Viral svchost exe'yi işler. svchost süreci ve onun gibi görünen bir virüsten nasıl ayırt edileceği. Belirlemek zorsa: güvenilir veya virüs

Kaç svchost.exe işlemi çalışıyor olmalı? Bu soruyu cevaplamak imkansızdır, çünkü her durumda çalışan svchost.exe işlemlerinin sayısı farklıdır. Yalnızca işletim sisteminizin sürümüne değil, aynı zamanda yapısına da bağlıdır!

İşlemlerin tam sayısını bilmek imkansız olduğundan, kötü amaçlı yazılımın yaratıcıları bu andan yararlanamazlardı!

Çok sayıda virüs, Truva atı ve diğer kötü amaçlı programlar svchost.exe işlemini seçmiştir ve sistemde kendilerini gizlemek için kendilerini bu işlem olarak gizlerler.

Yani kötü amaçlı programlar "svchost.exe" adıyla başlatılır ve aynı adla birçok sistem işlemi arasında kaybolur. Bu, sistemde fark edilmeme şansının birkaç kat artmasına neden olur.

Kötü amaçlı svchost.exe işlemi nasıl belirlenir

Doğal olarak, kullanıcı "svchost.exe" işleminin kötü amaçlı olduğundan şüphelenirse, kullanıcının yapacağı ilk şey bilgisayarı virüslere ve diğer şeylere karşı taramaktır.

Ancak, virüsten koruma programı kontrol edildikten sonra sistemin temiz olduğunu ve kötü amaçlı yazılım bulunmadığını bildirirse, bu tamamen doğru olmayabilir!

Bu durumda, "svchost.exe" işlemini manuel olarak kontrol etmeye değer. Bu oldukça basit bir şekilde yapılır, tek ihtiyacınız olan svchost.exe işlemi hakkında bazı noktaları bilmek.

1) İşlem her zaman "System32" sistem klasöründen başlatılır. Durum böyle değilse, büyük olasılıkla svchost.exe adlı dosya kötü amaçlıdır.

2) svchost.exe işlemi hiçbir zaman kullanıcı olarak çalışmayacaktır - bunun hatırlanması gerekir. İşlem her zaman "Yerel Servis, Sistem, Şebeke Servisi"nden başlatılır.

Anladığınız gibi, svchost.exe işlemi mevcut kullanıcı adından başlatıldıysa veya sistem klasöründen başlatılmadıysa, şüpheli dosyayı kontrol etmek için önlem almaya değer.

Orijinal dosyanın çalıştığından emin olmak için Görev Yöneticisi'ni başlatın ve Ayrıntılar sekmesinde svchost.exe işlemlerinin listesini bulun.

Bu ekran görüntüsünde, tüm işlemler sistemin kendisi tarafından başlatılır, bu da büyük olasılıkla bu liste arasında "svchost.exe" adlı kötü amaçlı bir dosya olmadığı anlamına gelir. Aşağıdaki ekran görüntüsüne bir göz atın...

Bu ekran görüntüsünde "SuperUser" adlı bir kullanıcı tarafından başlatılan svchost.exe işlemini görüyoruz. Bu, bu işlemin daha kötü niyetli olduğunu gösteriyor.

Bağlam menüsünden "Konumu aç" Windows Gezgini'nin açılacağı ve şüpheli dosyanın tam yolunu bulacağınız "RMB" düğmesine basmanız gerekir! Bundan sonra onunla ne yapılacağı, bence gün gibi açık!

Bilinmesi gereken önemli: Bazı virüsler, sistemdeki varlıklarını gizlemek için "svchost.exe" adını kolayca kullanmazlar, ancak orijinal svchost.exe dosyasını kendi bencil amaçları için de kullanabilirler.

Bu konuda manuel doğrulama burada bir sonuç vermeyecektir! Yukarıda ayrıca bir antivirüsün virüs aramada sonuç veremeyeceği söylendi! Mantıklı bir soru ortaya çıkıyor, ne yapmalı?

Aralarında kişisel olarak "comodo güvenlik duvarını" seçtiğim ücretsiz bir "güvenlik duvarı" kullanma seçeneği olarak bize nasıl yardımcı olabilir? Bu kadar basit! svchost.exe işlemini kullanan bir virüs aniden ağ etkinliğini göstermeye karar verirse, kullanıcı bunun farkında olacaktır!

Ekran görüntüsü, svchost dosyasının 80 numaralı bağlantı noktasındaki sunucuya bağlanmaya çalıştığını açıkça gösteriyor, orijinal dosya bunu asla yapmayacak, bu nedenle svchost virüslü!

Oldukça makul olan svchost dosyası için ağ erişimini hızlı bir şekilde engelleyebilirsiniz! Bu durumda, gizli verileri, örneğin şifreleri tarayıcıdan "Kapıya" aktarma olasılığı vardır.

Bu tür bilgilerin sızdırılmasının sizin için nasıl bitebileceğini kendiniz anlayın!

Virüslü svchost.exe dosyasıyla ne yapmalı? Mevcut antivirüs ve manuel kontrolden tam olarak sıfır anlam olduğu için, "virustotal.com" sitesini açın ve dosyayı kontrol edin. Bu arada, hemen yapın!

Benim sonucum aşağıdaki gibidir. Her şey temiz! Herhangi bir antivirüs, örneğin "Avast" tepki verirse, mevcut antivirüsü kaldırır ve Avast'ı yükler ve svchost.exe'yi iyileştirirdim.

Bu makaleyi okuyorsanız, muhtemelen adı olan sistem sürecine zaten dikkat etmişsinizdir. "Svchost.exe"... Ayrıca, genellikle yalnız değildir ve ona aynı adı taşıyan birkaç işlem daha eşlik eder:

Normal bir durumda, bilgisayarın performansı bu süreçten etkilenmez ve sıradan kullanıcılar buna dikkat etmez. İşlem, bilgisayar kaynaklarının yarısından %100'üne kadar "yutmaya" başladığında durum oldukça farklıdır. Ve ara sıra değil, sürekli. Bu durumda, soruna radikal bir çözüm bazen sistemin normal çalıştığı ana geri dönüşü olur. Bu yöntemler sadece gereksiz olmakla kalmaz, aynı zamanda her zaman yardımcı olmaz, bu nedenle bugün size svchost.exe işlemi bilgisayarın işlemcisini tam olarak yüklediğinde soruna daha basit çözümler anlatacağız.

svchost.exe nedir

Teori ile başlayalım. Svchost.exe- Bilgisayarda çeşitli hizmetlerin başlatılmasından sorumlu olan Windows sistem işlemi (örneğin, Baskı Hizmeti veya Windows Güvenlik Duvarı). Bununla birlikte, bir bilgisayarda aynı anda birkaç hizmet başlatılabilir, bu da bu hizmetler tarafından bilgisayar kaynaklarının tüketimini azaltabilir. Ek olarak, işlemin kendisi birden çok kopya halinde çalıştırılabilir. Bu nedenle, Görev Yöneticisi'nde her zaman birden fazla svchost.exe işlemi çalışır.

Peki neden svchost.exe bilgisayarın işlemcisi ve belleği üzerinde yüksek bir yük oluşturabilir? İnternette, svchost.exe işleminin bir virüs tarafından başlatıldığı veya hatta bir virüs olduğu fikrini bulabilirsiniz. Bu doğru değil. Açıkçası, bazı virüsler ve Truva atları kılık değiştirmek altında, bilgisayar kaynakları üzerinde ek bir yük oluşturur, ancak hesaplanması ve etkisiz hale getirilmesi oldukça kolaydır.

svchost.exe işlemi olarak gizlenmiş bir virüs nasıl kaldırılır

"Görev Yöneticisini" başlatın (klavye kısayolunu kullanarak Kontrol + Atl + Sil veya menüden Başlat> Programlar> Donatılar> Sistem Araçları) ve "İşlemler" sekmesini açın. İlk sütunda süreçlerin adlarını, ikinci sütunda ise kimin adına başlatıldığını göreceksiniz. Bu nedenle, svchost.exe'nin yalnızca YEREL HİZMET, SİSTEM (veya "sistem") kullanıcıları ve ayrıca AĞ HİZMETİ adına çalıştırılabileceğini lütfen unutmayın.

İşlemin kullanıcınız adına (örneğin Kullanıcı adına) başlatıldığını fark ederseniz önünüzde bir virüs var demektir. Gerçek svchost.exe yalnızca sistem hizmetleri tarafından başlatılabildiğinden, geçerli Windows kullanıcısının "Başlangıç" bölümünde olamaz. Bu nedenle, svchost.exe sistem işlemi olarak gizlenmiş bir virüs bulmaya çalışacağız. Başlangıç'a iki şekilde ulaşabilirsiniz: örneğin üçüncü taraf bir program aracılığıyla veya standart Windows araçlarını kullanarak.

Ek programlar yüklemeden Başlangıç'a girmek için, Başlangıç ve program arama çubuğunda (Windows XP'de - Başlat> Çalıştır) yazı yazmak msconfig ve ardından basın Tamam... Sistem Yapılandırma penceresi görünür. Sekmeye tıklayın ve sistem açılışında başlayan programların listesini dikkatlice inceleyin. Bu listede işlemi bulursanız svchost.exe o zaman viral kökeninden emin olabilirsiniz.

Gerçek svchost.exe başlatılabilir bir tek klasörden C: \ WINDOWS \ system32 burada "C", Windows'un kurulu olduğu sürücüdür. (64 bit işletim sisteminde svchost.exe dosyasının 32 bit sürümü C:\WINDOWS\SysWOW64 klasöründe bulunur ve teorik olarak işlem oradan da başlatılabilir. Ancak varsayılan olarak tüm sistem işlemleri, svchost.exe dahil, 64-bit Windows'ta C: \ WINDOWS \ system32'den başlatılır.) Yukarıdaki ekran görüntüsünde, dosyanın WINDOWS klasöründe bulunduğunu ve hatta "svhost.exe" olarak adlandırıldığını görebilirsiniz " değil sv C Doğrudan viral kökeninden bahseden host.exe ".

Bir virüsü maskelemek için en sık kullanılan klasörlerin listesi şöyle görünür:

C: \ PENCERELER \ svchost.exe
C: \ WINDOWS \ yapılandırma \ svchost.exe
C: \ WINDOWS \ sürücüler \ svchost.exe
C: \ WINDOWS \ sistem \ svchost.exe
C: \ WINDOWS \ sistem \ svchost.exe
C: \ WINDOWS \ pencereler \ svchost.exe
C: \ Kullanıcılar \ kullanıcı adınız \ svchost.exe

Viral işlemin dosyası yalnızca yukarıda listelenen klasörlerden birinde bulunmayabilir (ve gerçek svchost.exe'nin bulunduğu standart klasörde değil), aynı zamanda farklı bir ada da sahip olabilir:

svhost.exe
svch0st.exe
svchost32.exe
svchosts.exe
syshost.exe
svcosl.exe
svchos1.exe

Yani, Başlangıç'ta svchost.exe virüsünü buldunuz. Yapılacak ilk şey, "Başlangıç ​​öğesi" sütununda karşısındaki onay kutusunun işaretini kaldırarak otomatik çalıştırmayı devre dışı bırakmaktır. Şimdi "Görev Yöneticisi" aracılığıyla işlemi sonlandırmanız gerekiyor (işlem üzerinde sağ fare tuşu> İşlemi sonlandır) ve dosyanın kendisini silin. Dosyanın tam yolu, yukarıdaki ekran görüntüsünde olduğu gibi her zaman "Komut" sütununda belirtilir. İşlem dosyasının kendisinin silinmesine izin vermemesi oldukça olasıdır - bu durumda, önce bilgisayarı yeniden başlatmayı ve işlemi tekrarlamayı deneyin veya bu tür "kurtarılamaz" Unlocker dosyalarını kaldırmak için programı kullanın.

Bundan sonra, bilgisayarın virüsten koruma taraması yapmak da gereksiz olmayacaktır. Bilgisayarınızda hala antivirüs kurulu değilse yazımızı okumanızı öneririz.

Sistemde virüs yok ama yine de svchost.exe bilgisayarı yüklüyor mu?

Sistemdeki tüm virüsleri bulup etkisiz hale getirdiniz mi veya bilgisayarda virüs olmadığından emin oldunuz ve svchost.exe hala işinizi etkiliyor mu? İşlemi hangi programın veya hizmetin kullandığını bulmaya çalışın. Basit, ücretsiz Process Explorer programıyla bunu yapmak kolaydır. Çok sık olarak svchost.exe işlemi hizmeti kullanır Windows güncelleme güncellemeleri bilgisayarınıza otomatik olarak yükleyen:

Bu durumda, tüm Windows güncellemelerinin indirilip yüklenmesini bekleyebilir veya otomatik Windows güncellemelerini geçici olarak devre dışı bırakabilirsiniz. Bu aracılığıyla yapılabilir Kontrol Paneli Bölümde Sistem ve Güvenlik> Windows Güncelleme açarak parametre ayarları(pencerenin yan menüsünde) ve öğenin seçilmesi Güncellemeleri kontrol etme:

Otomatik güncellemeleri devre dışı bırakmak yardımcı olmadıysa, diğer tüm Windows hizmetlerini aynı şekilde kontrol edebilirsiniz. Hizmetler ek bileşeni aracılığıyla herhangi bir Windows hizmetini durdurabilir veya devre dışı bırakabilirsiniz. İçeri girmek çok kolay: tıklayın Başlat> tıklamak Bir bilgisayar sağ tıklayın, açılır menüden seçin Yönetim> gitmek Hizmetler ve Uygulamalar> Hizmetler... İstediğiniz hizmeti seçtikten sonra üzerine sağ tıklayın ve Durmak... Bilgisayardaki yükü oluşturan kişiyse, hizmeti durdurduktan sonra, svchost.exe işlemi bilgisayarınızı yüklemeyi %100 durduracaktır.

Bir bilgisayara sızan virüsler genellikle varlıklarının reklamını yapmamaya, işlemlerini kullanıcının gözünden gizlemeye veya çoğu zaman zararsız sistem süreçleri olarak gizlemeye çalışırlar. svchost.exe... Ve bu oldukça anlaşılabilir. Görev Yöneticisi'nde bu işlemin bir düzine örneğini bulan kullanıcılar, bir şeylerin yanlış olduğundan şüphelenmeye başlarlar. svchost.exe onunla ilgisi olmayabilecek herhangi bir sorunla. Bazı yeni başlayanlar, elbette, iyi bir şeye yol açmayan, onu kaldırmaya bile çalışırlar.

peki nedir bu aynı svchost.exe ve neden bu kadar sık ​​kopyalanıyor? İlk önce, svchost.exe bir virüs değildir, ancak Windows için bu son derece önemli ve gerekli süreç kapsamında kötü amaçlı yazılımları gizleme örnekleri hala mevcuttur. Arkalarında saklanan virüsleri nasıl ortaya çıkaracağınızı anlatacağız ama şimdilik amacına dair birkaç söz söylememe izin verin. svchost.exe... Yani, bu süreç aynı zamanda denir Win32 Hizmetleri için Genel Ana Bilgisayar İşlemi Windows sistem dosyalarının ve uygulama programlarının önemli bir bölümünü oluşturan dinamik bağlantı kitaplıklarını (DLL) kullanan programların, hizmetlerin ve hizmetlerin çalışmasında en doğrudan rolü alır.

kadarıyla svchost.exe istikrarı sağlamak için çok sayıda program ve hizmet sağlamanız gerekir, birkaç durumda çalışır, bunların sayısı bazı durumlarda birkaç düzineye ulaşabilir. Genel olarak, dokunma svchost.exe cesareti kırılmış, ancak dediğimiz gibi, virüsler kendilerini olduğu gibi gizleyebilir. Onları nasıl tanırsınız? Gerçek dosya olduğu gerçeğiyle başlayalım svchost.exeşu klasörlerden birinde olmalıdır:

• C: / WINDOWS / system32
• C: / Windows / SysWOW64
• C: / WINDOWSÖnceden Getir
• C: / WINDOWS / winsxs / *

Not: Dördüncü seçeneğin yolunun sonundaki yıldız işareti, eğik çizgiden sonra, genellikle uzun bir ada sahip, bir dizi karakter olan başka bir klasör olabileceği anlamına gelir. Nadir istisnalar dışında svchost.exe bazı programların dizinlerinde bulunabilir, örneğin, Malwarebytes Anti-Malware.

Bu dosya Windows kök dizininde veya kullanıcı klasörlerinde bulunuyorsa, büyük olasılıkla bir virüstür. Seçiciliği göstermek, sistemik bir süreç gibi görünmek svchost kötü niyetli dosyalar en beklenmedik yerlerde saklanabilir. Bunları bulmak için, Görev Yöneticisini veya İşlem Gezgini yardımcı programını kullanabilir, işlemlere göre yolları belirleyerek, dosya adına göre arama yapabilirsiniz. Usta Arayıcı veya buna benzer bir program.

Konumun yanı sıra dosya adına da çok dikkat edilmelidir. Acemi kullanıcıların çok azı buna dikkat ediyor, ancak boşuna. İlk bakışta, dosyaların birbirinden ne kadar farklı olduğunu fark etmeyebilirsiniz. svchost.exe ve (ikincisinde "c" atlanmıştır). Ve dosya adında Latin harfleri Kiril harfleriyle değiştirilebilir. "Doğru" klasörde bulunabileceğinden, onu tanımlamak daha zordur, yalnızca Windows addaki farkı görürken, onu tanımlamak için addaki karakterleri kod tablosuna göre kontrol etmeniz gerekir (dışa doğru). özdeş Kiril ve Latin harflerinin farklı kodları vardır).

"Yanlış" veya yanlış yerde svchost bulursanız ne yapmalısınız? İlk olarak, taramak için şu adrese gönderin: VirüsToplam içinde bir şey varsa elli antivirüsten en az biri sinyal verecektir. Gerçek dosya svchost lekesiz temiz olmalıdır. Sahte çıkarmak için svchost dosya, bir virüs oku, kullan Dr.Web CureIt !, Dr.Web LiveDisk veya yardımcı program AVZ... çalışmak AVZ ayrıca bir komut dosyasına da ihtiyacınız var.

Ve işte senaryonun kendisi. Bir * .txt dosyası oluşturun ve içine aşağıdakileri ekleyin ve kaydedin.

başlamak
SearchRootkit (doğru, doğru);
SetAVZGuardStatus (Doğru);
QuarantineFile ('kötü amaçlı dosyanın tam yolu', ”);
DeleteFile ('kötü amaçlı dosyanın tam yolu');
BC_ImportAll;
SysClean'i yürütün;
ExecuteWizard ('TSW', 2,3, doğru);
BC_Etkinleştir;
Windows'u Yeniden Başlatın (doğru);
son.

Komutların karşısındaki parantez içinde KarantinaDosyası ve Dosyayı sil kötü amaçlı dosyanın tam yolunu belirtmeniz gerekir. Örneğin: (' C: \ Windows \ sistem \ syshost.exe‘,”);

Başlatmak AVZ, menüden seçin Dosya sonra seç Komut dosyasını yürütün, daha önce düzenlenen komut dosyasının kodunu açılan pencereye ekleyin (yapılması gerekenler komut dosyasının kendisinde belirtilir) ve düğmesine basın " Çalıştırmak". Bilgisayarı yeniden başlattıktan sonra, kötü amaçlı dosyanın silinip silinmediğini kontrol ediyoruz ve ardından herhangi bir virüsten koruma ve casus yazılım önleme aracıyla sistem diskinde tam bir tarama gerçekleştiriyoruz.

İşletim sisteminizin Görev Yöneticisinde çalışan svchost.exe adlı aynı dosyanın birden çok kopyasını hiç buldunuz mu? Bu dosya nedir ve bilgisayarınıza zarar verebilir mi? Silebilir miyim ve silmeli miyim? Bu ve bu dosya ile ilgili diğer birçok konudan bu yazıda bahsedeceğiz.

Tanım

Svchost.exe, Windows işletim sistemi satırındaki dinamik bağlantı kitaplıklarından başlatılan hizmetler için ana işlemin genel adıdır. svchost.exe dosyasına erişen her hizmet, kişisel bilgisayarda bu dosyanın kendi kopyasını başlatır. Böylece, görev yöneticisinde aynı anda birkaç düzine kopyası görüntülenebilir. Böyle bir sistem, cihazın hafızasında mümkün olduğunca fazla boş alan kazanmak için icat edildi.

Bu dosya güvenli mi?

Svchost.exe dosyasının kendisi işletim sisteminin önemli bir bileşenidir ve herhangi bir tehditle dolu değildir. Ancak, İnternette yakalanan kötü amaçlı kodun kendisini bu dosya olarak gizlemesi alışılmadık bir durum değildir. Hesaplama, böyle bir ada sahip bir dosyayı bulmanızın daha zor olacağı ve onu sistem olarak kabul ederek silmekten korkacağınız gerçeği üzerine yapılır.

Bu dosya nerede bulunur?

svchost adlı belirli bir çalışan işlemin bir virüs olup olmadığını anlamak oldukça kolaydır. Her şeyden önce, gerçek, güvenli svchost.exe dosyasının nerede bulunabileceğini bilmeniz gerekir:

• C: \ WINDOWS \ system32
• C: \ WINDOWS \ ServicePackFiles \ i386
• C: \ WINDOWS \ Ön Getirme
• C:\WINDOWS\winsxs\Bu bölümde bulunan herhangi bir klasör.

Svchost dosyasını başka bir şekilde bulursanız, bilin - bir virüsle uğraşıyorsunuz. Tek istisna, antivirüs ve aynı ada sahip klasörler oluşturan diğer bazı programlardır, ancak bunlar bilgisayarınız için bir tehdit oluşturmaz.

Svchost ile hangi hizmetlerin başlatıldığını nasıl görebilirim?

Bu sorunu Windows 7 örneğini kullanarak ele alalım.

1. Ctrl + Alt + Del tuşlarını aynı anda basılı tutun ve "Görev Yöneticisini Başlat" ı seçin.
2. İşlemler sekmesine gidin ve Tüm Kullanıcılar için İşlemleri Göster'i seçin.
3. Açılan listede dosyanın kaç kopyasının o anda bilgisayarınızda hangi kullanıcı adına çalıştığını görebilirsiniz. svchost.exe sistem dosyasının yalnızca YEREL HİZMET, SİSTEM, AĞ HİZMETİ veya Sistem kullanıcıları adına çalıştırılabileceğini bilmelisiniz. Dosya yerel makinenin adıyla çağrıldıysa, bir virüsle uğraşıyorsunuz demektir.
4. Hangi hizmetin bir dosyanın belirli bir kopyasını başlattığını görmek için, listeden o kopyaya sağ tıklayın ve "Hizmetler'e Git" i seçin veya farenin sol tuşuyla listeden bir kopya seçin ve bitişik "Hizmetler" sekmesini açın.
5. Belirli bir hizmetin ne olduğunu ve bilgisayarınızda hangi işlevleri yerine getirdiğini öğrenmek için açılan pencerenin sağ alt köşesindeki "Hizmetler ..." düğmesine tıklayın.

Svchost gibi görünen bir virüs nasıl kaldırılır?

Bilgisayarınıza svchost dosyası kılığına giren bir virüs bulaştığından şüpheleniyorsanız, bu tür dosyaları bilgisayarınızdan kaldırmak için özel olarak tasarlanmış bir program indirmek en doğru çözüm olacaktır. Böyle bir programın bir örneği, Güvenlik Görev Yöneticisi veya AVZ antivirüs yardımcı programıdır. Şüpheli dosyaları sildikten sonra, bilgisayarınızı yeniden başlatmanız ve virüslere karşı tam bir sistem taraması yapmanız gerekecektir. Ancak o zaman virüsten tamamen kurtulduğunuzdan ve bu dosyanın artık bilgisayarınızın güvenliğini tehdit etmediğinden tamamen emin olabilirsiniz.

Bugün Svchost.exe'nin ne tür bir işlem olduğundan ve neden sistemi yükleyebileceğinden bahsedeceğiz.

İşlemler sekmesine nasıl gidilir

Bilgisayar normal çalışırken, ortalama kullanıcı sistemde hangi işlemlerin çalıştığı ve genel olarak ne için gerekli olduğu ile ilgilenmez.

Ancak Windows XP / Vista / 7'nin standart olmayan davranışı - frenleme, donma, sık sık yeniden başlatma, nedenler aramamıza neden oluyor.

Aramanıza nereden başlamalı? "Görev Yöneticisini" başlatmayı deneyelim.

Başlatma ayarları.

1. "Ctrl" + "Alt" + "Del" tuş bileşimine basın.
2. "Başlat" düğmesine basın, "Çalıştır" komutunu seçin, taskmgr.exe'ye girin ve "Tamam" düğmesine basın.

Şimdi "İşlemler" sekmesine gidin ve listeyi inceleyin.

Çok sayıda svchost.exe işlemi hemen endişe vericidir. Peki, bu uygulamanın yeteneklerini anlamanın zamanı geldi.

svchost.exe'yi kullanmaya başlama

Son zamanlarda, .exe uzantılı olağan yürütülebilir dosyalar yerine Windows hizmetlerini bağlamak için .dl uzantılı dinamik bağlantı kitaplıkları giderek daha fazla kullanılmaktadır.

Bu yöntemin daha verimli olduğu düşünülmektedir. Ancak, yürütülebilir bir dosyadan farklı olarak bir kitaplık dosyası kendini başlatamaz.

Svchost.exe uygulaması, hizmeti (hizmeti) dll dosyasından başlatmaya "yardımcı olur".

Örneğin, DNS istemci hizmeti şu şekilde başlar:

C: \ WINDOWS \ system32 \ svchost.exe -k Ağ Hizmeti.

svchost.exe işlemleri hakkında birkaç kelime

svhost.exe işleminin her örneği, üst öğesi olan services.exe sistem işlemi tarafından başlatılır.

Tek bir svshost.exe işlemi, bir hizmeti veya mantıksal olarak ilişkili birkaç Windows hizmeti grubunu çalıştırabilir.

"Bir svchost işlemi -> birden çok Windows hizmeti" başlatma seçeneği, RAM ve CPU kaynaklarından tasarruf sağlar.

Svchost gruplarını ve kompozisyonlarını görüntülemek için Windows kayıt defterine gidin:

• "Başlat" düğmesine basın ve "Çalıştır" komutunu bulun;
• komut satırına regedit.exe girin ve "Tamam" düğmesini tıklayın.
• kayıt defterinde HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \ Svchost şubesine gidin;
• REG_MULTI_SZ parametrelerini her grubun hizmet listeleriyle buluyoruz.

Örneğin, DcomLaunch grubu aşağıdaki hizmetleri içerir:

1. Güç, güç yapılandırmasını yöneten ve kurulu güç yapılandırmaları hakkında bildirimler gönderen bir hizmettir;
2. PlugPlay, bir bilgisayarın kendisine bağlı cihazları otomatik olarak tanıdığı ve bunları kullanıcı müdahalesi olmadan çalışacak şekilde yapılandırdığı veya bu müdahaleyi en aza indirdiği bir hizmettir.
3. DcomLaunch, sunucu verilerini kullanan programların kararlı çalışması için COM ve DCOM sunucularını başlatmaya yönelik bir hizmettir.

Yukarıdaki hizmetlerden herhangi birinin devre dışı bırakılması önerilmez.

svchost işlem verilerini görüntülerken, "Kullanıcı adı" sütununa dikkat ettiğinizden emin olun.

Şu değerlerden yalnızca birini içerebilir: "Yerel Servis", "Sistem", "Şebeke Servisi".

Dosya nerede yaşıyor.

Windows XP / Vista / 7 işletim sistemlerinde svchost.exe dosyasının konumu standarttır:

• 32 bit işletim sistemi - C: \ Windows \ System32 \;
• 64 bit işletim sistemi - C: \ Windows \ SysWOW64 \.

Dosyanın tam adresini hatırlayalım. Bu gelecekte bizim için yararlı olacaktır.

svchost.exe işlemi ve bağlantıları

Görev yöneticisi bize çalışan svchost.exe işlemlerinin tam bir listesini verir, ancak bu bilgi açıkça yeterli değildir.

Doğal olarak, bu sürecin belirli bir örneğinin hangi hizmetleri başlattığıyla ilgileniyoruz.

Bu nedenle, svchost'un bağlantılarını öğrenmenin birkaç yolu vardır.

Görev listesi ve sc komutları.

Görev listesi ve sc komutları, Windows'un herhangi bir sürümünde kullanılabilir. Bu nedenle, bu yöntem evrensel olarak kabul edilebilir.

Her şeyden önce, Windows komut satırı yorumlayıcısı olan cmd'yi başlatıyoruz:

• "Başlat" düğmesine basın;
• "Çalıştır" komutunu seçin;
• cmd girin ve "Tamam" düğmesine basın.

Yorumlayıcı ekranında servislerin listesini almak için svc tuşu ile görev listesi komutunu çalıştırın ve "Enter" tuşuna basın:

• görev listesi / svc "Enter".

Sorgu sonuçlarını temp klasöründeki C: sürücüsünde bulunan svc.txt metin dosyasına kaydetmek için, görev listesi komutunun çıktısını yeniden yönlendirin:

• görev listesi / svc> C: \ temp \ svc.txt "Enter"

Dosyanın dos kodlamasında kaydedileceğini unutmayın.

Tasklist.exe listeleme snippet'i.

Hizmet PID Görüntü Adı:

• svchost.exe 1216 DcomLaunch
• svchost.exe 1300 RpcSs
• svchost.exe 1384 WudfSvc
• svchost.exe 1528 Dnscache
• svchost.exe 1584 LmHost'lar, SSDPSRV

Tablo sütunları:

• "Görüntü adı" - yürütülebilir dosyanın adı;
• "PID" - süreç tanımlayıcısı;
• "Hizmetler" - hizmetlerin bir listesi.

Belirli bir hizmet hakkında bilgi almak için kısa adını sc hizmet kontrol komutunun bir parametresi olarak ayarlayın.

TermService hakkında bilgi alma örneği.

- sc qc TermService "Girin".

Hizmetler listesine gitmenin iki yolu.

1. "Başlat" düğmesine basın, "Çalıştır" komutunu bulun, komut satırına services.msc yazın ve "Tamam" düğmesine basın.
2. "Başlat" düğmesini tıklayın, ardından Ayarlar -> Denetim Masası -> Yönetimsel Araçlar -> Hizmetler'i seçin.

Windows Vista / 7 Görev Yöneticisi.

Windows Vista / 7 Görev Yöneticisini kullanarak svchost işlemiyle ilişkili hizmetlerin bir listesini alıyoruz:

• imleci işlemin adına ayarlayın;
• farenin sağ tuşuna basarak bağlam menüsünü çağırın ve "Hizmetler'e git" seçeneğini seçin;
• sürecimizle ilgili hizmetlerin vurgulandığı bir liste alırız.

Ne yazık ki, Windows XP'de Hizmetlere Git seçeneği yoktur. Bu seçenek evrensel olarak kabul edilemez.

İşlem Gezgini yardımcı programı.

Bu program Windows dağıtımlarına dahil değildir, ancak Microsoft web sitesinden veya İşlem Gezgini indirme sayfasından indirilebilir.

Başlatma işlemi çok basittir ve kurulum gerektirmez:

• zip arşivini indirin;
• procexp.exe'yi çalıştırın.

Yardımcı program, sistemde çalışan işlemler hakkında ayrıntılı bilgi verir: pid, işlemci yükü, kısa açıklama, üretici bilgileri vb.

Fareyi svchost örneklerinden birinin adının üzerine getirdiğimizde aşağıdaki bilgileri aldık:

• Komut Satırı - svchost aracılığıyla bir hizmet veya bir grup hizmet başlatmak için satır;
• Yol - svchost.exe dosyasının yolu;
• Hizmetler - hizmetlerin listesi.

Sağ tıklama bağlam menüsü, süreç ve başlattığı hizmetler üzerinde büyük kontrol sağlar.

AnVir Görev Yöneticisi yardımcı programı.

AnVir Task Manager yalnızca çalışan süreçlerin, hizmetlerin, sürücülerin ve başlatmanın yönetimini sağlamakla kalmaz, aynı zamanda bir antivirüs görevi görür.

Başlatma sırası, İşlem Gezgini ile aynıdır:

• AnVir Task Manager'ın ücretsiz sürümünü zip arşiv formatında indirin;
• diskteki bir klasöre sıkıştırın;
• AnVir.exe dosyasını çalıştırın.

Programın ilk başlangıcında dili değiştirmek için ana menüyü kullanın:

"Görünüm-> Dil-> Rusça".

Svchost'larımız hakkında detaylı bilgi almak için "İşlemler" sekmesini seçiyoruz.

İşlem satırında üretici, yürütülebilir dosyanın yolu, CPU kullanım yüzdesi vb. hakkında bilgiler görüyoruz.

Ancak en ilginç veriler "Başlangıç" sütununda sunulmaktadır. Burada svchost tarafından başlatılan hizmetlerin bir listesini bulacaksınız.

İşlem adına farenin sol tuşuna çift tıklayarak işlem hakkında daha detaylı bilgi alıyoruz (ekranın alt kısmında sekmelerin olduğu pencere).

Sistem ne yapacağını yavaşlatıyor

Hangi belirtiler svchost'un suçlu olduğunu ve sorunların nasıl çözüleceğini gösterir. Anlayalım.

Sistem çeşitli nedenlerle yavaşlayabilir. Ancak görev yöneticisinde svchost.exe işlemini yüksek oranda CPU kullanımıyla (hatta bazen yaklaşık %100) bulursanız, bunun nedeni büyük olasılıkla ondadır.

Birçok kullanıcı bu durumda svchost'un mutlaka bir virüs olduğuna inanır. Ama durum böyle değil. İşlem, sistemi başka nedenlerle yükleyebilir.

Her iki durumda da sorunu svchost ile nasıl çözeceğimizi görelim.

Svchost Bir Virüs mü, Değil mi?

Birçok Truva atı ve diğer bilgisayar virüsleri kendilerini bilinen Windows sistem uygulamaları olarak gizler. Svchost bir istisna değildir.

Kaspersky Lab'ın verilerine göre, svchost Trojan-Clicker.Win32.Delf.cn, Virus.Win32.Hidrag.d, Net-Worm.Win32.Welchia.a ve bilinen Kido virüsü gibi görünüyor. çoğu kullanıcı.

Öyleyse işlemimizi kontrol etmeye başlayalım.

İlkine dikkat edin. Standart olandan farklıysa, dosyayı güvenle silebilirsiniz.

İşlemi başlatan kullanıcının adını kontrol edin. Geçerli adların listesi için bkz. "".

İşlem adını dikkatlice tekrar okuyun. Virüs yazarları genellikle benzer adlar kullanır: svhost, svchosts, vb.

Uygulama hiçbir zaman Windows kayıt defterinin "Çalıştır" anahtarı aracılığıyla başlatılamaz.

Bu nedenle, başlangıçta varlığını kontrol ettiğinizden emin olun:

• "Başlat" düğmesine basın, "Çalıştır" komutunu seçin, msconfig'e girin ve "Tamam" düğmesine basın;
• svchost.exe dosyası bulunursa, başlatmayı devre dışı bırakın.

Görev yöneticisinde şüpheli bir işlemi kaldırmak için farenin sağ tuşuna basarak içerik menüsünü açın ve "İşlem ağacını sonlandır" komutunu seçin.

Açıklanan tüm adımları tamamladıktan sonra, anti-virüs programını çalıştırmak ve bilgisayarı tedavi etmek zorunludur.