До ак правило, більшість троянських і шпигунських програм намагаються приховати свою присутність на комп'ютері для чого вдаються до різного роду хитрощів, наприклад, ретельно ховають свої процеси або маскуються під процеси системні. Потенційною «жертвою» вірусу може стати будь-який системний процес, але найчастіше шкідливі програми прикриваються маскою процесу svchost.

І на це у них є свої причини. Справа в тому, що svchost запускається в декількох примірниках зовні практично нічим не відрізняються один від одного, так що якщо в диспетчері завдань з'явиться ще один процес svchost, а їх число може досягати декількох десятків, особливої ​​підозри з боку користувача це не викличе. Але якщо вони однакові, як визначити, який з них є справжнім, а який вовком в овечій шкурі?

Виявляється, що не так вже й складно, але перед тим як приступати до їх ідентифікації, дозвольте пару слів про сам процес svchost. Як видно з його повної назви Generic Host Process for Win32 Services, відповідає він за роботу служб і сервісів, причому як системних, так і сторонніх, які використовують динамічні бібліотеки DLL, які в свою чергу складають чималу частину файлів Windows і прикладних програм.

Цей процес настільки важливий, що якщо файл svchost.exe буде пошкоджений, Windows не зможе нормально працювати. У діючій системі присутній як мінімум чотири примірники процесу svchost, але їх може бути і значно більше. Необхідність такого дублювання пояснюється кількістю обслуговуваних процесом служб і сервісів, а також необхідністю забезпечення стабільності системи.

Отже, як же дізнатися, чи є svchost справжнім? Першим критерієм достовірності файлу svchost.exe є його місце розташування. Його законним місцем проживання є наступні папки:

• C: / WINDOWS / system32
• C: / Windows / SysWOW64
• C: / WINDOWSPrefetch
• C: WINDOWS / ServicePackFiles / i386
• З: / WINDOWS / winsxs / *

П рімечаніе: зірочка в кінці шляху З: / WINDOWS / winsxs позначає, що в папці winsxs може бути ще один каталог. Як правило, він має довгу назву з набору символів, наприклад, amd64_3ware.inf.resources_31bf3856ad364e35_6.3.9600.16384_ru-ru_7f622cb60fd30b1c. Як виняток з правил файл svchost.exe може розташовуватися в каталозі антишпигунською програми Malwarebytes Anti-Malware.

Якщо ж він виявиться в який-небудь іншій папці, особливо в кореневій Windows або в «Користувачі», то швидше за все ви маєте справу з маскуються вірусом. Перевірити розташування файлу svchost.exe можна з Диспетчера завдань, клікнувши по процесу правою кнопкою миші і вибравши в меню опцію «Відкрити розташування файлу» або за допомогою сторонніх утиліт на зразок Process Explorer. Використовуючи сторонні файлові менеджери, також можна виконати пошук всіх файлів svchost.exe по масці.

Останній спосіб не настільки надійний, так як підробляють під процес svchost вірус може використовувати більш хитрий спосіб маскування. Так, в імені файлу одна з латинських букв може бути замінена кириличної. Зовні такий файл нічим не буде відрізнятися від справжнього, більш того, він може розташовуватися в тому ж каталозі, що і «правильний» svchost.exe. Втім, перевірити його справжність не складає особливих труднощів. Досить порівняти коди символів імені файлу скориставшись таблицею символів Юнікоду. Іноді в назву файлу svchost додається зайва літера, або навпаки, пропускається. Неуважний користувач може і не помітити різницю між, скажімо, svchost.exe і svhost.exe.

Проте, поспішати видаляти підозрілий svchost відразу не варто. Для початку непогано було б перевірити його на мульти антивірусний сервісі на зразок VirusTotal і, якщо підозрілий файл виявиться підробкою, хоча одна з антивірусних програм видасть позитивний результат. Шкідливий файл, що маскується під svchost видаляємо за допомогою Dr.Web LiveDisk або утиліти AVZ. Якщо будете використовувати AVZ, вам також знадобитися спеціальний скрипт, завантажити який можна за посиланням нижче.

Алгоритм видалення вірусу в AVZ наступний: запускаємо утиліти, в меню Файл вибираємо опцію «Виконати скрипт» після чого вставляємо код скрипта з доданого файлу і натискаємо кнопку «Запустити». При цьому буде виконана перезавантаження комп'ютера.

Після старту перевіряємо, чи був видалений вірус і проводимо повну перевірку системного розділу антивірусним сканером.

Скрипт для AVZ: yadi.sk/i/aMnvkKS0m7kp6