Обычно, пользователи, заметив в списке своих процессов кучу svchost.exe (а их иногда бывает около десятка, если не больше), начинают паниковать и тут же писать письма о плохом вирусе, живущем в их системе и рвущемся на волю из корпуса, перед этим (наверное для устрашения), жутко подвывая куллерами.

Сегодня мы хотим раз и конечно навсегда закрыть этот самый вопрос с тем, что все таки такое из себя представляет этот ужасный вирус svchost, как нужно с ним бороться и все таки надо ли вообще это делать (и вирус ли это, или нет  ).

Начнем.

Что такое svchost.exe. Все таки это вирус или нет? Куда от него бежать?!

Начнем мы с того, что процесс Generic Host Process for Win32 Services (он то как раз и есть этот svchost)сам по себе системный процесс, чертовски важный в работе Windows, а именно всех служб, сервисов и программ системы, которые применяют DLL-библиотеки.

Этих процессов svchost.exe и действительно может быть в вашей системе слишком много, ведь программам и службам немного затруднительно вместе применять и копаться с одним процессом (их ведь, служб, немало, а беззащитный svchost конечно же совсем один), а поэтому то системой запускаются парочка экземпляров этого самого счастья, но под разными номерами (если быть точным - идентификаторами процесса). Естественно, каждый процесс svchost.exe обрабатывает свой набор программ и служб, а поэтому, в зависимости от того сколько их в вашем Windows, число таких процессов с названием svchost может быть от одной штуки до нескольких десятков. Повторим для тех кто не до конца понял: это процессы вашей системы и трогать естественно их не нужно!

Но все таки, бывают ведь ситуации, когда вирусы маскируются под этот процесс (тут нужно заострить ваше внимание: именно вирусы, именно маскируются, а не сам процесс вредоносный). Теперь давайте поразбираемся как правильно их вычислить и что же с ними потом делать.

Как распознать вирус svchost, а вернее вирусы под него маскирующиеся

Начнем мы с того, что ваш системный процесс svchost.exe расположен исключительно в папке с названиями:

• C:\WINDOWS\system32
• C:\WINDOWS\Prefetch
• С:\WINDOWS\winsxs\*
• C:\WINDOWS\ServicePackFiles\i386

Где C:\ – это тот диск куда установлена ваша система, а символ * – это длинное такое название вашей папки примерно такое amd64_microsoft-windows-s..s-svchost.resources_31856ad36bf34e35_6.1.7600.16385_ru-ru_f655122fa5efa3be

Если этот процесс находится в каком то другом месте, или если непонятно каким чудом поселился в вашей папке WINDOWS, то очень вероятно (примерно 95,5%), что это злой вирус (бываю исключения, но очень редко).

Здесь мы укажем несколько путей такой маскировки вирусами под процесс svchost.exe:

• C:\WINDOWS\svchost.exe
• C:\WINDOWS\inet20000\svchost.exe
• C:\WINDOWS\config\svchost.exe
• C:\WINDOWS\system\svchost.exe
• C:\WINDOWS\windows\svchost.exe
• C:\WINDOWS\sistem\svchost.exe
• C:\WINDOWS\inetsponsor\svchost.exe
• C:\WINDOWS\drivers\svchost.exe

И несколько очень часто применяемых названий файлов, вирусами которые маскируются под процесс svchost.exe:

• svchos1.exe (вместо “t” используется единица)
• svch0st.exe (вместо “o” используется ноль)
• svсhost.exe (вместо английской “c” используется русская “с”)
• svcchost.exe (2 “c”)
• svchost32.exe (в конец добавлено “32″)
• svchosl.exe (вместо “t” используется “l”)
• svhost.exe (пропущено “c”)
• svchosts32.exe (в конец добавлено “s32″)
• svchostt.exe (2 “t” на конце)
• svchoste.exe (в конец добавлено “e”)
• svchosts.exe (в конец добавлено “s”)
• svrhost.exe (вместо “c” используется “r”)
• svehost.exe (вместо “c” используется “e”)
• svchosthlp.exe (в конец добавлено “hlp”)
• svdhost32.exe (вместо “c” используется “d” + в конец добавлено “32″)
• svschost.exe (после “v” добавлено лишнее “s”)
• svhostes.exe (пропущено “c” + в конец добавлено “es”)
• svshost.exe (вместо “c” используется “s”)
• syshost.exe (вместо “vc” используется “ys”)
• svxhost.exe (вместо “c” используется “x”)
• svcshost.exe (после “c” добавлено лишнее “s”)
• svho0st98.exe
• svchoes.exe (вместо “st” используется “es”)
• svchest.exe (вместо “o” используется “e”)
• ssvvcchhoosst.exe

Остальные, в принципе, тоже бывают, но с такими названиями одни из популярных, поэтому имейте это ввиду и будьте очень бдительны.

Посмотреть как называется файл вы можете в вашем диспетчере задач, хотя мы больше склоняемся к Process Explorer, хорошо, что применяя его, можно тут же посмотреть все пути и другую информацию без лишних движений сделав просто двойной клик по вашему процессу в списке.

Как удалить вирус svchost.exe

В удалении вируса  svchost.exe (если это конечно вирус) вам придет на помощь старый-добрый AVZ.
Что мы с вами делаем:

1. Скачиваем avz, распаковываем этот архив, и затем запускаем avz.exe
2. В окне открывшейся программы выбираем с вами “Файл” – “Выполнить скрипт“.
3. Затем в появившееся окно вставляем скрипт:
   

   begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('сюда нужно вставить путь к файлу (главное не перепутать кавычки)','');
DeleteFile('сюда нужно вставить путь к файлу (главное не перепутать кавычки)');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

   Где под словами “сюда нужно вставить путь к файлу (главное не перепутать кавычки)” нужно, вообщем то, вставить тот самый путь, т.е, такой к примеру: C:\WINDOWS\system\syshost.exe прямо между ”, вообщем должны получиться строки так:

   QuarantineFile('C:\WINDOWS\system\syshost.exe','');
DeleteFile('C:\WINDOWS\system\syshost.exe');

4. Жмем команду “Запустить“, перед этим закрыв все ваши программы.
5. 
6. Ожидаем перезагрузки вашей системы
7. Проверяем наличие файла
8. Затем проводим полную проверку на spyware и вирусы.

И все, жизнь продолжается с чистым от вирусов компьютером  

PS: Многие пользователи сталкиваются с тем, что svchost загружает ваш процессор ну и всю систему вообще. Обычно это связано с тем, что в вашей системе "сидит" вирус, который рассылает спам или плодящий другой вредный трафик, из-за этого процесс активно им применяется. Обычно это лечится сканированием на spyware, вирусы и установкой фаерволла.