таке?
Швидше за все - це означає, що якась служба або сервіс посилено працює. Почекайте трохи, і цей процес перестане вантажити систему. Або не перестане. Є деякі віруси (наприклад: Conficker), які використовують справжні svchost'и, щоб псувати вашу систему. Це дуже небезпечні віруси, а тому вам варто перевірити свій комп'ютер антивірусом (а краще кількома відразу). Наприклад, можна завантажити DrWeb CureIt - він знайде такі віруси і видалить.
Навіщо потрібно завершувати дерево процесів і видаляти папкуPrefetch?
Якщо ви завершите дерево процесів вашого, гальмуючого систему, svchost'а, то комп'ютер в екстреному порядку перезавантажитися. А при запуску, коли вірус ще раз спробує запуститися, то антивірус (який у вас повинен бути встановлений в обов'язковому порядку) відразу ж виявить і видалить його. Хоча існує безліч модифікацій. Наприклад, першоджерело такого вірусу може перебувати в папці Prefetch. Ця папка потрібна для прискорення роботи служб і сервісів. Її видалення не зашкодить вашому комп'ютеру.
Мені не допомогли ваші поради. Процессsvchost.exe продовжує вантажити систему.
В першу чергу, перевірте комп'ютер антивірусом. А ще краще, перевірте комп'ютер декількома антивірусами.
Ще я можу порадити, почистити папку System Volume Information. У цій папці знаходяться точки відновлення для вашого комп'ютера. Віруси прописують себе в цю папку, так як система не дозволяє антивірусу видаляти що-небудь з цієї папки. Але це навряд чи вам стати в нагоді. Я ще поки не чув про такі модифікаціях вірусів, які б видавали себе за svchost.exe і знаходилися в папці System Volume Information.
Якщо виникнуть ще питання, то я з радістю на них відповім.