Как завершить все процессы svchost, кроме системных?

Question

[Андрей]

Нужно CMD командой завершить все процессы svchost.exe, кроме системных.
taskkill /f /im svchost.exe - это понятно, но нужно миновать системные, чтобы они даже не дёрнулись.
Системные находятся в папке system32, но и вирусы могут находиться там же, просто в подпапке.

Comments

[АртемЪ]

Не системных не бывает в принципе.
При чем тут вирусы вообще не понятно.

[Андрей]

АртемЪ, внимательно читайте вопрос, вы не правильно всё поняли.

Answer 1

[Рональд Макдональд]

Ну типа они все системные.
Просканируйте систему антивирусом. DrWeb CureIt или там KVRT, это поможет.

Comments

[Андрей]

Системные это системные, я говорю о присутствии сторонних файлов, сложно было въехать в тему что ли? Я же не просто так поставил уровень сложности на средний, дабы чушь не писали, и не уходили от дельного ответа на вопрос. Мне не нужны антивирусы, речь вообще не о них, советую внимательно прочитать вопрос.

Answer 2

[АртемЪ]

Как завершить все процессы svchost, кроме системных?

Просто завершить. Они все системные.
Не системных в принципе не может быть.

Comments

[Андрей]

Ндауж, такой бред... любой файл *.exe можно взять и переименовать в svchost.exe, и запустить, этим он станет системным разве? Люди порой не понимают что пишут, не пойми вообще как думают, видимо летают в облаках под чем-то...

[АртемЪ]

Андрей, Процессы svchost.exe запускается системным файлом services.exe и никем иным.
Это системный файл запускающий дочерние процессы из библиотек лежащих в системной директории.
Он не может быть не системным.

[Андрей]

АртемЪ, Артем, вы не с той ноги кажется встали )) Я выше же написал, что можно любой exe переименовать в svchost.exe, и запускать, папка разумеется не system32 будет, а любая другая. Внимательно прочитайте, и прочитайте тему вопроса также.

[АртемЪ]

Андрей, Можно, но это уже будет не svchost

[Андрей]

АртемЪ, вы не правильно поняли тему вопроса, просьба внимательно прочитать. Речь там идёт не о системных процессах как таковых, а о завершение фейковых svchost.exe, минуя системные, я вроде нормально написал.

[Андрей]

АртемЪ, хотя возможно вы правы, лучше будет убить все процессы svchost.exe, там нужные системные же не захотят наверное останавливаться, или же перезапустятся сразу же. А убивать процессы только от юзера, это не вариант, так как если левый svchost.exe работает как служба, то к юзеру отношения он иметь не будет. У меня под рукой винды просто нету на данный момент, не могу проверить.

Answer 3

[Константин Цветков]

Сделайте where.exe svchost.exe и увидите неправильный, не в папке system32. Переименуйте его в svchost.delete. После перезапуска он не запустится и его можно удалить.
Так же для ограничения запуска файла его можно обнулить по длине и сделать только чтение.

Comments

[Андрей]

Константин, вы тему вопроса вообще читали? И правильно ли всё прочитали? Вы сейчас бред пишите какой-то, вообще всё мимо...

[АртемЪ]

Андрей, А конкретно и обоснованно? Где тут бред?
Если знаете как лучше - напишите ответ.
Если видите явную ошибку - укажите на ошибку.

[Андрей]

АртемЪ, ок, написал ответ примерный.

Answer 4

[res2001]

Думаю что одной командой тут не обойтись.
Можно получить список запущенных svchost с PIDами и путем, затем отфильтровать его, убрав те, которые лежат в %SystemRoot%\System32. После этого уже можно прибивать оставшиеся в списке процессы по PIDу из списка.
tasklist полный путь не выводит. Полный путь можно получить с помощью:

wmic process where "name='svchost.exe'" get Name,ProcessID,ExecutablePath

Правда для большей части запущенных у меня svchostов эта команда так же не дает полный путь в ExecutablePath (Win10 x64), предполагаю, что это какие-то вторичные порожденные процессы.