как узнать что запускает svchost
svchost.exe: Что это за хост-процесс? Почему грузит систему?
Давайте разберем популярные вопросы связанные с службой узла, он же svchost.exe. В частности: Что такое svchost.exe? Почему в диспетчере задач отображается несколько процессов svchost.exe? Как узнать имя службы и описания svchost? Почему svchost.exe грузит процессор, память, диск или систему в целом? В диспетчере задач можно увидеть такие имена, как «Служба узла», «Узел служб» или «svchost.exe». Запомните, это одно и тоже.
Что такое svchost.exe в Windows?
Почему запущено так много svchost.exe?
При запуске системы, Svchost.exe проверяет часть раздела реестра со службами и создает список служб, которые ему необходимо загрузить. Каждый сеанс Svchost.exe может содержать группирование служб. Это сделано для уменьшения количества различных запущенных служб и улучшает отладку, если в этом будет необходимость. К примеру, один процесс svchost.exe запускает три службы связанные с брандмауэром. Согласитесь, ведь удобно видеть один процесс, чем три? Если ошибка случается в одной из трех запущенных служб, то это колоссально упрощает отладку и решение проблемы. И это касается остальных служб, которые может загружать svchost.exe и группировать их в один.
Где посмотреть, какие службы запускает svchost.exe
Вы можете посмотреть в редакторе реестра службы, которые запускает svchost.exe. Для этого нажмите Win+R и введите regedit, чтобы запустить редактор реестра. Далее перейдите по пути:
Вы можете заметить, что я открыл DcomLaunch и в нем 7 связанных служб, которые будут видны как один процесс svchost.exe.
Вы также можете проверить список служб с которыми связан svchost.exe через командную строку. Для этого запустите командную строку от имени админа и введите команду:
Вы можете заметить, что svchost.exe запускает 4 службы и объединяет их в одну. Также может и не объединять, как с примером PlugPlay.
Когда вы видите в диспетчере задач, что Служба узла (svchost.exe) грузит вашу систему, в частности ЦП, память или диск, то это может быть не то, что вы себе представляли, и грузить могут совершенно другие службы. К примеру, мы запускаем обновления Windows 10 в центре обновлений, и у нас svchost.exe будет грузить процессор, память или диск почти до 100%. Когда обновления установятся, то процесс svchost.exe больше не будет грузит вашу систему. В другом случае, может быть запущена автоматическая проверка защитником Windows, и в этот момент у вас будет грузится система до 70-90%. Нужно всего лишь подождать. В некоторых других случаях это может быть вирус.
Как узнать, что за служба связанна с svchost.exe
Жмем Ctrl+Shift+Esc, чтобы открыть диспетчер задач. Далее смотрим, что именно у нас под нагрузкой. В моем случае я вижу, что «Узел службы: локальная система» грузит мой диск. Раздвигаю список «Узла службы», и там куча служб. Я бегло посмотрел и обнаружил, что там есть такая служба как «Центр обновления Windows«, далее я перешел в параметры центра обновлений и обнаружил, что идет установка новых обновлений для системы. Я просто пережду, и мой диск после окончания всех процессов по обновлению, перестанет грузиться.
К примеру, если вы не знаете, что за служба в списке «Узла служб», то нажмите правой кнопкой мыши по службе и выберите «Открыть службу«. Там вы обнаружите описание данной службы и для чего она нужна. Вы также можете выбрать «Поиск в Интернете» для описания данной службы.
Процесс SVCHOST.EXE
SVCHOST.EXE — один из важных процессов при работе ОС Windows. Попробуем разобраться, выполнение каких функций входит в его задачи.
Информация о SVCHOST.EXE
SVCHOST.EXE есть возможность видеть в Диспетчере задач (для перехода нажмите Ctrl+Alt+Del или Ctrl+Shift+Esc) в разделе «Процессы». Если вы не наблюдаете элементов с подобным наименованием, то нажмите «Отображать процессы всех пользователей».
Для удобства отображения можно щелкнуть по наименованию поля «Имя образа». Все данные в списке будут выстроены в алфавитном порядке. Процессов SVCHOST.EXE может функционировать очень много: от одного и теоретически до бесконечности. А практически количество действующих одновременно активных процессов ограничивается параметрами компьютера, в частности мощностью ЦП и величиной оперативной памяти.
Функции
Теперь очертим круг задач изучаемого процесса. Он ответственен за работу тех служб Windows, которые загружаются из dll-библиотек. Для них он является хост-процессом, то есть, главным процессом. Его одновременное функционирование для нескольких служб значительно экономит оперативную память и время на выполнение задач.
Мы уже выяснили, что процессов SVCHOST.EXE может функционировать много. Один активируется при старте ОС. Остальные экземпляры запускает services.exe, который является Диспетчером служб. Он формирует блоки из нескольких служб и запускает для каждого из них отдельный SVCHOST.EXE. В этом и заключается суть экономии: вместо того, чтобы запускался отдельный файл для каждой службы, активируется SVCHOST.EXE, который объединяет целую группу служб, тем самым снижая уровень нагрузки на ЦП и расход оперативной памяти ПК.
Размещение файла
Теперь давайте узнаем, где размещен файл SVCHOST.EXE.
Также в крайне редких случаях SVCHOST.EXE может вести к папке
или к одной из папок находящихся в директории
В любую другую директорию настоящий SVCHOST.EXE вести не может.
Почему SVCHOST.EXE нагружает систему
Относительно часто юзеры встречаются с ситуацией, когда один из процессов SVCHOST.EXE нагружает систему. То есть, он использует очень большое количество оперативной памяти, а загрузка центрального процессора от деятельности данного элемента превышает 50%, иногда доходя почти до 100%, что делает работу на компьютере практически невозможной. У подобного явления могут быть такие основные причины:
Подробно о путях решения указанных проблем описывается в отдельном материале.
SVCHOST.EXE – вирусный агент
Иногда SVCHOST.EXE в Диспетчере задач оказывается вирусным агентом, который, как уже сказано выше, грузит систему.
Сначала обращаем внимание на поле «Пользователь». В различных версиях ОС оно также может называться «Имя пользователя» или «User Name». Соответствовать SVCHOST.EXE могут только следующие имена:
Если вы заметите имя, соответствующее изучаемому объекту, с любым иным наименованием юзера, например, с названием текущего профиля, то можете быть уверены, что имеете дело с вирусом.
Если вы обнаружили, что процесс ссылается на директорию, отличную от тех трех, о которых шел разговор выше, то уверенно можно говорить о наличии вируса в системе. Особенно часто вирус пытается скрыться в папке «Windows». Узнать расположение файлов можно при помощи Проводника тем способом, который был описан выше. Можете применить и другой вариант. Щелкните по наименованию элемента в Диспетчере задач правой кнопкой мышки. В меню выберите «Свойства».
Откроется окошко свойств, в котором во вкладке «Общие» находится параметр «Расположение». Напротив него записан путь к файлу.
Если вирус блокирует процедуру удаления, то перезагрузите компьютер и зайдите в систему в Безопасном режиме (Shift+F8 или F8 при загрузке). Выполните ликвидацию файла по указанному выше алгоритму.
Таким образом, мы выяснили, что SVCHOST.EXE является важным системным процессом Windows, который отвечает за взаимодействие со службами, тем самым снижая расход ресурсов системы. Но иногда данный процесс может оказаться вирусом. В этом случае, наоборот, он выжимает из системы все соки, что требует немедленной реакции пользователя по устранению вредоносного агента. Кроме того, бывают ситуации, когда из-за различных сбоев или отсутствия оптимизации, сам SVCHOST.EXE может быть источником проблем.
Помимо этой статьи, на сайте еще 12509 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Svchost грузит процессор Windows 7 — причины и решение
Svchost.exe — системный файл и процесс всех современных операционных систем Windows, начиная с Windows 2000 и заканчивая последней Windows 10.
Разработчики Windows создали универсальный процесс svchost для уменьшения нагрузки компьютера на оперативную память и процессор. Данный процесс используется для одновременной работы нескольких системных служб Windows.
Не редкость, когда процесс svchost грузит процессор и память Windows 7, что работать на компьютере становиться невозможно. В этой статье вы узнаете, какие могут быть причины тормозов с процессом svchost и их решение.
Проверяем svchost на вирусность
Первым делом надо убедиться, что проблема вызвана настоящим файлом svchost, а не вирусом. Дело в том, что злоумышленники очень часто имитируют свой вирус названием svchost, чтобы владелец компьютера не заподозрил ничего подозрительного. Стоит отметить, что процесс svchost.exe во всех Windows, кроме Windows 8 и Windows 10 запускается исключительно от имени системных пользователей SYSTEM (система), LOCAL SERVICE и NETWORK SERVICE. Так, что если вы видите, что svchost запущен от имени пользователя, то это почти наверняка вирус имитирующий работу системного файла.
Для того, чтобы посмотреть под каким пользователем запущен svchost нажмите комбинацию клавиш ctrl+alt+del и откройте диспетчер задач. Перейдите на вкладку «процессы» и отсортируйте список по ЦП, то есть по нагрузке на центральный процессор. Также можно отсортировать по имени образа.
Как видно на скриншоте все процессы svchost.exe запущены от системных пользователей (система, LOCAL SERVICE и NETWORK SERVICE). Значит, мы имеем дело не с вирусом и можно копать дальше. Если же, процесс svchost был бы запущен от вашего имени пользователя, например Dima или Алёна, то потребовалось бы чистить компьютер от вирусов. Но об этом я расскажу в следующей статье.
Причины по которым svchost exe грузит процессор
Как уже было написано в начале статьи, процесс svchost.exe служил для работы сразу нескольких системных служб операционной системы Windows 7. Если svchost на 100 процентов загружает процессор или оперативную память Windows 7, это значит, что какая-то служба постоянно вызывает обращение к этому файлу.
Для начала, попробуйте просто перезагрузить компьютер. Вполне возможно, что у вас заглючила одна из служб и обычная перезагрузка может помочь. Если после перезагрузки компьютера проблема осталась и svchost exe грузит процессор windows 7 как и раньше, то придётся определить, какая служба доставляет проблемы.
Немного забегу вперёд и скажу, что текст ниже объясняет методику поиска проблемной службы, но как правило svchost грузить процессор лишь из-за некоторых, поэтому прежде чем выполнять инструкции в этом абзаце, сначала прочитайте всю статью целиком, а уже потом действуйте.
Для того, чтобы определить на какие службы работает svchost.exe нажмите ctr+alt+del и откройте диспетчер задач. Выберите закладку «процессы» и отсортируйте таблицу по имени процесса.
Выделите процесс svhost.exe который потребляет больше всего ресурсов, нажмите правой кнопкой и нажмите «перейти к службам».
Вас перекинет на закладку «службы» диспетчера задач, где будут выделены службы, которые используют процесс svchost.exe в своих целях.
Теперь вы должны перейти в меню «службы» и отключить её.
Если после этого нагрузка на svchost спала, значит вы нашли проблемную службу. Если служба не критичная, то в типе запуска поставьте «отключить», чтобы служба не стартовала каждый раз при включении компьютера. Это позволит не нагружать лишний раз процессор и память компьютера.
Если svchost по-прежнему грузить память или процессор, то придётся методом перебора отключать одну службу за другой, пока не будет найдена служба виновник тормозов.
Svchost грузит процессор из-за автоматического обновления Windows 7
Важно понимать, что есть критические службы Windows, без которых работа на компьютере будет невозможно и второстепенные, без которых обычный пользователь компьютера вполне может жить.
Процесс svchost в большинстве случаев грузит процессор или память в Windows 7 из-за службы Центр обновления Windows. Для её отключения нажмите Пуск — Панель управления — Система и безопасность — Центр обновления Windows.
В правом меню выберите Настройка параметров.
В появившемся окне вместо «устанавливать обновления автоматически» поставьте «Искать обновления, но решение о загрузке и установки принимаются мной».
После этого система не будет автоматически скачивать и устанавливать все найденные обновления, а будет лишь уведомлять вас о том, что обновления имеются и при желании вы можете их скачать и установить. Таким образом загружаемый процесс svchost не будет трудиться над службой автоматического обновления.
Также, для верности, можно и вовсе отключить службу автоматического обновления. Для этого зайдите в меню Пуск — Панель управления — Административные — Службы. Найдите службу Центр обновления Windows и нажмите «отключать», также измените тип запуска на «отключена».
После этого обновления в принципе будут отключены и не должны грузить процесс svchost.
После этого не забудьте удалить содержимое папки C:\Windows\SoftwareDistribution, в ней хранятся скаченные обновления.
Другие причины и решения тормозов процесса svchost
Неправильно установленные драйвера или приложения
Помимо службы автоматического обновления Windows файл svchost.exe может грузить процессор из-за неправильно установленных драйверов или программ. Постарайтесь вспомнить, что вы устанавливали на компьютер или какие драйвера обновляли перед появлением проблем. Попробуйте сделать откат системы до момента когда всё работало или удалите драйвера и приложения, после которых появились тормоза с файлом svchost. Скачайте новые драйвера с официального сайта.
Временные файлы
Удалите содержимое папок C:\Windows\Prefetch и C:\Windows\Temp. В этих папках хранятся временные файлы, очистка которых может оживить ваш компьютер. Не переживайте, удаление этих файлов никак не навредит вашему компьютеру, все удаленные файлы будут восстановлены автоматически.
Проблемы с железом
Вполне возможно, что процесс svchost грузить процессор Windows 7 из-за проблем с сетевым адаптером, неисправной оперативной памятью компьютера или ещё каким-либо оборудованием.
Попробуйте отключить сетевой кабель от компьютера и посмотрите спадёт ли нагрузка. Если это поможет, то попробуйте проверить компьютер антивирусом, а также переустановить драйвер сетевой карты и материнской платы.
Ещё возможен вариант, что у вас поломалась оперативка. Возможна проблема с одной из планок оперативной памяти. Продиагностируйте её специальными программами.
Проверка целостности системы Windows
Следует проверить целостность файлов Windows. Некоторые системные файлы могли потереться или испортиться, что вызвало нагрузку на файл svchost. Также, возможно есть битый файл, нагружающий систему.
Нажмите Пуск — Все программы — Стандартные — Командная строка. Также в командную строку можно зайти нажав комбинацию клавиш Win+R. Напишите CMD и нажмите ОК.
В командной строке напишите «sfc /scannow» без кавычек.
После этого система проверит все файлы и восстановит поврежденные.
Процесс svchost.exe как вычислить вирус?
Какое количество процессов «svchost.exe» должно быть запущенно? На этот вопрос ответить невозможно, так как, в каждом случаи количество запущенных процессов «svchost.exe» разное. Это зависит не только от версии вашей операционной системы, но и от её сборки!
Так как, точного количества процессов узнать невозможно, то этим моментом ни могли воспользоваться создатели вредоносного ПО!
Огромное количество вирусов, троянских программ и прочие вредоносные программы облюбовали процесс «svchost.exe» и, чтобы замаскировать себя в системе, маскируются под этот процесс.
То есть, вредоносные программы запускаются с именем «svchost.exe» и теряются на фоне множества системных процессах с таким же именем. Это приводит к тому, что шансы остаться не замеченным в системе возрастают в несколько раз.
Как вычислить вредоносный процесс svchost.exe
Естественно, если у пользователя возникают подозрения на то, что процесс «svchost.exe» является вредоносным, то первым делом, пользователем будет проскандирован компьютер на наличие вирусов и прочего.
Но, если после проверки антивирусная программа сообщает, что система чистая и вредоносных программ не обнаружено – это может быть не совсем так!
В этом случаи стоит проверить процесс «svchost.exe» вручную. Делается это довольно просто, все что нужно – это знать некоторые моменты о процессе svchost.exe.
1) Процесс всегда запускается из системной папки «System32» Если это ни так, то скорей всего файл с именем svchost.exe является вредоносным.
2) Процесс svchost.exe никогда не запустится от имени пользователя – это нужно помнить. Процесс всегда запускается от «Local Service, Система, Network Service».
Как вы понимаете, если процесс svchost.exe был, запущен от текущего имени пользователя или не из системной папки, то стоит принять меры по проверки подозрительного файла.
Чтобы убедится в том, что запущен оригинальный файл, запустите диспетчер задач и найдите на вкладке «Подробности» список процессов «svchost.exe».
На этом скриншоте все процессы запущены самой же системой, это говорит о том, что, скорее всего среди данного списка вредоносного файла с именем «svchost.exe» нет. Обратите внимание на скриншот ниже…
На этом скриншоте мы видим процесс svchost.exe запущенный от пользователя с именем «SuperUser» Это говорит о том, что данный процесс является с большей степенью вредоносным.
Нужно нажать «ПКМ» где из контекстного меню выбрать «Открыть расположение» откроется проводник Windowsи Вы узнаете полный путь до подозрительного файла! Что делать с ним дальше, думаю это ясно, как день!
Важно знать: Некоторые вирусы непросто используют имя «svchost.exe» для того чтобы скрыть своё присутствие в системе, но и также могут использовать оригинальный файл svchost.exe в своих корыстных целях.
В связи с этим ручная проверка тут результат не даст! Так же выше уже было сказано, что и антивирус может ни дать результата в поиске вируса! Возникает логичный вопрос, что же делать?
Как вариант использовать бесплатный «firewall» среди которых лично я выделяю «comodo firewall» как он может нам помочь? Все просто! Если вирус использующий процесс svchost.exe вдруг задумает проявить сетевую активность, то пользователь будет об этом осведомлён!
Со скриншота хорошо видно, что файл svchost пытается подключиться к серверу по 80-тому порту, оригинальный файл этого никогда делать не будет, соответственно svchost заражён!
Вы можете оперативно заблокировать доступ в сеть для файла svchost, что будет вполне разумно! Так как в данном случае, есть вероятность передачи конфиденциальных данных, например паролей из браузера на «Gate»
Процесс svchost.exe и системные службы, связанные с ним.
Что такое процесс svchost.exe?
Параметры вызова исполняемого файла svchost.exe для конкретных системных служб определяются значениями в ключе реестра
Параметр ImagePath задает командную строку для данной службы или группы служб. Имя библиотеки, которая используется для данной службы, определяется параметром ServiceDll подраздела Parameters
Перечень всех служб, запускаемых с использованием svchost.exe и их объединение в группы определяется содержимым ключа реестра
Так, например, в группу DcomLaunch входят 3 службы:
Каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов, относящихся к группе.
Как определить системную службу, связанную с конкретным процессом svchost.exe.
В данном примере, процесс svchost.exe потребляет 50% ресурсов процессора. Это ненормально, и внешне может проявляться в виде снижения общей производительности, подвисаний (лагов), скачкообразного перемещения указателя мыши и т.п. Поскольку системные процессы имеют более высокий приоритет по сравнению с пользовательскими, они и потребляют ресурсы системы в первую очередь, что снижает реальную производительность программ, выполняемых в контексте учетных записей пользователей.
Использование утилиты командной строки tasklist.exe
Для получения списка выполняющихся служб в любой версии Windows можно использовать команду:
Пример отображаемой информации:
Пример отображаемой информации:
В графическом интерфейсе пользователя, сведения о службе можно получить с использованием оснастки “Службы” консоли управления Microsoft (комбинация клавиш Win+R и выполнить services.msc ), или через меню Панель управления – Администрирование – Службы
Использование Диспетчера задач Windows ( taskmgr.exe )
Стандартные диспетчеры задач отличаются по своим возможностям в зависимости от версии Windows. Так, например диспетчер задач Windows XP не имеет собственных средств по сопоставлению имени процесса с именем системной службы, а диспетчер задач Windows 10 позволяет это сделать с использованием контекстного меню, вызываемого правой кнопкой мышки:
При выборе пункта Перейти к службам откроется окно со списком служб, в котором будут подсвечены службы, связанные с выбранным процессом svchost.exe
При необходимости, можно нажать на ссылку Открыть службы в нижней части экрана, и, непосредственно из диспетчера задач, открыть список системных служб (оснастку консоли управления Windows services.msc ). Диспетчеры задач Windows Vista – Windows 8.1 менее информативны и обладают меньшей функциональностью, но также позволяют выполнять переход от выбранного процесса к связанным с ним службам.
Использование Process Explorer ( procexp.exe ) из пакета Sysinternals Suite
Остальная часть дерева отображает иерархию реально выполняющихся в Windows процессов. Так, например, приложение служб и контроллеров SERVICES.EXE обеспечивает создание, удаление, запуск и остановку служб (сервисов) операционной системы, что и отображается в списке порождаемых им процессов.
Иерархический характер дерева процессов способствует визуальному восприятию родительски-дочерних отношений каждого активного процесса. Нижняя панель дает информацию обо всех DLL, загруженных выделенным в верхней панели процессом, открытых им файлах, папках, разделах и ключах реестра.
При выборе уровня System дерева процессов в нижней панели можно получить информацию обо всех загруженных драйверах системы, их описание, версию, путь исполняемого файла, адрес в оперативной памяти, размер, Кроме того, можно проверить цифровую подпись, а также просмотреть строковые значения в самом исполняемом файле или в оперативной памяти.
При просмотре свойств любого процесса, можно получить очень подробную информацию о ресурсах системы, используемых данным процессом, включая память, процессор, систему ввода-вывода, графическую подсистему и сетевые соединения.
Использование Process Explorer позволяет легко определить дополнительные признаки, которые могут принадлежать вредоносной программе, замаскированной под легальный процесс:
— отсутствует информация о производителе программного обеспечения. В редких случаях это не является настораживающим признаком, но подавляющее большинство разработчиков современного ПО такую информацию предоставляют.
— исполняемый файл находится в \WINDOWS или \WINDOWS\SYSTEM32, но дата его создания значительно отличается от даты создания остальных системных файлов и приблизительно соответствует предполагаемой дате заражения. Тоже довольно редко встречающийся прием вирусного заражения по той же причине, которая приведена в предыдущем пункте.
Одним из приемов диагностики вирусного заражения или причин непомерного потребления системных ресурсов является поочередное принудительное их завершение и анализ состояния системы после него. Вместо принудительного завершения можно использовать последовательное изменение приоритетов процессов на минимальное значение. Если после завершения процесса или снижения его приоритета состояние системы стало нормальным (нет ”подвисаний”, лишнего трафика, роста температуры процессора или видеокарты и т.п.), это явно указывает на необходимость пристального внимания к параметрам процесса, его легальности или принадлежности к вредоносному ПО.
Утилита Process Explorer бесплатна, удобна в использовании, может применяться в переносимом варианте и много лет является одним из наиболее популярных инструментов системных администраторов Windows.
Дополнение к статье:
Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»