Содержание
- Что такое процесс svchost
- Почему Svchost работает от имени пользователя
- Проверка файлов svchost.exe и DLL
- Вопросы и ответы
Как и в предыдущих версиях системы, svchost.exe в Windows 10 является основным процессом, отвечающим за запуск хранящихся в файлах DLL служб, в том числе критически важных и необходимых для работы операционной системы. Также svchost является родительским для процессов диспетчеров сетевых подключений, устройств Plug and Play и HID, «Центра обновления», «Защитника Windows» и других важных компонентов. В «Диспетчере задач» эти процессы имеют название svchost.exe.
Как и большинство критически важных процессов, svchost работает от имени системы, также его владельцем могут быть сервисы LOCAL SERVICE и NETWORK SERVICE. Однако нельзя исключать, что вам встретится процесс svchost, запущенный от имени пользователя. Последнее может насторожить, поскольку работа этого процесса от имени пользователя не является для него характерной. В связи с этим у многих начинающих пользователей нередко возникают опасения по поводу возможного заражения компьютера вирусом, маскирующимся под процесс svchost.
Почему Svchost работает от имени пользователя
Сама по себе работа процесса svchost от имени пользователя не является признаком присутствия в системе вредоносного программного обеспечения. Так, процесс svchost может запускать так называемые пользовательские службы, например отвечающую за обмен с сервером Microsoft зашифрованными данными службу «Connected Devices Platform User Service». Чтобы убедиться в безопасности запущенного от имени пользователя процесса svchost, выполните следующие действия.
- Кликните в «Диспетчере задач» по процессу «svchost» правой кнопкой мыши и выберите из контекстного меню опцию «Открыть расположение файла».
- При этом в «Проводнике» должно открыться расположение
C:WindowsSystem32
с выделенным файлом svchost.exe. Если вдруг вы обнаружите svchost.exe в другой папке кроме «System32» и «SysWOW64», скорее всего, это вредоносный поддельный файл.
Читайте также: Борьба с компьютерными вирусами
Проверка файлов svchost.exe и DLL
Дополнительно вы можете проверить процесс svchost.exe и связанные с ним динамические библиотеки на предмет вирусной активности. Лучше всего для этих целей использовать стороннюю бесплатную утилиту Process Explorer.
Скачать Process Explorer с официального сайта
- Скачайте архив с утилитой с сайта разработчика, распакуйте и запустите исполняемый файл procexp.exe от имени администратора.
- Перейдите в меню пункт «View» → «Select Columns», чтобы открыть окошко выбора колонок.
- Отметьте флажками пункты «User Name» и «Virus Total» и нажмите «OK».
- Отыщите в главном окне утилиты работающий от имени пользователя процесс «svchost», кликните по нему правой кнопкой мыши и выберите из контекстного меню функцию «Check Virus Total».
- Результат проверки будет указан в колонке «Virus Total». Первой цифрой в результате должна быть 0, то есть ни один из антивирусных движков не должен идентифицировать файл svchost.exe как вредоносный.
Дополнительно можно изучить список связанных с процессом динамических библиотек. Чтобы его получить, нажмите комбинацию клавиш Ctrl + D. При желании и наличии времени вы можете проверить DLL на предмет заражения тем же способом, которым проверяли файл procexp.exe.
Еще статьи по данной теме:
Помогла ли Вам статья?
0 / 0 / 0 Регистрация: 11.08.2018 Сообщений: 92 |
|
1 |
|
24.08.2018, 20:08. Показов 12579. Ответов 11
На винде десятке несколько из процессов запущен от имени пользователя — user. C windows 7 и 8 все понятно — там такого быть не должно и если они запущены от пользователя, то скорее всего вирус. А вот на windows 10 могут ли быть процессы svchost.exe от имени юзера?
__________________
0 |
4784 / 3367 / 197 Регистрация: 29.11.2011 Сообщений: 5,555 |
|
24.08.2018, 22:37 |
2 |
А вот на windows 10 могут ли быть процессы svchost.exe от имени юзера? могут, только проверь месторасположение файла должен располагаться С windows system 32
0 |
Нарушитель 8298 / 4383 / 1004 Регистрация: 12.03.2015 Сообщений: 20,493 |
|
25.08.2018, 05:08 |
3 |
А вот на windows 10 могут ли быть процессы svchost.exe от имени юзера? У меня (ща посмотрел) только один. Показывай, чо там у тебя.
0 |
0 / 0 / 0 Регистрация: 11.08.2018 Сообщений: 92 |
|
25.08.2018, 11:44 [ТС] |
4 |
У меня (ща посмотрел) только один. Вложение 961051 Показывай, чо там у тебя. Да, у меня в систем32. При том у меня их реально удалено, но от юзера только 2 Миниатюры
0 |
0 / 0 / 0 Регистрация: 11.08.2018 Сообщений: 92 |
|
25.08.2018, 11:45 [ТС] |
5 |
могут, только проверь месторасположение файла должен располагаться С windows system 32 Да, в систем32 находится
0 |
Нарушитель 8298 / 4383 / 1004 Регистрация: 12.03.2015 Сообщений: 20,493 |
|
25.08.2018, 11:56 |
6 |
Да, у меня в систем32. При том у меня их реально удалено, но от юзера только 2 Мои глаза!!! А чтоб не напрягало количество, есть один хитрый твик реестра. Почитай description внимательно.
0 |
0 / 0 / 0 Регистрация: 11.08.2018 Сообщений: 92 |
|
25.08.2018, 12:03 [ТС] |
7 |
Сори, пишу с компа, фотал с ноута)) Кол-во не напрягает — читал что для десятки — это норма, для экономия оперативы. Волнует что несколько запущенно от имени админа, как я понял, такого быть не должно
0 |
Нарушитель 8298 / 4383 / 1004 Регистрация: 12.03.2015 Сообщений: 20,493 |
|
25.08.2018, 12:08 |
8 |
пишу с компа, фотал с ноута)) А на ноуте запрещено скриншоты делать?
Кол-во не напрягает — читал что для десятки — это норма, для экономия оперативы. Волнует что несколько запущенно от имени админа, как я понял, такого быть не должно Почитай description внимательно. Ещё пару раз.
0 |
Модератор 15148 / 7736 / 726 Регистрация: 03.01.2012 Сообщений: 31,792 |
|
25.08.2018, 12:17 |
9 |
burjui, Брр! Попробуйте загрузить Process Explorer и в нём уже посмотрите свойства подозрительного процесса, там найдите путь к исполняемому файлу. Если есть вопросы по происхождению файла, можно воспользоваться кнопкой Verify, а можно скопировать исполняемый файл и отправить его для проверки на https://www.virustotal.com/ru/
0 |
0 / 0 / 0 Регистрация: 11.08.2018 Сообщений: 92 |
|
25.08.2018, 12:34 [ТС] |
10 |
То ли я тупой, то ли там ничего не написано про запуск от имени юзера Добавлено через 1 минуту
А на ноуте запрещено скриншоты делать? Почитай description внимательно. Ещё пару раз. То ли я тупой, то ли там ничего не написано про запуск от имени юзера
0 |
Нарушитель 8298 / 4383 / 1004 Регистрация: 12.03.2015 Сообщений: 20,493 |
|
25.08.2018, 13:09 |
11 |
То ли я тупой, то ли там ничего не написано про запуск от имени юзера Всё, не надо больше читать. Просто нажми на длинную кнопку «Set above RAM…».
1 |
4784 / 3367 / 197 Регистрация: 29.11.2011 Сообщений: 5,555 |
|
25.08.2018, 14:30 |
12 |
Сообщение было отмечено burjui как решение Решение
Да, в систем32 находится работай спокойно, для уверенности можешь посмотреть инфу о файле(этого достаточно остальное лишние тело движения)пр.кн.м. по файлу и идём в свойства Миниатюры
1 |
IT_Exp Эксперт 87844 / 49110 / 22898 Регистрация: 17.06.2006 Сообщений: 92,604 |
25.08.2018, 14:30 |
12 |
Пользуюсь антивирусом Касперского, базы самые свежие.
Пару дней назад Веб-Антивирус начал блокировать переход по вредоносной ссылке http://185.38.111.1/wpad.dat. Сообщение о блокировке появляется с периодичностью 5-20 минут, сообщение о блокировке всплывает даже на рабочем столе, т.е. когда все браузеры закрыты.
Выполнял полную проверку на вирусы самим антивирусом, а также Kaspersky Virus Removal Tool и Dr.Web CureIt!, в итоге ни один из них вирусов не нашел.
Интернет подключен через роутер.
Сообщение о блокировке:
Событие : Переход остановлен
Пользователь : user-ПКuser
Тип пользователя : Активный пользователь
Имя программы : svchost.exe
Путь к программе : C:WindowsSystem32
Компонент : Веб-Антивирус
Описание результата : Запрещено
Тип : Вредоносная ссылка
Название : http://185.38.111.1/wpad.dat
Точность : Точно
Степень угрозы : Высокая
Тип объекта : Веб-страница
Имя объекта : wpad.dat
Путь к объекту : http://185.38.111.1
Причина : Базы
Дата выпуска баз : Сегодня, 24.03.2021 4:32:00
Пробовал подключить интернет напрямую, переход по той вредоносной ссылке пропадал, но антивирус стал детектить и блокировать сетевую атаку.
Пользователь : user-ПКuser
Тип пользователя : Активный пользователь
Компонент : Защита от сетевых атак
Описание результата : Запрещено
Название : Intrusion.Win.MS17-010.o
Объект : TCP от 100.80.240.164 на 100.80.ххх.ххх:445
Дополнительно : 100.80.ххх.ххх
Дата выпуска баз : Вчера, 23.03.2021 4:19:00
Через 25 минут сетевая атака повторилась, но уже с другого IP.
После этого я заблокировал входящие соединения TCP через 445 порт в брандмауэре, сообщения о сетевых атаках прекратились.
Попробовав разные варианты, остановился пока на данном подключении интернета, но т.к. это не решение проблемы, а костыль, то прошу помощи в поиске и устранении уязвимости.
Также пробовал подключать интернет с телефона, сетевые атаки возобновились, каждая атака на разные порты, при чем эти атаки касперский почему-то не заблокировал.
CollectionLog-2021.03.24-15.43.zip
На чтение 4 мин Просмотров 3.7к. Опубликовано 11.09.2019
Практически у любого пользователя, заходившего в Диспетчер задач и проверявшего список запущенных процессов, возникал вопрос по поводу svchost.exe. Одних волнует, что в Диспетчере отображается сразу несколько таких процессов, других – тот факт, что svchost.exe загружает ЦП на 100%, не оставляя ресурсов для нормальной работы других приложений. В этой статье мы поговорим о «Хост-процесс для служб Windows» — расскажем, что это такое, и как его отключить.
Содержание
- Что это за процесс?
- Как определить, является ли svchost.exe вирусом
- Как поступить, если процессор загружен на 100%
- Видеоинструкция
- Заключение
Что это за процесс?
Svchost.exe в Windows 7-10 – это ключевой процесс, который необходим для корректной загрузки системных служб. Иначе говоря, все службы операционной системы запускаются «с помощью» svchost, а для некоторых из них ещё и загружается дополнительный процесс, который также можно увидеть в Диспетчере.
Практически все службы, запуск которых выполняется через «svchost», так или иначе необходимы для нормальной работы операционной системы. Среди них можно выделить следующие:
- Диспетчеры сетевых подключений, обеспечивающие стабильный доступ в Интернет через кабель или по Wi-Fi.
- Части ОС, ответственные за работу подключаемых устройств – мышки, клавиатуры, камеры и т. п.
- Файлы Центра обновлений Windows, встроенного в систему Защитника и т. д.
Именно тем, что хост-процесс отвечает за запуск огромного количества служб, и можно объяснить тот факт, что он загружает центральный процессор. Однако загрузка ЦП на 100% — ситуация неприятная и даже ненормальная. О том, как решить проблему – далее.
Как определить, является ли svchost.exe вирусом
Мы уже отметили, что хост является частью Windows. Тем не менее, многие вирусы могут маскироваться под svchost, поскольку их разработчики понимают, что никаких подозрений у пользователя возникнуть не должно. На скриншоте представлена вырезка о svchost с официального сайта Лаборатории Касперского.
Можно выделить несколько признаков того, что загружающий ЦП хост-процесс является вирусным:
- Ответственный файл расположен не в C:WindowsSystem32 или в SysWOW64. Чтобы проверить это, нужно кликнуть по нему правой кнопкой и воспользоваться опцией «Открыть расположение».
- Svchost запущен от имени пользователя. Проверяется просто – кликаем правой кнопкой по процессу, жмём на «Подробнее». Если в графе «Имя пользователя» стоит не «Система», «Network Service» или «Local Service», значит велика вероятность, что за файлом скрывается вирус.
- Подключение к Интернету работает лишь некоторое время после включения ПК – затем страницы начинают загружаться крайне медленно, а в Диспетчере задач можно наблюдать активное использование сети.
Вирусы крайне редко используют svchost, однако подобную возможность исключать не стоит. Если возникли подозрения, выполните глубокую проверку антивирусом или воспользуйтесь бесплатной утилитой Dr.Web CureIt (подойдёт для разового сканирования).
Как поступить, если процессор загружен на 100%
Допустим, что svchost не является вирусом, но при этом он всё равно «отбирает» все доступные ресурсы системы. Причины такого поведения:
- Если нагрузка возникла неожиданно и спустя какое-то время пропала – выполнялась базовая системная процедура (индексация, скачивание обновлений и т. п.).
- Нагрузка постоянная – одна из служб работает нестабильно из-за повреждения системных данных, отсутствия сетевых драйверов и т. д., либо имеются проблемы с HDD.
Вариант, связанный с некорректной работой служб – самый распространённый. Чтобы выявить среди них проблемную, нужно воспользоваться утилитой Process Explorer, распространяемой через официальный сайт Microsoft. Установив и запустив эту программу, вы столкнётесь со списком процессов, среди которых будет и наш svchost.exe. Наведя на него курсор, вы увидите, какие службы запущены проблемным хост-процессом – они списком отобразятся в графе «Services».
Если svchost, загружающий ЦП на 100%, работает только с одной службой, то прожмите [knopka]Win[/knopka]+[knopka]R[/knopka], вставьте запрос «services.msc», найдите нужную графу и отключите её. Если хост выполняет сразу несколько служб, отключайте их поочерёдно.
Мнение эксперта
Дарья Ступникова
Специалист по WEB-программированию и компьютерным системам. Редактор PHP/HTML/CSS сайта os-helper.ru.
Спросить у Дарьи
Определить причину проблемы можно и по типу процесса. Например, если в списке «Services» есть «DCHP-клиент», то можно предположить, что сбой связан с драйверами сетевой карты.
Видеоинструкция
Прикрепляем короткое видео по рассмотренной проблеме.
Заключение
Надеемся, что вам удалось избавиться от неисправности. В подавляющем большинстве случаев вина лежит именно на службах – одна из них работает некорректно.
Время чтение: 4 минуты
2015-04-01
Какое количество процессов «svchost.exe» должно быть запущенно? На этот вопрос ответить невозможно, так как, в каждом случаи количество запущенных процессов «svchost.exe» разное. Это зависит не только от версии вашей операционной системы, но и от её сборки!
Так как, точного количества процессов узнать невозможно, то этим моментом ни могли воспользоваться создатели вредоносного ПО!
Огромное количество вирусов, троянских программ и прочие вредоносные программы облюбовали процесс «svchost.exe» и, чтобы замаскировать себя в системе, маскируются под этот процесс.
То есть, вредоносные программы запускаются с именем «svchost.exe» и теряются на фоне множества системных процессах с таким же именем. Это приводит к тому, что шансы остаться не замеченным в системе возрастают в несколько раз.
Как вычислить вредоносный процесс svchost.exe
Естественно, если у пользователя возникают подозрения на то, что процесс «svchost.exe» является вредоносным, то первым делом, пользователем будет проскандирован компьютер на наличие вирусов и прочего.
Но, если после проверки антивирусная программа сообщает, что система чистая и вредоносных программ не обнаружено – это может быть не совсем так!
В этом случаи стоит проверить процесс «svchost.exe» вручную. Делается это довольно просто, все что нужно – это знать некоторые моменты о процессе svchost.exe.
1) Процесс всегда запускается из системной папки «System32» Если это ни так, то скорей всего файл с именем svchost.exe является вредоносным.
2) Процесс svchost.exe никогда не запустится от имени пользователя – это нужно помнить. Процесс всегда запускается от «Local Service, Система, Network Service».
Как вы понимаете, если процесс svchost.exe был, запущен от текущего имени пользователя или не из системной папки, то стоит принять меры по проверки подозрительного файла.
Чтобы убедится в том, что запущен оригинальный файл, запустите диспетчер задач и найдите на вкладке «Подробности» список процессов «svchost.exe».
На этом скриншоте все процессы запущены самой же системой, это говорит о том, что, скорее всего среди данного списка вредоносного файла с именем «svchost.exe» нет. Обратите внимание на скриншот ниже…
На этом скриншоте мы видим процесс svchost.exe запущенный от пользователя с именем «SuperUser» Это говорит о том, что данный процесс является с большей степенью вредоносным.
Нужно нажать «ПКМ» где из контекстного меню выбрать «Открыть расположение» откроется проводник Windowsи Вы узнаете полный путь до подозрительного файла! Что делать с ним дальше, думаю это ясно, как день!
Важно знать: Некоторые вирусы непросто используют имя «svchost.exe» для того чтобы скрыть своё присутствие в системе, но и также могут использовать оригинальный файл svchost.exe в своих корыстных целях.
В связи с этим ручная проверка тут результат не даст! Так же выше уже было сказано, что и антивирус может ни дать результата в поиске вируса! Возникает логичный вопрос, что же делать?
Как вариант использовать бесплатный «firewall» среди которых лично я выделяю «comodo firewall» как он может нам помочь? Все просто! Если вирус использующий процесс svchost.exe вдруг задумает проявить сетевую активность, то пользователь будет об этом осведомлён!
Со скриншота хорошо видно, что файл svchost пытается подключиться к серверу по 80-тому порту, оригинальный файл этого никогда делать не будет, соответственно svchost заражён!
Вы можете оперативно заблокировать доступ в сеть для файла svchost, что будет вполне разумно! Так как в данном случае, есть вероятность передачи конфиденциальных данных, например паролей из браузера на «Gate»
Утечка такой информации сами понимаете, чем может закончиться для Вас!
Что делать с заражённым файлом svchost.exe? Так как, от текущего антивируса и ручной проверки толку ровно нуль, то, откройте сайт «virustotal.com» и проверти файл. Кстати, сделайте это, прямя сейчас!
Мой результат такой. Все чистенько! Если бы какой-нибудь антивирус среагировал бы, например «Avast» то, я бы удалил текущий антивирус и установил бы Avast и вылечил бы svchost.exe.
Приветствую! Я думаю, первым делом, когда есть подозрения на перегрузку процессора, все идут смотреть, какие энергоёмкие задачи выполняет ПК. И если они связаны с активными программами, с этим ещё можно что-то сделать, но когда всё портят системные процессы, задача заметно усложняется.
Именно на такие подставы ОС мы сегодня обратим внимание, а точнее на одну из них, связанную с svchost.exe. Дальше расскажу, почему так случается, что svchost exe грузит процессор и при чём здесь вирусы.
Что такое svchost.exe и зачем он нужен
Если говорить простым языком, при работе компьютера на нём параллельно реализуются две группы процессов.
Процессы первой группы запускает пользователь, а процессы второй — операционная система, поддерживающая свою работу и обрабатывающая запросы пользователя. Обе группы создают нагрузку на процессор и другие компоненты ПК.
Так, если вы заглянете в список текущих процессов в Диспетчере задач (Ctrl + Alt + Delete), то заметите и те программы, что вы запустили, и те, что запустила ОС, и последних будет гораздо больше. Среди них обязательно будет svchost.exe, зачастую даже в нескольких экземплярах.
Теперь подробнее о том, что это такое — Svchost.exe. Это просто системный исполняемый файл, который помогает ОС загружать службы, расположенные в DLL — динамических библиотеках. При ОС системы за процесс svchost.exe отвечает Диспетчер управления службами, запускаемый services.exe. Он контролирует работу всех служб операционной системы, отвечает за их создание, запуск, остановку, удаление и множество других задач.
Когда Диспетчеру управления службами нужно подгрузить какие-то процессы из динамических библиотек, он запускает svchost.exe в том количестве, сколько ему необходимо. И то, как влияет на систему этот процесс, вы можете и не видеть, но благодаря ему у вас появляются сетевые подключения для доступа к интернету, включаются службы для работы с дополнительными устройствами, подгружается система обновления ОС, внутренняя защита и многое другое.
«Но всё же почему он так сильно нагружает ОС?», — спросите вы. И здесь, к сожалению, никто не даст чёткого ответа. Потому что это может быть как внутренняя неполадка системы, так и влияние вируса.
Как распознать подлинность процесса
Когда вы видите в диспетчере задач несколько процессов, связанных с svchost.exe, справедливо возникает вопрос, все ли они необходимы. Особенно когда антивирус результатами проверки уже посеял зерно сомнения.
На самом деле, обнаружить подлинные процессы можно и самостоятельно. Посмотрите на имя пользователя, от которого запускается процесс.
Например, Система, Local Service или Network Service — всё это допустимо, но если имя будет связано с какой-то непонятной службой или непонятным пользователем, это может намекнуть, что исполняемый файл запускается не ОС. До Windows 10 svchost.exe не запускался от имени пользователя, в Windows 10 это возможно.
Надёжнее проверить источник файла. Потратьте время и загляните в «Свойства» каждого из них, вызвав меню через правую кнопку мыши. Файл должен располагаться по адресу «C:WindowsSystem32» и больше нигде он быть не может.
Может вирус маскируется под svchost.exe
Да, вирусы и трояны действительно маскируются под системные процессы и легко проворачивают этот трюк и с svchost.exe. Поэтому антивирус может помечать их, как заражённые, а те будут нагружать процессор на 50 процентов и больше.
Посмотрите в отчёте антивируса адрес заражённого файла, и если он находится не в «C:WindowsSystem32» — разрешайте удаление смело.
Что делать если svchost грузит процессор в Windows 10 на 100%
Обычно пользователи не обращают внимание на запущенные ОС процессы и вспоминают о них, только когда возникают проблемы. Если вы уже разобрались, что это не вирусный файл, а действительно запущенный системой, можно попробовать другие способы справиться с перегрузкой процессора.
Это может прозвучать смешно, но сначала попробуйте просто подождать. Иногда энергоёмкий процесс временный, и ему нужно только дать завершиться. Перезагрузка ПК тоже может сработать.
Если нет, можно пойти другим путём и скачать программу помощник Microsoft Sysinternals Process Explorer. Она не просто покажет, какие процессы грузят процессор и память, но и скажет, какие конкретно службы запускаются особенно требовательным svchost.exe.
Все другие способы, подходящие для других версий Windows, здесь сработают.
Как исправить в Windows 7
Проблема с svchost.exe часто встречается пользователям, работающим на Windows 7. И здесь нередко помогает чистая загрузка ОС. Для этого:
- Наберите в поиске около кнопки «Пуск» запрос «Конфигурация системы» и откройте найденную программу. Если у вы убрали строку поиска, нажмите комбинацию клавиш Win + R, введите «msconfig» и нажмите Enter.
- Сначала можете попробовать выбрать «Диагностический запуск» или «Выборочный запуск», убрав галочки с пункта про автозагрузку и системные службы.
- После этого вам будет предложено перезагрузить компьютер.
Потом вы можете по очереди включать системные службы в Диспетчере задач, чтобы выявить, какая именно нагружает процессор, но иногда это не требуется. Достаточно чистой загрузки, а потом перезагрузки на «Обычном запуске» в Конфигурациях системы.
Обиднее всего, когда проблема с svchost.exe никак не исправляется, а исчезает случайно после установки очередного обновления для ОС. Например, некоторое время назад svchost.exe мог нагружать систему на 100% из-за проблем с Центром обновлений Windows 7. Сегодня, насколько я знаю, эта проблема встречается не так часто.
Универсальные средства устранения проблемы
Ожидание и перезагрузку, а также поиск вредоносных программ можно считать универсальными методами решения проблемы, но помимо них есть и другие, которые подойдут для любой версии ОС.
Например, можно просто почистить память от мусора с помощью того же CCleaner или других подобных программ. Также можно проверить на ошибки жёсткий диск. Чтобы это сделать, нужно:
- Запустить командную строку. Просто найдите её в поиске меню Пуск.
- Набрать команду chkdsk с нужной буквой диска и параметрами проверки. Например, у вас может получиться запись chkdsk C: /F /R, которая означает, что вы хотите проверить на ошибки диск С, и исправлять их автоматически (/F), а заодно и обнаруживать повреждённые сектора, пробуя восстановить данные на них (/R).
Обычно после этого появляется сообщение, что прямо сейчас сделать проверку не получится, так как диск занят, но вы можете назначить её на ближайшую перезагрузку. Согласившись на это, при следующем запуске ПК вам придётся подождать некоторое время, пока проверка не закончится.
Запаситесь временем, так как этот процесс может занять больше часа. После проверки вы получите отчёт о проделанной работе.
Дополнительно, нагрузка из-за svchost.exe может быть вызвана и неправильной работой драйверов. Попробуйте проверить и обновить их, если можно.
Иногда помогает откат системы до точки восстановления. В некоторых случаях проблема решается только переустановкой ОС, но это крайний способ, когда уже всё перепробовано и ничего не помогает.
Как видите, трудности, связанные с svchost.exe, решаемы, но иногда приходится перепробовать многое, чтобы всё исправить. Надеюсь, какой-то из предложенных мной способов сработает и вам не придётся идти на радикальные меры с переустановкой ОС.
А на сегодня это всё, увидимся здесь или в моих социальных сетях, на которые вы можете подписаться, чтобы не пропускать новые публикации. Удачи!
С уважением, автор блога Андрей Андреев.
Если вы читаете эту статью, то наверняка уже обратили внимание на системный процесс, имеющий название «svchost.exe». Причём обычно он не одинок, и компанию ему составляют ещё несколько одноимённых процессов:
В нормальной ситуации быстродействие компьютера от выполнения данного процесса не страдает, и обычные пользователи внимание на него не обращают. Совсем иначе обстоит ситуация, когда процесс начинает «пожирать» от половины до 100% ресурсов компьютера. Причем не эпизодически, а постоянно. Радикальным решением проблемы в таком случае иногда становится переустановка Windows или откат системы к тому моменту, когда она работала нормально. Эти способы не только излишни, но и не всегда помогают, поэтому сегодня мы расскажем вам о более простых решениях проблемы, когда процесс svchost.exe грузит процессор компьютера «на полную».
Что такое svchost.exe
Начнём с теории. Svchost.exe — системный процесс Windows, который отвечает за запуск различных служб на компьютере (например, Служба печати или Брандмауэр Windows). С помощью него на компьютере могут быть запущены несколько служб одновременно, что позволяет сократить потребление ресурсов компьютера этими службами. Кроме того, сам процесс может быть запущен в нескольких копиях. Именно поэтому в «Диспетчере задач» всегда запущено больше одного процесса svchost.exe.
Так из-за чего же svchost.exe может создавать высокую нагрузку на процессор и память компьютера? В сети можно встретить мнение, что процесс svchost.exe инициируется вирусом или вовсе является вирусом. Это не так. Строго говоря, некоторые вирусы и трояны могут маскироваться под него, создавая дополнительную нагрузку на ресурсы компьютера, но их довольно легко вычислить и обезвредить.
Как удалить вирус, замаскированный под процесс svchost.exe
Запустите «Диспетчер задач» (с помощью комбинации клавиш Control+Atl+Delete или из меню Пуск > Программы > Стандартные > Служебные) и откройте вкладку «Процессы». В первой колонке вы увидите названия процессов, а во второй — указание, от чьего имени он был запущен. Так вот, обратите внимание на то, что svchost.exe может запускаться только от имени пользователей LOCAL SERVICE, SYSTEM (или «система»), а также NETWORK SERVICE.
Если вы заметили, что процесс запущен от имени вашего пользователя (например, от имени User), то перед вами — вирус. Так как настоящий svchost.exe может запускаться только системными службами, то он не может находиться в «Автозагрузке» текущего пользователя Windows. Поэтому именно там мы и попробуем найти вирус, замаскированный под системный процесс svchost.exe. Попасть в Автозагрузку можно двумя способами: через стороннюю программу, например, CCleaner или стандартными средствами Windows.
Для того, чтобы попасть в Автозагрузку без установки дополнительных программ, откройте Пуск и в строке поиска программ (в Windows XP — в Пуск > Выполнить) напишите msconfig, после чего нажмите ОК. Появится окно «Конфигурация системы». Перейдите на вкладку Автозагрузка и внимательно просмотрите список программ, запускаемых при загрузке системы. Если в этом списке вы обнаружите процесс svchost.exe, то можете не сомневаться в его вирусном происхождении.
Настоящий svchost.exe может быть запущен только из папки C:WINDOWSsystem32, где «C» — диск, на котором установлена Windows. (В 64-битной операционной системе 32-битная версия svchost.exe расположена в папке C:WINDOWSSysWOW64, и теоретически процесс может быть запущен также из неё. Однако по умолчанию все системные процессы, включая svchost.exe, в 64-разрядных Windows запускаются из C:WINDOWSsystem32.) На скриншоте выше видно, файл расположен в папке WINDOWS, да ещё и называется «svhost.exe», а не «svchost.exe», что прямо говорит о его вирусном происхождении.
Список самых излюбленных папок для маскировки вируса выглядит примерно так:
C:WINDOWSsvchost.exe
C:WINDOWSconfigsvchost.exe
C:WINDOWSdriverssvchost.exe
C:WINDOWSsystemsvchost.exe
C:WINDOWSsistemsvchost.exe
C:WINDOWSwindowssvchost.exe
C:Usersимя-вашего-пользователяsvchost.exe
Файл вирусного процесса может не только находится в одной из перечисленных выше папок (а не в стандартной папке, где находится настоящий svchost.exe), но и называться по-другому:
svhost.exe
svch0st.exe
svchost32.exe
svchosts.exe
syshost.exe
svchosl.exe
svchos1.exe
…И так далее, — фантазия вирусописателей не знает границ :-).
Итак, вы нашли вирус svchost.exe в Автозагрузке. Первое, что нужно сделать — отключить его автозапуск, убрав галку напротив него в столбце «Элемент автозагрузки». Теперь нужно завершить его процесс через «Диспетчер задач» (правая кнопка мыши на процессе > Завершить процесс) и удалить сам файл. Полный путь к файлу, как и на скриншоте выше, всегда указан в столбце «Команда». Вполне возможно, что файл процесса не даст себя удалить, — в этом случае попробуйте сначала перезагрузить компьютер и повторить операцию, или воспользуйтесь программой для удаления подобных, «неудаляемых» файлов Unlocker.
После этого не лишним будет также провести антивирусную проверку компьютера. Если на вашем компьютере до сих пор не установлен антивирус, рекомендуем ознакомиться с нашей статьей о выборе бесплатного антивируса.
Вирусов в системе нет, но svchost.exe всё равно «грузит» компьютер?
Вы нашли и обезвредили все вирусы в системе или убедились, что вирусов на компьютере нет, а svchost.exe по-прежнему мешает работать? Попробуйте выяснить, какая программа или служба использует данный процесс. Это легко сделать с помощью простой бесплатной программы Process Explorer. Очень часто процесс svchost.exe использует служба Windows Update, автоматически устанавливающая обновления на компьютер:
В данном случае можно либо подождать, когда все обновления Windows будут загружены и установлены, либо временно отключить автоматическое обновление Windows. Это можно сделать через Панель управления в разделе Система и безопасность > Центр обновления Windows, открыв Настройки параметров (в боковом меню окна) и выбрав в выпадающем списке пункт Не проверять наличие обновлений:
Если отключение автоматического обновления не помогло, то точно также можно проверить все остальные службы Windows. Остановить или отключить любую службу Windows можно через оснастку «Службы». Попасть в неё легко: нажмите Пуск > кликните на Компьютер правой кнопкой мыши, в раскрывшемся меню выберете Управление > перейдите в Службы и приложения > Службы. Выбрав искомую службу, кликните на неё правой кнопкой мыши и выберите Остановить. Если нагрузку на компьютер создавала именно она, то после остановки службы процесс svchost.exe перестанет загружать ваш компьютер на 100%.
Не удалось решить проблему самостоятельно? Мы готовы вам помочь! «Помощь онлайн» — подробная информация здесь.
Кажется, что разговор о тех или иных ошибках Windows может стать бесконечным. На самом деле трудно отрицать тот факт, что вполне нормально сталкиваться с ошибками на своем компьютере, если своевременно не заботиться о его здоровье. На этот раз попробуем разобраться с проблеме, возникающей с процессом svchost в Windows.
♥ ПО ТЕМЕ: Папка «con» в Windows: почему нельзя создать директорию с таким названием?
Ниже перечислены основные группы причин, из-за которых svchost грузит процессор:
- Высокая загруженность сетевых структур операционной системы. Чаще всего это вариант нормы, который встречается, например, во время скачивания и установки обновлений Windows. Нередко виновником бывает программа, активно использующая сеть, вроде торрент-клиента или браузера.
- Некорректная работа какой-либо службы или драйвера устройства. Эта и предыдущая причины тянут более чем на 50 процентов случаев.
- Заражение компьютера вредоносным ПО. Тянет примерно на 15-20% случаев.
- Повреждение, замена, изменение системных файлов (служб, динамических библиотек, самого svchost.exe). Могут быть вызваны не только вирусами, но и пиратскими активаторами Виндовс, а также программами для «улучшения, ускорения и украшения» системы.
- Аппаратная неисправность устройств.
Далее разберем по порядку, как выявить виновника проблемы и что делать дальше.
Исследуем процессы и файлы
Основной инструмент, который будет помогать нам в диагностике и решении проблем с svchost, — это диспетчер задач Windows. В «десятке» после обновлений за 2021 год хост-процессы обозначены в нем как «Узел службы» или «Служба узла». Внутри каждого из них работает одна или несколько служб. Службы сгруппированы по уровням доступа к системным ресурсам.
В норме все хост-процессы создаются одним и тем же файлом — svchost.exe, который находится в папке WindowsSystem32. Дабы убедиться, что процесс, который грузит систему, запущен именно оттуда, вызовите его контекстное меню и кликните «Открыть расположение файла». Открылась папка System32? Значит, первый тест пройден успешно.
Все нормальные хост-процессы имеют общего родителя — процесс services.exe, запущенный одноименным файлом. К сожалению, системный диспетчер задач его не показывает. Чтобы это увидеть, можно воспользоваться улучшенной альтернативной диспетчера — бесплатной и не требующей установки утилитой Process Explorer.
Кроме того, нормальному файлу svchost.exe положено иметь цифровую подпись Microsoft. Чтобы ее проверить, откройте в системном диспетчере задач вкладку «Процессы», щелкните по подозрительной строке правой клавишей мышки и нажмите «Подробно».
Находясь во вкладке «Подробности», снова щелкните правой клавишей подозрительный svchost и выберите «Свойства».
Откройте вкладку цифровых подписей сервис-хоста. Если ее содержимое выглядит примерно как на скриншоте ниже, значит, всё в порядке.
Детальные сведения о файле, породившем хост-процесс, можно получить из содержимого вкладки «Подробно».
А если установить на компьютер простую бесплатную утилиту HasTab, «не отходя от кассы» можно получить контрольные суммы интересующего файла.
После чего проверить его MD5 на Virustotal.com (онлайн-сервис проверки файлов и других объектов множеством антивирусов). Если сервис покажет, что файл чист, значит, источник проблемы не в нем.
Отключение Центра обновления Windows
Известны случаи, когда из-за службы Центра Обновления Windows svchost.exe начинает сильно грузить память и процессор. Чтобы проверить, не является ли он источником проблемы, выполните следующие действия:
Откройте окно «Выполнить» комбинацией клавиш Win + R, наберите services.msc. Прокрутите экран в самый низ, дважды кликните на «Центр обновления Windows». Установите тип запуска в положение «Отключена», для сохранения изменений нажмите на кнопку «Применить».
После перезагрузки ПК проверьте в Диспетчере задач нагрузку на ОЗУ. Имейте в виду, отключение этой службы означает, что Центр обновления Windows не будет автоматически устанавливать ожидающие обновления.
Поэтому если убедитесь, что проблема не Центре обновлений, включите ее обратно.
Разбираемся со службами, драйверами и оборудованием
Нередко причиной высокой загруженности процессора сервис-хостом становятся службы. В последней редакции Windows 10 найти проблемную службу стало проще, так как в основной массе хост-процессов их по одной. В Windows 7 и XP на 1 сервис-хост обычно приходится группа служб, иногда по 8-12 штук.
Чтобы увидеть перечень служб — потенциальных виновников неполадки в Виндовс 10, сделайте следующее:
- Откройте в диспетчере задач на вкладке «Подробности» контекст подозрительного процесса svchost и нажмите «Перейти к службам».
- Всё, что работает в этом процессе, на вкладке «Службы» выделяется голубым цветом. Если выделена одна строка, скорее всего, вы нашли вероятного виновника. Если это, как в моем примере, служба wuauserv, можете спокойно выдохнуть: ваша операционная система просто качает обновления. И если компьютер не слишком производительный, svchost.exe в это время может нагружать процессор на 100 процентов. После обновления нагрузка придет в норму.
- Если голубым выделено несколько служб, найти проблемную поможет поочередная остановка. Для этого в контекстном меню одной из служб следует кликнуть по пункту «Остановить». Если нагрузка не уменьшится, запустите эту службу и остановите следующую.
Кстати, в Windows 10 останавливать и запускать службы можно прямо на вкладке «Процессы».
Внимание! Перед диагностикой вышеописанным методом сохраните все несохраненные документы, поскольку завершение работы критически важной системной службы может привести к зависанию, перезагрузке компьютера или синему экрану смерти (BSoD).
Если выявленная служба связана с драйвером устройства, например, звука (Windows Audio), Bluetooth (Bthserv), печати (Spooler) и т. д., причина может крыться не в ней, а в драйвере или неисправности самого устройства. Если драйвер был установлен незадолго до возникновения проблемы, откатите его к предыдущей версии. Если он давно не обновлялся — обновите либо переустановите. При подозрении на неполадку оборудования проверьте его отключением или заменой на заведомо исправное.
Причины сбоев процесса svchost
Нарушение работы Windows, в результате которого начинают появляться ресурсоемкие клоны хост-процесса (или один процесс, грузящий всю систему), необязательно вызвано заражением ПК троянами или вирусами. Одно приложение svchost. exe обеспечивает работу десятков и сотен компонентов и системных служб Windows, без которых немыслима работа операционной системы.
После обновлений системы в результате ошибочных действий пользователя или программ, неправильной установки нового софта или по другим причинам хост-процесс может выдавать характерный сбой, вызывая на себя все ресурсы системы. Работать на компьютере после этого становится невозможно, поскольку на все другие программы и действия у компьютера не хватает процессорных мощностей, а иногда и оперативной памяти.
Основные причины, вызывающие проблему:
- Перегрузка сети. Множество активных соединений порой генерируют вполне привычные программы — к примеру, большое количество одновременных загрузок и раздач через uTorrent.
- Ошибки драйверов. Сетевые, звуковые, видео и другие драйвера взаимодействуют с системными службами. Любые ошибки с драйверами могут вызвать сбой в одной из служб, приводящей к перегрузке процесса.
- Повреждение файлов Windows. Удаление лишних папок или файлов, нарушение работы самой хост службы или какой-либо динамической библиотеки DLL способно вызвать ошибку. Проблема может появляться после некорректной установки или удаления программ и их файлов, особенно если они были загружены из неофициальных источников.
- Деятельность вредоносного ПО. Заражение компьютера вирусами и троянами остается популярной причиной, по которой процесс svchost. exe грузит систему Windows 7. Если системные файлы оказываются безвозвратно повреждены вирусами, для устранения проблемы может потребоваться замена файла, откат системы или переустановка Windows.
- Проблемы с хост-сервисом и системными службами, а также обновления системы и сбои службы обновления. Эти причины не связаны с действиями пользователей или программ и, по сути, вызываются самой Windows.
- Кратковременные системные сбои. Процесс и 100% загрузки системы может появляться постоянно, даже если его принудительно завершать, а может возникать разово или периодически. Иногда системные сбои разовые, и проблема не повторяется.
- Другие причины: проблемы с работой тоннельного адаптера, слишком большое количество «мусора» на компьютере, перегружающего систему и процессы, сбои в работе компонента SuperFetch или просто слишком большое количество системных компонентов и служб, между которыми возникают конфликты и сбои.
Желательно знать, после каких действий начала появляться ошибка, — в этом случае поиск решения займет в несколько раз меньше времени. В противном случае требуется определить, какой системной службой или процессом перегружается компьютер.
А вдруг это вирус?
Видя высокую загрузку процессора одним из svchost, многие пользователи в первую очередь думают о заражении вирусами. Такое встречается, но не особенно часто. Хотя в последнее время развелось немало вредоносных программ-майнеров, один из признаков которых — высокая нагрузка на процессор иили видеочип, особенно во время простоя компьютера.
На признаки вирусного заражения указывает следующее:
- Файл svchost.exe, породивший процесс, не имеет цифровой подписи Microsoft и находится в каталоге, отличном от Windowssystem32.
- Родительский процесс сервис-хоста — не Services.exe, а что-то другое, например, тот же svchost.
- Проверка контрольной суммы svchost.exe на Virustotal показала плохой результат или сервис не смог определить по контрольной сумме, что это за файл.
- В Windows XP и «семерке»- наличие процесса svchost.exe, запущенного от имени пользователя (в этих ОС им могут управлять только учетные записи системы, lockal service и network service). Обратите внимание, что в Windows 8 (8.1) и 10 несколько процессов svchost.exe от имени пользователя стало нормальным явлением.
- Неизвестные библиотеки dll и службы, которые работают в контексте сервис-хоста. Посмотреть список загруженных в память процесса библиотек можно при помощи Process Explorer (кнопка открытия панели библиотек обведена в меню красной рамкой). На скриншоте показана нормальная картина — все dll-ки имеют подпись Microsoft.
Что делать, если вирусная версия подтвердилась? Чаще всего достаточно просканировать систему любым антивирусом со свежими базами — большинство из них успешно справляется с удалением майнеров и прочих зловредов, которые проявляют себя подобным образом. Главное — не удаляйте файл svchost.exe, даже если он заражен, иначе это серьезно нарушит работу Windows. Зараженный файл следует заменить на чистый, взяв его из дистрибутива или со «здоровой» системы той же версии и разрядности. Либо восстановить способом, который описан ниже.
Проверка ПК на вирусы и прочие вредоносные приложения как способ исправить ошибку
Всё течёт, всё меняется — не обходит прогресс стороной и антивирусные приложения. Это программный пакет Касперского (Антивирус + Антиспам), 360 Total Security, Dr. Web CureIt, NOD32, Panda, Avast, VirusTotal и т. д. Для начала запомните: компонент svchost располагается в следующих директориях Windows: WINDOWSsystem32, WINDOWSServicePackFilesi386, WINDOWSPrefetch и WINDOWSwinsxs
Если указаны «левые» каталоги в системной папке Windows — а также всевозможные комбинации имени файла svchost.exe, злонамеренно набранные злоумышленниками с опечатками, синтаксической ошибкой — антивирусы удалят такие записи, справедливо посчитав их вирусными. Список «левых» файлов svchost.exe может быть бесконечным — незатейливый и дешёвый способ обойти защиту Windows. Информация отправляется на серверы соответствующих антивирусных разработчиков.
Прочие рекомендации по борьбе с грузящим сервис-хостом
- Завершайте работу приложений, которые интенсивно используют сеть в фоновом режиме (торрент-клиенты).
- Если ваша операционная система давно не обновлялась, скачайте и установите все обновления. Они нужны не только для безопасности, но и для исправления различных ошибок в системе. Одна из таких ошибок в Windows 7 в свое время приводила к неудержимому клонированию виртуальных сетевых адаптеров Microsoft 6to4. Когда их накапливалось слишком много, svchost.exe так сильно нагружал процессор, что компьютеры превращались в «электронных черепах».
- Очищайте временные папки и прочий мусор. Проблему могут вызывать скопления недокачанных файлов, которые при подключении к Интернету начинают дружно докачиваться и забивают сеть.
- Активируйте в браузере запрет загрузки сайтов, использующих скрытый майнинг (в Опере это список «NoCoin» в настройках блокировки рекламы).
- Если причина — установка обновлений системы, а вам необходима высокая производительность компьютера, временно останавливайте или выгружайте службу wuauserv, но не забывайте потом запускать ее снова.
Другие статьи сайта
- Как включить диспетчер задач на Windows XP, 7, 8, 10
- Как открыть диспетчер устройств в Windows 10, 8, 7, XP
- Различные способы запустить командную строку от имени администратора в Windows
- Как установить Windows 7 вместо Windows 10 (2 способа)
Другие методы настройки системы
Этот раздел для тех, кому не помог ни один из приведенных нами вариантов. Мы не указали частных случаев по причине их редкости и большого объема действий в них (и количества текста в этой статье). Все, что мы можем ‒ это дать несколько общих советов по настройке и оптимизации системы, после чего вы наверняка избавитесь от проблемы с «svchost».
Некоторые приложения на компьютере пользователя могут быть «бракованными» и потреблять чересчур много ресурсов. Если это важная для работы программа ‒ переустановите ее, скачав дистрибутив с официального сайта разработчика.
Обновите свою систему. Не пренебрегайте Центром обновления Windows и запустите его на время установки новых файлов, после чего можете отключить службу обратно. Драйверы для составных устройств скачивайте только на официальных сайтах производителя. Мы настоятельно не советуем пользоваться различными «мультипаками» и программами для быстрого нахождения и установки драйверов. Да, так дольше и сложнее, но зато без реклам и вирусов.
Проведите чистку ОС, исправление реестра и дефрагментацию винчестера. Это не только поможет вам с «svchost», но и ускорит систему и освободит память на жестком диске. Попробуйте бесплатные версии CCleaner и Defraggler (https://www.ccleaner.com/ru-ru) ‒ они просты в управлении и хорошо справляются со своими задачами.
Обратите внимание на свой антивирус. Отключите его на время и посмотрите на результат. Если это помогло – меняйте старый антивирус на более зарекомендованное защитное ПО.