Mis on Svchost.exe protsess?

Seitse...Mis on Svchost.exe protsess, kuidas tuvastada seda et milliseid teenuseid ta jooksutab ja kuidas neid teenuseid välja lülitada, et hoida kokku kompuutri ressursse. Process Explorer utiliit. Svchost.exe protsess ja tema nime (või temaga sarnase nime) taha peitunud pahavara. Teiste mittevajalike protsesside, mis kasutavad palju PC ressursse, väljalülitamine Task Manager utiliidi abil.

(Windows XP, Vista ja Windows 7)

 

 

Mis on Svchost.exe protsess?


"Teenus" (service) on rakendus - ei rohkem ega vähem. Teenuse eeliseks on see et ta võib joosta ilma kasutaja sessioonita. See lubab teha selliseid asju näiteks nagu reservkoopiate loomine, automaatne värskendamine, Windowsi tulemüüri töö, Windowsu teemade laadimine, süsteemi sisselogimine, tegelda andmebaasidega jne, jne, st joosta siis kui seda on vaja ja ilma et kasutaja peaks isegi süsteemi sisse logima.


Mis on "svchost"?

1) Vastavalt Microsofti üsna arusaamatule määrangule: "svchost.exe is a generic host process name for services that run from dynamic-link libraries".

2) Paneme selle Microsofti määrangu siis natuke arusaadavamasse keelde: Mõni aeg tagasi viis Microsoft kõik Windowsi sisemiste teenuste funktsioonid üle .dll failidesse (.exe failide asemel). Programmeerimise seisukohast on see väga hea, aga probleem on selles et Sa ei saa .dll faili käivitada otse Windowsist, teda saab käivitada ainult jooksva täitmisfaili (exe) abil. Nii see svchost.exe protsess loodigi.


Veel lisaks:

"Svchost.exe" (Generic Host Process for Win32 Services) on operatsioonisüsteemi integreeritud osa (arvuti peaprotsess/süsteemi fail) ja teda ei saa ise käsitsi peatada või siis restartida. Teda kasutatakse NT baseeruvatel Windowsi operatsioonisüsteemides: Windows NT, 2000, 2003, 2008, XP, Vista, Windows 7 ja kõrgematel. Svchost.exe on host protsesside üldnimeks ja need protsessid käivitatakse DLL-ide (dynamic-link libraries) kaudu. Paljude programmide funktsioonid käivitatakse DLL (dynamic link library) kasutajaliideses, aga need .dll failid ei käivitu ise-enesest - nad vajavad selleks mingit käivitusprogrammi (.exe). Kompuutri käivitamisel kontrollib svchost.exe peaprotsess Windowsi Registris teenuseid ja loob nende teenuste (services) loetelu, mis tuleb tal seejärel käivitada.

Märkus: DLL (Dynamic Link Library) on fail, mis sisaldab koode ja andmeid ning mida kasutatakse ühel- ja samal ajal mitme programmi poolt.

See Svchost.exe arvuti protsess sisaldab teisi üksikuid/eraldi teenuseid (services), mida Windows kasutab erinevate funktsioonide täitmiseks. Näiteks võib mingi programm kasutada teatud teenust, mis on svchost.exe protsessis. Süsteemis võib ühel ajal töötada korraga mitu svchost.exe protsessi, millest igaüks sisaldab erinevat teenust (või siis korraga mitut teenust). Mingi svchost.exe võib jooksutada üht programmi teenust, aga teine svchost.exe võib samal ajal kasutada mitut muud Windowsiga seotud teenust - seega võib korraga ühel- ja samal ajal töötada mitu Svchost.exe protsessi, mis sisaldavad erinevaid teenuseid või siis teenuste gruppe. Sellisteks süsteemiteenusteks on näiteks: "Automatic Updates", "Windows Firewall", "Plug and Play", "Fax Service", "Windows Themes" jne, jne.

Kui Sa vaatad Control Panel'is seda teenuste sektsiooni (Start -> Control Panel -> Administrative Tools -> Services), siis näed, et seal on hulga teenuseid, mida läheb Windowsil endal vaja, et süsteem saaks korralikult funktsioneerida. Juhul kui iga üksik teenus jookseks üheainsa svchost.exe protsessi all, siis ühe ülesseütlemine võib jooksutada kokku terve Windowsi... Seepärast on need teenused nüüd jaotatud loogilistesse gruppidesse ja seejärel on iga sellise grupi jaoks loodud üksainus svchost.exe protsess. Näiteks üks svchost.exe protsess jooksutab 3 teenust, mis on seotud Windowsi tulemüüriga ja teine svchost.exe protsess võib näiteks jooksutada kõiki teenuseid, mis on seotud kasutaja kasutajaliidesega jne...

Selline mitme svchost.exe protsessi korraga töötamine vähendab terve süsteemi kokkujooksmise võimalust ja seega muudetakse opsüsteem märksa stabiilsemaks ning turvalisemaks.



Kuidas vaadata, et mis teenus (service) on parasjagu iga svchost.exe protsessi poolt käivitatud?


Svchost.exe fail asub ise %SystemRoot%\System32 kaustas (tavaliselt kaustateega C:\Windows\System32) ja Svchost.exe grupid asuvad järgmises registrivõtmes:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Ülaltoodud võtmes asuv iga väärtus esitab eraldi Svchost gruppi ja ilmub kui eraldi svchost.exe protsess siis kui Sa vaatad Task Manager'i akna Processes vahelehel aktiivseid/käivitatud protsesse. Iga väärtus on siin REG_MULTI_SZ väärtus ja sisaldab teenuseid, mis käivitatakse antud Svchost grupi alt. Kui Sa teed siin mingil väärtusel 2x klõpsu, siis näed ka neid teenuseid, mis on antud Svchost grupiga seotud - pilt.

Seega võib iga Svchost grupp sisaldada ühte või mitut teenust, mis saadakse alltoodud järgmisest registrivõtmest, mille Parameters võti sisaldab ServiceDLL väärtust:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service


TÄHTIS! Svchost.exe fail peab asuma %SystemRoot%\System32 kaustas (tavaliselt kaustateega C:\Windows\System32). Kui Sa leiad ta kusagilt mujalt, siis on ta kas viirus, troojalane, worm või spioonivara, sest pahavara loojad võivad oma sigaduse varjata svchost.exe failinime taha! Mine sel juhul 'Safe Mode' režiimi ja käivita kõik olemasolevad pahavara tõrje programmid.


Selleks et vaadata neid teenuseid, mis on parasjagu käivitatud Svchost.exe protsessis, võib kasutada kahte meedtodit:

Esimene meetod (Windows XP puhul, aga seda võib kasutada ka Vista ja Windows 7 olemasolul):

Tee järgmist:

1. Kliki Start -> Run.
2. Tipi Open dialoogiaknasse cmd ja vajuta ENTER.
3. Tipi CMD akna käsureale tasklist /svc käsk ja vajuta ENTER.

Antud tasklist käsk kuvab kõik aktiivsed protsessid ja tema /svc võti (parameeter) näitab ära iga protsessi poolt käivitatud teenuse (service) - pilt.

Mingi svchost.exe protsessi kohta lisateabe saamiseks tipi CMD akna käsureale alltoodud käsk ja vajuta ENTER:

tasklist /fi "PID eq processID" (koos jutumärkidega), kus asenda "processID" antud protsessi PID numbriga - selle PID identifitseerija saad loetelu PID veerust. Näiteks võib see käsk näha välja järgmine:

tasklist /fi "PID eq 1040"

Seejärel näed Sa antud protsessi kohta täpsemat infot ja ka seda et kui palju see protsess, õigemini tema teenused, kasutavad kompuutri ressursse.


Märkus: Sa võid seda meetodit kasutada ka Vista ja Windows 7 puhul, sel juhul tee nii:

1. Kliki nupule Start, tipi Search kasti sõna cmd ja vajuta ENTER.
2. Tipi CMD akna käsureale tasklist /svc käsk ja vajuta ENTER.
3. Täpsema info saamiseks kasuta tasklist /fi "PID eq processID" (koos jutumärkidega) käsku.



NB! Windows XP jooksutamisel võid käivitatud protsesse ja nende poolt hõivatud ressursside kasutamise mahtu uurida ka Task Manager'i kaudu: Tee all tegumiribal paremklõps, vali hüpikmenüüst käsk Task Manager ja ava Windows Task Manager'i aknas vaheleht Processes.


Teine mugavam meetod (kasuta Vista ja Windows 7 puhul) :

Sa võid käivitada ka graafilise kasutajaliidesega Task Manger'i (Tegumihalduri), et vaadata seda et millised teenused töötavad iga svchost.exe protsessi all, tee järgmist:

1. Tee all tegumiribal tühjal kohal paremklõps ja vali hüpikmenüüst käsk Start Task Manager (Windows XP puhul käsk Task Manager).
2. Ava Processes sakk/vaheleht.
3. Seejärel kliki all nupule Show processes from all users.
4. Kliki ilmuvas UAC dialoogiaknas nupule Continue.
5. Nüüd näed Sa kõikide muude käivitatud protsesside loetelus ka neid svchost.exe protsesse:

Käivitatud protsessid


6. Otsi ülesse see svchost.exe, mille kohta Sa tahad teada, et millised teenused tema taga jooksevad, siis tee tal paremklõps ja vali Go to Service(s) käsk:

Vali käsk 'Go to Service (s)


(Näiteks kui Sa tahad teada, et miks mingi svchost.exe õgib nii palju mälu ja protsessori ressursse, siis leiagi siit loetelust ülesse see svchost.exe protsess ning tee tal paremklõps ja vali Go to Service(s) käsk.)

7. Seejärel avatakse automaatselt Services vaheleht, kus on vajalikud teenused juba esile tõstetud ja märgistatud - need ongi siis need teenused, mis on seotud antud svchost.exe protsessiga:

Avati vaheleht Services


Märkus: Kui Sinu tegumireal on palju ikoone ja vaba ruumi ei ole, siis võid Task Manager'i käivitada alternatiivina ka nii et vajutad klahve Ctrl + Shift + Esc ja seejärel avad Processes vahelehe ning klikid Show processes from all users nupule, et näha kõiki käivitatud protsesse (sealhulgas ka neid svchost.exe protsesse).

Sa võid vajutada ka Ctrl + Alt + Del klahve, et avada Task Manager'i akent (Windows XP olemasolul) ja kui Sa jooksutad Vistat või Windows 7't, siis vajuta Ctrl + Alt + Del klahve ning kliki uues ekraanis Start Task Manager nupule. Seejärel ava Processes vaheleht ja kliki Show processes from all users nupule, et näha kõiki käivitatud protsesse (sealhulgas ka neid svchost.exe protsesse).



Kui mingi svchost.exe protsess kasutab liiga palju kompuutri ressursse (mälu ja protsessori oma), siis mida teha?


Svchost.exe on olnud alati paljude kasutajate jaoks mingiks müsteeriumiks, sest ühel- ja samal ajal jookseb mitu svchost.exe protsessi ning igaüks neist kasutab erinevas suuruses mälu ja protsessori ressursse. Svchost.exe võib mõnikord hõivata isegi kuni 100% CPU (protsessori) tööst, ta võib olla väga suur mälu õgard, võib mõjuda halvasti sülearvuti jahuti kiirusele ja voolu tarbimisele. Svchost.exe ise ei tekita neid probleeme, sest tema on ainult selle protsessi "hoidja", mida tegelikult kasutavad momendil jooksvad teenused (services). Kuid sellise svchost.exe probleemi võib põhjustada ka igasugune pahavara, mis võib peita ennast svchost.exe nime taha ja see pahavara võib mõnikord kasutada ära süsteemi kõik ressursid. Seega kui Sa näed, et mõni svchost.exe protsess hõivab pikema aja jooksul kuni 90% või isegi 100% CPU tööst või kui ta kasutab pidevalt suurt füüsilise mälu (RAM) mahtu, siis tuleb kohe kindlaks teha see et millised teenused jooksevad antud svchost.exe protsessi taga.

Tee järgmist:

1. Tee all tegumiribal tühjal kohal paremklõps ja vali hüpikmenüüst käsk Start Task Manager (Windows XP puhul käsk Task Manager).


Märkus: Kui Sinu tegumireal on palju ikoone ja vaba ruumi ei ole, siis võid Task Manager'i käivitada alternatiivina ka nii et vajutad klahve Ctrl + Shift + Esc.
Sa võid vajutada ka Ctrl + Alt + Del klahve, et avada Task Manager'i akent (Windows XP olemasolul) ja kui Sa jooksutad Vistat või Windows 7't, siis vajuta Ctrl + Alt + Del klahve ning kliki uues ekraanis Start Task Manager nupule.


2. Ava Processes sakk/vaheleht (eelpool on pilt sellest olemas - seal).
3. Seejärel kliki all nupule Show processes from all users.
4. Kliki ilmuvas UAC dialoogiaknas nupule Continue.
5. Nüüd näed Sa kõikide muude käivitatud protsesside loetelus ka neid svchost.exe protsesse (eelpool on pilt sellest olemas - seal).

6. Otsi ülesse see svchost.exe, mille kohta Sa tahad teada, et millised teenused tema taga jooksevad, siis tee tal paremklõps ja vali Go to Service(s) käsk - eelpool on pilt sellest olemas - seal.
(Näiteks kui Sa tahad teada, et miks mingi svchost.exe õgib nii palju mälu ja protsessori ressursse, siis leiagi siit loetelust ülesse see svchost.exe protsess ning tee tal paremklõps ja vali Go to Service(s) käsk.)

7. Seejärel avatakse automaatselt Services vaheleht, kus on vajalikud teenused juba esile tõstetud ja märgistatud - need ongi siis need teenused, mis on seotud antud svchost.exe protsessiga (eelpool on pilt sellest olemas - seal).

8. Kui Sa oled teinud kindlaks need teenused, mis põhjustavad antud svchost.exe poolt süsteemi ressursside ülemäärase kasutamise, siis tee kahtlasel teenusel paremklõps ja vali kontekstmenüüst käsk Stop Service:

Peata antud teenuse töö


Märkus: Tihti on ühe svchost.exe protsessiga seotud mitu teenust ja nad kõik on ka seal Services vahelehel ära märgistatud, seega ei saa Sa ühelgi neist paremklõpsu teha, et peatada nende tööd. Jäta sel juhul antud vahelehel esimene märgistatud teenus meelde ja kliki kusagil märgistamata oblastis, et kõik märgistused maha võtta ning tee siis vajalikul teenusel, mille Sa meelde jätsid, paremklõps ja vali käsk Stop Service. Siis mine tagasi sinna Processes vahelehele ja korda eelmisi samme, et peatada antud svchost.exe järgmise teenuse töö. Või kirjuta need märgistatud teenused ülesse, siis kliki Services vahelehel paremal allosas nupule Services… (vaata ülemist pilti), et avada Services konsooli enda akent. Seejärel saad seal vaadata iga teenuse kirjeldust ja temaga seotud teisi teenuseid ning süsteemikomponente; seal saad ka vajaliku teenuse töö peatada jne - pilt.


NB! Enne kui Sa peatad mingi teenuse töö, veendu selles et mingid teised teenused ei oleks antud teenusega seotud. Parem on kui Sa kirjutad märgistatud teenused ülesse, siis klikid sellel Services vahelehel paremal allosas nupule Services…, et avada Services konsooli enda akent - pilt.

Seejärel saad seal vaadata iga teenuse kirjeldust ja temaga seotud teisi teenuseid ning süsteemikomponente; seal saad ka vajaliku teenuse töö peatada jne... Näiteks kui Sa teed seal mingil teenusel 2x klõpsu, siis avatakse tema omadusteaken, kus võid:

- Näha selle teenuse nime, tema ekraaninime ja kirjeldust ning ka antud teenuse peatada klikkides nupule Stop:

Kliki nupule 'Stop'


- Selle teenuse kas üldse välja lülitada või siis muuta tema starditüüpi (rippmenüü Startup type kaudu) - pilt.

- Avades selle dialoogiakna Dependencies vahelehe, saad vaadata antud teenuse seoseid teiste teenuste ja süsteemikomponentidega; juhul kui ta on nendega seotud, siis ära peata tema tööd - pilt.

NB! Loe sellest Services konsoolist ja juhistest täpsemalt järgmistelt veebilhtedelt: http://landfield.pri.ee/Vista_services.html (Vista puhul) ja seal (Windows 7 jooksutamisel); Windows XP olemasolul käib asi samamoodi ning Sa saad antud akna seal avada nii: Kliki Start -> Run, tipi dialoogiaknasse services.msc ja vajuta Enter.


Kui Sa peatad mingi teenuse, mis on seotud ka teiste teenuste- ja süsteemikomponentidega, siis ei hakka Sul mõni programm või Windows ise enam korralikult töötama - aitab ainult kompuutri restart (või antud teenuse taaskäivitamine Services akna kaudu: Klikid Start, tipid Search kasti sõna services ja vajutad ENTER. Seejärel märgistad vajaliku teenuse ja klikid vasemal ülal Start lingile).



Process Explorer utiliit:

Juhul kui Sa leiad, et eeltoodud jutt on liiga keeruline ja Sul on raskusi tuvastada seda et mis teenused on mingi svchost.exe protsessiga seotud, siis võid kasutada märksa mugavamat ning ka muude võimalustega väga kasulikku tasuta Process Explorer utiliiti, mida ei ole vaja isegi installeerida. Lae see Process Explorer utiliit Sysinternals saidist (nüüd on ta osa Microsoft'ist) alla ja paki see allalaetud ZIP fail lahti. Seejärel käivita procexp.exe fail, tema esmakordsel käivitamisel nõustu litsentsiga ja ilmubki programmiaken. Nüüd vii hiirekursor mingi svchost.exe protsessi kohale ja selle peale ilmub vajalik informatsioon:

Ilmub vajalik informatsioon...


Sa võid siin peale nende svchost.exe protsesside uurida ka kõiki teise käivitatud protsesse ja nendega seotud teenuseid, et neid siis vajaduse korral välja lülitada - teed vajalikul protsessil paremklõpsu ja valid käsu Kill Process:

Sa saad siin ka muud teha...



Natuke veel selle Process Explorer'i võimalustest:

- Ta on laiendatud võimalustega protsesside juhtimise utiliit, mis asendab Windowsi olemasoleva ja märksa kehvema Task Manager utiliiti ning Sa võid teda kasutada ka siis kui Sinu Task Manager ei tööta momendil, näiteks kui mingi viirus on tema töö blokeerinud. Process Explorer kuvab igast jooksvast protsessist väga detailse info, kaasa arvatud tema ikooni, käsurea, kaustatee, mälu statistika, kasutajakonto, turvaatribuudid jne. Kui Sa uurid mingit protsessi täpsemalr, siis saad teada ka et millised DLL failid on tema poolt laetud või kui palju ta kasutab süsteemi ressursse.
- Sa saad siin vaadata terve süsteemi poolt hõivatud ressursse ja seda väga üksikasjaliku aruande alusel (kliki üleval tööriistaribal nupule System Information või siis tööriistariba paremas osas vastavale indikaatorribale); Sa saad menüü View -> Select Columns... kaudu lisada aknasse muid vajalikke veergusid; Sa saad siin näha kõiki käivitatud DLL faile jne.
- Process Explorer omab võimsat otsingumootorit, mis lubab Sul kiiresti vaadata, et millised protsessid on laadinud DLL failid jne.
- Process Explorer aken koosneb kahest alam-aknast: Ülemine aken/paan kuvab momendil aktiivsete protsesside loetelu ja alumine paan kuvab nendega seotud info. Sa võid avada või sulgeda selle alumise alam-akna/paani nii et klikid üleval tööriistaribal nupule Show Lover Pane/Hide Lover Pane.

Loe ka allalaetud ZIP failiga kaasapandud procexp.chm (Help) faili.



Svchost Viewer:

Svchost Viewer on pisike programmike, mis kuvab kõik antud sessioonis töötavad svchost.exe protsessid, nende igaühe poolt kasutatava mäluhulga ja et milline teenus (service) töötab iga svchost.exe taga.
Svchost Viewer'it ei ole vaja installeerida ja Sa võid ta isegi oma USB mälupulgalt käivitada. Tee 2x klõps svchost viewer.exe failil ja kliki ilmuvas "Get data ??" aknas nupule Yes, et saada kätte vajalikud andmed. Natukese aja pärast ilmubki kõikide svchost.exe protsesside loetelu, kus tuuakse ära iga svchost.exe protsess koos tema teenuse nime, kirjelduse, mälu kasutuse ja tema programmi kaustateega:

Svchost Viewer

Juhul kui Sa siin ülaltoodud aknas ei saagi kogu infost aru, siis vaata vähemalt seda et kas mingi svchost.exe protsess ei kasuta liiga palju mälu, kas tema nimi on ikka õige (peab olema täpselt "svchost.exe") ja et tema kaustatee (aadress) oleks ikka õige, ta peab asuma %SystemRoot%\System32 kaustas (tavaliselt kaustateega C:\Windows\System32), muidu on ta mingi pahavara - kaustatee on näha akna parempoolses paanis kõige all "Description" sektsioonis.


Lae svchost viewer.exe siitsamast alla; Svchost Viewer nõuab .NET 2.0 framework'i olemasolu ja see peaks igas Windowsi kompuutris juba olemas olema ning teda võib käivitada nii Windows XP (SP2), Vista kui ka Windows 7 opsüsteemides.

Ülesse



Svchost.exe protsess ja tema nime (või temaga sarnase nime) taha peitunud pahavara.


"Svchost.exe" (Generic Host Process for Win32 Services) on küll Windowsi enda süsteemifail, aga tema nime (või siis temaga väga sarnase mime) taha võib "pugeda" ka igasugune pahavara: AboutBlank, Sdbot.add, Ranky, Worm.Mydoom, Trojan.FakeSpyguard ja muud pahavarad.

Kui Sa avastad, et Sinu kompuuter muutus ootamatult aeglaseks ja kui Sa avad nüüd Task Manager utiliidi ning tema Processes saki, siis näed, et mingi svchost.exe või temaga sarnase nimega protsess õgib tohutult mälu ja protsessori ressursse (isegi kuni 99% kompuutri ressurssidest!).

Sinu süsteemiga võivad sel juhul tekkida järgmised probleemid/sümptoomid:

* Süsteem muutub ootamatult väga aeglaseks ja mingi svchost.exe protsess kasutab üleliia palju kompuutri ressursse.
* Kui Sa vajutad Ctrl+Alt+Del klahve, siis ei saa Sa käivitada Task Manager'i.
* Ka Registry Editor'i avamine blokeeritakse.
* Kui Sa üritad avada Command Prompt (CMD) akent, siis see ei õnnestu ja selle asemel tehakse hoopis kompuutri restart.
* Ühiskasutatavad kaustad dubleerivad end ise kusagile mujale. Dubleeritud viirus kasutab KAUSTA (FOLDER) ikooni koos .exe faililaiendiga.
* Näiteks muudetakse ka Yahoo Messenger'i konfiguratsiooni.
* Sinu töölauale võivad ilmuda uued "võõrad" kiirkorraldused.
* Sinu brauseri koduleht võib olla muudetud.
* Välja võivad hüpata igasugused pop-up aknad.
* Sinu meiliprogrammist on teele saadetud meilid, mida Sa ise ei olnud kirjutanud jne...


Pahavara võib kasutada nii Svchost.exe enda nime kui ka temaga sarnast nime, toome näiteks Scvhost.exe või Scvhosts.exe nimed, mis on viirused ja mida kutsutakse W32/YahLover.Worm.gen ning Win32/Autorun.R.worm viirusteks ja antud pahavara levib kõige sagedamini Yahoo Messenger kaudu. Ka see viirus lülitab välja või blokeerib Task Manager'i, Registry Editor'i ja ta installeerib end autorun.inf faili. Peale selle levib ta edasi kopeerides end ühiskasutatavatesse kaustadesse ja seejärel installib ta end ka registrisse.
Seega kui avad Task Manager'i, juhul kui see õnnestub, siis vaata kas kõikide Svchost.exe protsesside nimed on ikka õiged.

Windowsi enda legaalne Svchost.exe fail peab asuma kaustateel %SystemRoot%\System32 (tavaliselt kaustateega C:\Windows\System32). Kui Sa leiad ta kusagilt mujalt, siis on ta kas viirus, troojalane, worm või spioonivara, sest pahavara loojad võivad oma sigaduse varjata svchost.exe failinime taha! Mine sel juhul 'Safe Mode' režiimi ja käivita kõik olemasolevad pahavara tõrje programmid.
Sa võid kahtluse korral avada Computer (My Computer) akna ja tippida ülesse otsingukasti svchost.exe ja lasta süsteemil otsida ning kui valmis, siis sea otsingutulemused Details vaatesse ja vaata, et kas antud legaalne fail asub ikka ainult Windows\System32 kaustas.


NB! Kuna pahavara armastab ennast varjata, siis enne oma otsingute alustamist tee nii et oleksid näha kõik varjatud kaustad ja failid:

- Windows 7-s: Kliki nupule Start, siis All Programs, siis Accessories ja lõpuks Windows Explorer (või ava lihtsalt suvaline kaustaken). Seejärel ava üleval nuppuderibal Organize rippmenüü ja vali sealt punkt Folder and search options (kui Sa olid varem aktiveerinud seal menüüriba, siis võid ka valida menüüst Tools käsu Folder Options...).
Siis ava vahekaart View ja aktiveeri raadionupp Show hidden files, folders and drives, seejärel keri "liftiga" allapoole ning korista linnukesed järgmistest ruutudest: Hide extensions for known file types ja Hide protected operating system files (Recommended).
Kui ilmub mingi hoiatusaken, siis klõpsa lihtsalt nupule Yes.

- Windows Vistas: Kliki nupule Start, siis All Programs, siis Accessories ja lõpuks Windows Explorer (või ava lihtsalt suvaline kaustaken). Seejärel ava üleval nuppuderibal Organize rippmenüü ja vali sealt punkt Folder and search options (Kui Sa olid varem aktiveerinud seal menüüriba, siis võid ka valida menüüst Tools käsu Folder Options...).
Siis ava vahekaart View ja aktiveeri raadionupp Show hidden files and folders, seejärel keri "liftiga" allapoole ning korista linnukesed järgmistest ruutudest: Hide extensions for known file types ja Hide protected operating system files (Recommended).
Kui ilmub mingi hoiatusaken, siis klõpsa lihtsalt nupule Yes.

- Windows XP-s tee sedasama ja seal vali kohe menüüst Tools käsk Folder Options...
Seejärel ava vahekaart View ja aktiveeri raadionupp Show hidden files and folders, siis keri "liftiga" allapoole ning korista linnukesed järgmistest ruutudest: Hide extensions for known file types ja Hide protected operating system files (Recommended).
Kui ilmub mingi hoiatusaken, siis klõpsa lihtsalt nupule Yes.

Kui lõpetasid oma otsingud, siis pane linnuke ruutu Hide protected operating system files (Recommended) kindlasti tagasi.



Märkus: Kui Sa leiad svchost.exe.mui nimelise faili, siis ära ehmata, ta on sama mis ka svchost.exe, aga keeleseadistuste jaoks ette nähtud ja ka tema peab asuma Windows\System32 kaustas. Kui Sul on multiboot süsteem koos mitme erineva Windowsiga, siis leiad neid svchost.exe faile rohkem, aga ka nemad kõik peavad asuma Windows\System32 kaustas. Kui Sul on OEM kompuuter ja kui selles on ka spetsiaalne RECOVERY partitsioon Windowsi taastamiseks, siis on ka seal see svchost.exe fail olemas.



NB! Sa võid Task Manager'i aknas kontrollida svchost.exe õiget asukohta ka nii kui teed järgmist:

1. Ava Task Manager, kliki menüüd View -> Select Columns.
2. Otsi ülesse ja pane linnuke Command Line kontrollruutu.
3. Kliki OK.
4. Nüüd vaata, et kas Processes sakis jooksevad kõik svcshost.exe protsessid ikka C:\Windows\System32 kaustast. Kui seal kuvatakse mingi muu koht, siis on tegu pahavaraga. (Vaata seda Command Line veeru alt ja et paremini näha oleks, siis lohista Task Manager'i enda akent kui ka veeru päises olevaid eraldusjooni laiemaks.)



Kui Sa tuvastad mingid viirused, siis võib neid põhimõttelisetl ka ise käsitsi elimineerida, juhul kui Sa seda oskad ja kui Sa tead, et kuidas just nimelt antud viirust hävitada. Näiteks kui Sa avastad need ülalmainitud Scvhost.exe või Scvhosts.exe viirused, siis võid proovida neid hävitada ka ilma viirustõrjeprogrammita. Toon siin antud viiruste elimineerimise näite ja ka teiste viiruste kustutamine käib põhimõtteliselt sama moodi, aga loomulikult teatud erinevustega (kui proovid seda ise, siis tee seda omal riskil!!!):

- Tee kompuutri restart ja vajuta kohe buutimise alguses mitu korda kiiresti klahvi F8, et minna Safe Mode režiimi. (Viiruste hävitamist katsu teha alati Safe Mode režiimis!)
- Logi ennast Safe Mode režiimi Administrator kasutajakontoga.
- Ava CMD aken (Start -> Run, tipi sõna cmd ja vajuta ENTER. Vista ja Windows 7 puhul võid ka klikkida Start, tippida cmd ja vajutada ENTER).

Edasi käib Command Prompt (CMD) akna käsureal töö alati umbes nii: a) Avad käsu cd abil koha/kausta, kus need viirused asuvad (juhul kui Sa tead seda; tavaliselt on nad peidus C:\Windows\System32 kaustas); b) Kasutad attrib käsku ja tema võtmeid, et muuta spetsiifilse faili (praegu siis viiruse) omadusi ja võtta faililt maha järgmised kaitsemehhanismid, mis seati ülesse viruse enda poolt: Read-only (käsu attrib võti -r) - read-only lubab faili ainult vaadata, aga mitte muuta; Hidden (käsu attrib võti -h) - hidden teeb faili nähtamatuks; System (käsu attrib võti -s) - system teeb faili tähtsaks süsteemifailiks; c) Kasutad del käsku, et viiruse fail kustutada.


Command Prompt aknas tipi käsureale alltoodud käsud ja vajuta iga käsu järel ENTER:

cd C:\Windows\System32
attrib -h -r -s scvhost.exe
attrib -h -r -s scvhosts.exe
attrib -h -r -s blastclnnn.exe
attrib -h -r -s autorun.inf
del scvhost.exe
del scvhosts.exe
del blastclnnn.exe
del autorun.ini
cd\
attrib -h -r -s autorun.inf
del “autorun.inf



Edasi ronid Windows Registry Editor aknasse, et kustutada viiruse kirjed ka sealt, juhul kui tead, et kus nad asuvad, antud näites kustutame siis need ülaltoodud konkreested viirused.

- Tee kompuutri restart ja ava Registry Editor. Juhul kui Sa ei saa teda avada, siis proovi käivitada Local Group Policy Editor nii et vajutad Windows + R klahve ja tipid gpedit.msc ning vajutad ENTER. Ava vasemas paanis User Configuration > Administrative Templates > System haru ja tee paremas paanis Prevent access to registry editing tools parameetril 2x klõps. Seejärel aktiveeri uues aknas raadionupp Disabled ja kliki OK.

Pärast seda käivita Registry Editor uuesti ja otsi ülesse järgmised võtmed (tee enne igaks juhuks ka registri backup!):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ja kui Sa näed seal Yahoo! Messengger (umbes taolise kirjaga) kirjet koos c:\windows\system32\scvhost.exe väärtusega, siis kustuta see.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon ja kui Sa näed seal SHELL kirjet koos Explorer.exe,SCVHOST.EXE väärtusega, siis redakteeri teda järgmiselt: Kustuta ainult SCVHOST.EXE ja jäta alles väärtus Explorer.exe (Kui Sa kustutad mõlemad väärtused, siis ei saa Sa enam süsteemi sisse logida!).

Otsi ülesse HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ ja kustuta järgmised alamvõtmed:

RpcPatch
RpcTftpd



Tee kompuutri restart ja viirused ongi kägistatud...



NB! Siiski on parem kasutada häid viirustõrjeprogramme (tasuta progedest info seal) või veelgi parem on süsteemi nakatumise puhul kasutada nn CD päästeplaate või siis buutivat Live USB mälupulka, kuhu on pandud pahavara tõrje programmid - need töötavad väljaspool Windowsit - info!

Ülesse



Teiste mittevajalike protsesside, mis kasutavad palju PC ressursse, väljalülitamine Task Manager utiliidi abil.


Task Manager ei too oma Processes vahelehel ära ainult Svchost.exe protsessid vaid ta kuvab ka kõik muud antud momendil aktiivsed protsessid (seda teeb ka ülal kirjeldatud Process Explorer utiliit).
Nende protsesside arv sõltub juba sellest et millised programmid ja komponendid Sul antud momendil jooksevad; millist Windowsi Sa jooksutad; millist ja kui palju Sa oled installeerinud tarkvara ning kui paljud programmid on Sinu loal või siis ilma Sinu teadmata sättinud end automaatselt kävitatavate protsesside hulka.

Ava aeg-ajalt Task Manager ja selle Processes vaheleht (kuidas?) ning uuri, et mis protsessid seal üleüldse jooksevad ja võib olla on mõni neist täiesti kasutu ning seda eriti siis kui nad õgivad üleliia palju kompuutri ressursse (protsessori ja mälu oma). Juhul kui Sa avastad mingi protsessi, mis kasutab palju ressursse, siis uuri, et mis protsess ta on ja et kas ta on üle-üldse vajalik. Kui leiad, et ta on kasutu protsess, siis saad ta välja lülitada ja seda mitmel viisil:

1) Peatad temaga seotud teenuse (service) töö ja seejärel lähed Services konsooli ning muudad antud teenuse starditüüpi (näiteks lülitad ta üleüldse välja või siis paned ta Manual režiimile) - juhis eelpool.
2) Kui Sul on tegemist mingi tarkvaraga, siis saab mõnikord ka programmi enese seadistustes muuta tema starditüüpi jne...
3) Peata Windowsi enda vahenditega (näiteks System Configuration utiliidi abil) või siis kolmandate firmade programmide (näiteks väga kasuliku Autoruns) abil mingi programmi starditüüpi, st peata tema automaatne käivitamine.


NB! Ära puutu oma pahavara tõrje programme, sest nemad peavadki kogu aeg töötama!


Toon siin ära ka paar näidet sellest et kuidas peaks selliste protsesside puhul umbes tegutsema:


1) jusched.exe protsess:

Kui Sul on installeeritud Java, mida on vaja selleks et näha veebilehtede sisu, mis on Java'ga seotud, siis avades Task Manager'i vahelehe Processes, näed Sa seal sellist protsessi nagu jusched.exe.

jusched.exe protsess


See on Java Update planeerija, mis kulutab asjatult mälu ja seda selleks et kontrollida korra kuus seda et kas on saadaval ka Java uuemat versiooni.
Kui Sa ei soovi tema pidevat jooksmist ja kui Sa lähed ise vahel sinna Java saiti, et kontrollida seda et kas pakutakse Java uuemat versiooni, siis lülita see Java Update planeerija välja ning tee selleks:

- Kliki Start, tipi Search otsingukasti sõna msconfig ja vajuta ENTER.
- Ava Startup vaheleht ja korista linnuke ruudust "Java(TM) Platform SE Auto Updater..." ja kliki nupule OK.

Korista linnuke ära...


- Tee kompuutri restart.



2) wmpnetwk.exe ja wmpnscfg.exe protsessid:

Kui Sa kasutad Windows Media Player 11 pleierit, siis võid Sa jagada oma meediat erinevate kompuutrite vahel, mis on koduvõrku ühendatud (meediat saab jagada isegi XBox 360 riistapuuga). Selleks et see asi töötaks, on vajalik nn "network sharing service", mis jagab meediat isegi siis kui Media Player ei ole käivitatud.
Need mõlemad protsessid on osa Windows Media Player Sharing süsteemist ja kui Sa kasutad neid, siis ära lülita neid protsesse välja.

Protsess


Kui Sul ei ole koduvõrku või kui kui Sa ei kasuta seda meediajagamise funktsiooni, siis lülita need protsessid välja:

a) Sa võid need teenused lülitada välja näiteks Windows Media Player'i enda kaudu:

- Ava Windows Media Player ja kliki tööriistaribal nupule Library ning vali rippmenüüst Media Sharing... parameeter.
- Ilmub Media Sharing dialoogiaken, kus korista linnukesed ruutudest: "Find media that others are sharing" ja "Share my media".
- Kliki OK ja uues aknas nupule Yes.

Sellega Sa elimineerid wmpnscfg.exe protsessi käivitamise ja mõlema teenuse väljalülitamise, aga alati see ei õnnestu ning et asi kindel oleks, siis soovitaksin kasutada järgmist meetodit.


b) Kasuta Services konsooli abi:

- Kliki Start ja tipi Search kasti sõna services.msc ning vajuta ENTER (Windows XP puhul kliki Start -> Run, tipi services.msc ja vajuta ENTER).
- Keri allapoole ja leia ülesse Windows Media Player Network Sharing Service teenus:

Leia see teenus ülesse



- Tee sel teenusel 2x klõps ja vali uues aknas Startup type rippmenüüst Disabled parameeter ning kliki OK:

Vali 'Disabled' parameeter


NB! Kui Sa ei kasuta Windows Media Player'it, siis lülita ta täiesti välja ja loe sellest "Windows 7 uus meeldiv võimalus—nüüd saab kasutaja lülitada välja Windows'i enda standardseid sügavalt sisseintegreerituid (built-in) komponente" veebilehest - sealt.

Ülesse





< Tagasi Windows 7 pealehele ja sisukorda

 

Saada ka enda tuttavale lugemiseks!

Kui Sa saadad meili, siis on Sinu saadetavas kirjas selle lehe aadress juba
olemas ja muu saad ise juurde lisada.

Sisesta siia saaja e-mail aadress:

 

 

elaja koju | About Us | About Me | Site Map | POSTKASTI EI OLE! Sorry, no mailbox | © Ahv & Co Eesti Vabariik nov. 2008