Якщо у нас є підозра що система заражена вірусами, то ми як правило ліземо в диспетчер задач, щоб перевірити список запущених процесів і переконатися, що серед них немає зайвих або підозрілих. Виявивши в списку запущених процесів кілька з ім'ям SVCHOST.EXE, деякі користувачі роблять поспішні висновки про зараження системи, хоча насправді це може бути не так. Отже, що ж таке SVCHOST.EXE і чому його так багато ...
Повна назва цього процесу - Generic Host Process for Win32 Services і представляє він собою системний процес, який життєво необхідний для існування Windows, а точніше для тих служб і програм, які використовують, так звані, динамічні або DLL-бібліотеки. І наявність в списку запущених процесів декількох копій SVCHOST - це абсолютно нормальне явище, оскільки в системі у нас багато запущених служб і програм і в залежності від їх кількості, число цих SVCHOST може змінюватися від одного до декількох десятків.
Можна зіткнутися з тим, що svchost завантажує процесор і систему в цілому. Швидше за все це пов'язано з тим, що в системі присутні віруси, які, наприклад, розсилають спам або генерують інший трафік, через що процес svchost дійсно активно використовує системні ресурси, але сам svchost в цьому випадку вірусом не є, він використовується вірусом в своїх цілях і видаляти потрібно не svchost, а сам вірус. Як правило така ситуація виправляється скануванням на віруси, лікуванням їх і подальшою установкою брандмауера для того щоб уникнути таких бід в подальшому.
Але дійсно, бувають такі ситуації, коли в системі з'являються "підробки" під SVCHOST, віруси які намагаються маскуватися під цей процес. Яким чином можна розпізнати вірус який маскується під SVCHOST. По-перше, системний процес svchost.exe може бути розташований в папках:
Де C: - диск куди встановлена система, а * - довга назва папки на кшталт x86_microsoft-windows-s..s-svchost.resources і ще багато букв і цифр ...
Якщо ж процес з таким ім'ям знаходиться в будь-якій іншій папці, а особливо, якщо ви виявили його в самій папці WINDOWS, то швидше за все ваші підозри виправдані і ви знайшли вірус. Ось кілька варіантів розташування вірусу маскується під svchost:
Крім того можливий ще один варіант маскування, коли ім'я файлу не відповідає оригінальному svchost, наприклад: в імені процесу замість англійської "c" використовується російська "з", замість "o" використовується нуль, svcchost.exe (2 "c"), svhost .exe (пропущена буква "c", svchost32.exe (в кінець імені додано "32. svchosts.exe (додано" s "), svchoste.exe (додано" e ") і ще маса варіантів зі зміною букв. Так що уважно прочитайте ім'я процесу, можливо він тільки схожий назвою на оригінальний svchost.
У тому випадку коли підозри на зараження системи стають все сильніше - варто оновити свій антивірус і провести повну перевірку системи. Якщо ми хочемо видалити підозрілий файл, то швидше за все нам доведеться або перезавантажитися в безпечному режимі або завантажитися з диск з LiveCD або ERD Commander. Рекомендую не видаляти підозрілий файл відразу, а перенести його в якоюсь тимчасову папку, він може вам стати в нагоді якщо ваші підозри помилкові і у вас після переміщення файлу перестала працювати потрібна вам програма.
Ще один хороший варіант перевірки і лікування зараженої системи - це завантаження з диска Kaspersky Rescue Disk і запуск антивіруса з цього диска.