Что делать, если svchost.exe грузит процессор

Svchost: что это за процесс?

Поскольку проблемы повышенной нагрузки данной службой чаще всего наблюдаются именно в Windows 7, а в системах более поздних выпусков почти не встречаются, при рассмотрении всех аспектов будем отталкиваться именно от седьмой модификации.

Что же это за компонент, что он потребляет такое неимоверное количество системных ресурсов? Это специализированное средство запуска системных и пользовательских программ, которое, как утверждается разработчиками из Microsoft, по идее, должно снижать нагрузку на систему в моменты запуска программ и их исполняемых компонентов, например, представленных в виде динамических библиотек, загружаемых при старте исполняемого компонента в качестве дополнительных объектов в оперативную память.

Если говорить более простым и понятным языком, в Windows 7 самой системе не нужно запускать каждое приложение в виде отдельного процесса, поскольку для этого используется только один основной компонент, за счет которого и стартуют все программы, будучи как бы привязанными к нему. А процесс Svchost является своего рода посредническим мостом между запускаемой программой и основным системным компонентом, отвечающим за ее старт. То есть все стартующие программы и процессы через данный компонет подключаются к одной-единственной службе запуска.

Что такое Svchost?

Это вирус или служба операционной системы? Svchost.exe – это служба, которая применяется для программ, открывающихся из библиотек «DLL». Она появилась в операционной системе с 2000 года и применяется до сих пор, компания Майкрософт начала использовать одну службу для функционирования нескольких программ, обосновывая это тем, что данное решение позволит снизить расходы процессорного времени и ОЗУ. Поэтому появился ряд минусов, которые отражены в данной статье.

Необходимо отметить, что злоумышленники, своим вирусным программам часто присваивают имя Svchost.exe. И это очень эффективный прием для них, ведь в этом случае хозяин зараженного компьютера с Windows 7 видит только большое количество процессов под названием Svchost.exe, которые грузят процессор и выделить из них последствия работы, например, троянов бывает очень сложно.

В данном случае пользователи в основном не решаются останавливать системный процесс Windows и продолжают искать уже другие вирусные активности. Так простая смена имени эффективно позволяет направить жертву по ложному пути.

Данный системный процесс запускается только от LOCAL или NETWORK SERVICE, SYSTEM, и он функционирует лишь посредством системных сервисов. В случаях, когда svchost.exe запущен под какой-либо другой учеткой, это вирусное программное обеспечение. В примере на скриншоте ниже все хорошо, как и должно быть.

Как очистить оперативную память не перезагружая компьютер

Она позволит быстро очистить оперативную память и повысить скорость компьютера. Однако сразу нужно предупредить, что установка некорректных значений может стать причиной уменьшения эффективности работы. Поэтому следует действовать строго по инструкции.

Командой Regedit

Для включения командной строки заходим кнопку Пуск и в папке Стандартные нажимаем Выполнить. В командной строке печатаем regedit, открывая меню реестра.

Затем можно выполнить следующие процедуры для увеличения объема свободной оперативной памяти:

Это одни из самых простых и безопасных способов улучшить параметры ОС. Однако за время работы в реестре скапливаются множественные ошибки, исправить которые можно только с помощью специальных утилит. Наиболее эффективными являются CCleaner и RegistryLife.

Удалением вирусов

Одной из причин понижения объема свободной ОП является наличие вирусов. Помимо прямого вреда ПО они своей деятельностью понижают работоспособность компьютера. Для их удаления вышеописанные способы не подходят – зачастую вирусы скрыты от стандартных механизмов обнаружения. Лучше всего использовать антивирусные утилиты – DrWeb, антивирус Касперского. Из условно-бесплатных можно выделить Avast.

В настоящее время в сети есть как платные, так и условно-бесплатные версии. При повышенной интенсивности работы лучше всего пользоваться первыми. После установки и первого запуска антивирус обычно проводит оперативную диагностику. Потом следует запустить полную проверку всех дисков, включая предстартовую, до загрузки Windows. При таком подходе вероятность обнаружения стороннего ПО велика.

Для эффективной работы антивируса нужно придерживаться следующих правил:

  • установить в параметрах автоматическое обновление.
  • в настройках указать полную проверку как минимум 1 раз в неделю и правильно выставить характеристики постоянного мониторинга.

Придерживаясь этих правил можно не только повысить объем свободной памяти на компе, но и обезопасить его функционирование, защитить важную информацию от возможного взлома.

Оптимизацией памяти

В настоящее время стали широко распространяться так называемые оптимизаторы памяти. Это платные или бесплатные утилиты, которые по заверениям разработчиков, правильно распределяют процессы по свободным секторам ОП.

На самом деле они имеют очень низкую эффективность. Лучше всего с этой задачей справляется встроенный менеджер. Для проверки этого утверждения в стандартном наборе Widows запускаем приложение Монитор ресурсов

Во время функционирования ПО происходит обращение к различным областям жесткого диска. Если он заполнен максимально – возрастает время выполнения операций.

Для решения этой проблемы можно поступить следующим образом:

  1. удалить лишние файлы с жесткого диска.
  2. выполнить его дефрагментацию, оптимизировал распределение места, занятого ПО. Это стандартная функция Windows. Ярлык для запуска находится в папке Стандартные, подпапке – Служебные. После включения утилиты для начала процесса нужно нажать кнопку Выполнить дефрагментацию.

Лучший способ оптимизации ОП – удаление ненужного ПО и минимальный объем автозагрузки. Также нужно постоянно проводить проверку антивирусом и выполнять чистку реестра. Это позволит максимально улучшить показатели компьютера.

Владельцы каждого ПК, имеющие недостаточное количество оперативной памяти, часто негодуют на нерасторопность работы Windows 7, а также нередко их беспокоит зависание приложений, в которых они работают. Чтобы исключить появление таких проблем – требуются лишь знания о том, что сделать для очистки ОЗУ ноутбука или стационарного компьютера на виндовс 7.

Необходимо отметить, что отсутствует доступ к полному объему ОЗУ.

Некоторая доля физической памяти отводится для нормального обеспечения функционирования Windows, а остальная расходуется на работу приложений и видеоустройства, применяющего в работе ресурсы оперативки. В случае если после выполнения загрузки Windows, пользователю не достаточно для комфортной работы оперативной памяти компьютера, необходимо выполнить анализ того, как загружена физическая память и предпринять требуемые меры, чтобы ее разгрузить. Освободить оперативную память значительно помогает остановка процессов, которые требуют значительных ресурсов ОЗУ.

Причины загрузки системы процессом svchost

Поскольку svchost.exe обслуживает значительную часть системных служб, причин интенсивной нагрузки на процессор может быть масса. Вот самые распространенные из них:

  • Вирусное заражение.
  • Слишком высокая загруженность сети, например, множеством открытых слотов в uTorrent.
  • Ошибки драйверов устройств (звукового, сетевого и т. д.), так как последние тесно взаимодействуют с системными службами.
  • Повреждение файлов операционной системы (в частности, самого сервис-хоста и различных динамических библиотек).
  • Ошибки системных служб.
  • Неисправность аппаратной части ПК.

Иногда подобное бывает следствием неудачной пиратской активации Windows (не все активаторы одинаково полезны) и взлома программ.

Как отключить службы, которые вызывают svchost.exe — проблема: Высокая загрузка ЦП

Как я уже упоминал выше, процесс svchost.exe необходим многим программам и службам, чтобы помочь им работать.

Поэтому, если вы хотите найти причину, по которой он использует много ресурсов ЦП / ОЗУ, вы должны найти программу или службу, которая работает под конкретным процессом svchost.exe.

После этого отключите службу или удалите программу, вызвавшую проблему высокой загрузки ЦП.

Чтобы определить программу или службу, которая использует много вашего ЦП / ОЗУ, следуйте этим инструкциям:

В Windows 7:

  1. Нажмите CtrlAlt+, Delа затем выберите « Запустить диспетчер задач
  2. Нажмите на вкладку Процессы .
  3. Выберите процесс svchost.exe, который использует слишком много ресурсов на вашем компьютере.
  4. Щелкните правой кнопкой мыши по нему и выберите « Перейти к сервису (ам)
  5. Он автоматически переключится на вкладку « Службы » и выделит службу, которая использует выбранный процесс Svchost.
  6. Нажмите кнопку « Службы» для доступа к службам Windows .
  7. Найдите сервис, использующий процесс svchost.exe, затем щелкните его правой кнопкой мыши и выберите « Перезагрузить », чтобы перезагрузить его.

В Windows 8, 8.1 и Windows 10:

  1. Нажмите на вкладку Подробности .
  2. Выберите процесс svchost.exe, который использует слишком много ресурсов на вашем компьютере.
  3. Щелкните правой кнопкой мыши по нему и выберите « Перейти к сервису (ам)
  4. Он автоматически выделит сервис, который использует процесс Svchost. Щелкните правой кнопкой мыши на нем, выберите « Перезагрузить », чтобы перезагрузить службу.

После перезапуска, если процесс Svchost по-прежнему использует слишком много ресурсов ЦП / ОЗУ, следует остановить его. Для этого щелкните правой кнопкой мыши и выберите « Стоп

Вы также можете отключить определенную службу, щелкнув ее правой кнопкой мыши и выбрав « Открыть службы

Найдите его в списке служб Windows и дважды щелкните по нему. Выберите « Отключено » из выпадающего списка « Тип запуска ». Затем нажмите кнопку « Применить », а затем кнопку « ОК

Это оно! Теперь проблема высокой загрузки ЦП svchost.exe (netsvcs) должна быть устранена.

Принцип исправления возникшей неполадки в системе

Восстанавливаем нормальную работу процессора с помощью антивируса

Причины и решения

Для начала стоит сказать, что приведенные решения подходят для Windows 7 и для других версий могут не подойти или работать некорректно, хоть они довольно похожи.

Самое первое что можно сделать в такой ситуации – это перезапустить компьютер. Этот способ универсальный и работает для многих проблем, хоть и временно.

Далее неплохо проверить систему антивирусом. Если он не поставлен, то срочно установите. После проверки посмотрите нет ли обновлений для Windows 7, если они имеются – установите. Для этого зайдите в Панель управления – Система и безопасность – Центр обновления Windows.

Также причиной может быть некорректное обновление системы или программ. Например, антивирус не может установить обновления и поэтому грузить систему. Поэтому попробуйте отключить автоматическое обновление Windows и фоновых программ. Если дело в этом, то компьютер вновь начнет работать нормально. Не забудьте перезагружать компьютер после изменений и проверять важные обновления раз-два в неделю.

Еще одна причина может крыться в том, что запущенно много программ в фоновом режиме и оперативная память просто не справляется. Попробуйте включать-выключать приложения чтобы определиться.

Активный серфинг в интернете тоже может стать причиной заторможенности. Собрав огромное количество временных файлов, вы захламляете реестр. Если причина в этом, то все решается с помощью специальных утилит типа CCleaner.

Если после всех этих манипуляций компьютер тупить, то можно открыть Диспетчер задач, зайти во вкладку «Процессы» и выявите самый прожорливый процесс svchost. Для удобства можно отсортировать их по количеству занимаемой памяти. Нажимаем на него правой кнопкой мыши и выбираем «Перейти к службам».

Появится список служб, ответственных за svchost. Теперь придется провести кропотливую работу. По очереди отключайте каждую из них и смотрите как ведет себя система.

Для отключения зайдите в Панель управления, найдите Администрирование и нажмите на ярлык Службы. Выберете из списка нужный файл, нажмите на него правой кнопкой мыши и щелкнете по «Остановить».

Можно удалить папку Prefetch. Она находится в папке Windows на диске с системой. Опасности это не несет, но может решить проблему.

Еще можно проверить, не накопилась ли пыль в системном блоке? Физическое повреждение чипов памяти тоже может стать причиной того, что Svchost потребляет много ресурсов.

Если ничего не помогает, можно попробовать откатить систему на несколько дней назад. Это можно сделать в Панели управления.

Что делать: оставлять процесс висеть или удалять его вручную – оставлено на усмотрение пользователя. Но стоит помнить, что завершение процесса может негативно сказаться на работе системы и памяти. Поэтому лучше запастись терпением и немного подождать, чем потом разгребать последствия, вплоть до полного краха системы и синего экрана. Не лезьте сразу Диспетчер задач, лучше сначала воспользуйтесь более безопасными методами.

https://youtube.com/watch?v=xiJ5JMDQKFA

Как разгрузить сеть

Слишком большая загруженность сети, ошибки сетевого драйвера, сбои приложений, использующих Интернет, сетевые вирусы (черви), становятся источником проблемы, пожалуй, в половине случаев. Для проверки этой версии отключите в диспетчере устройств сетевой адаптер и перезагрузите ПК. Если нагрузка на процессор пришла в норму, причина найдена, осталось обнаружить виновника.

Снизить загрузку процессора сетевыми компонентами помогает:

  • уменьшение количества одновременных закачек и раздач торрентов;
  • запрет доступа к Интернету программам, для которых это не обязательно (особенно если их много);
  • завершение работы сетевых программ, когда они не используются;
  • очистка временных папок (temp) – в них могут находиться недокачанные файлы, которые приложения-качалки пытаются догрузить до конца;
  • проверка антивирусом на наличие сетевых червей;
  • переустановка сетевого драйвера.

Еще одна «болезнь» довольно продолжительное время терзала Виндовс 7. При ней загруженность ЦП процессом svchost достигала 100% и снижалась только при отключении сети. Причина крылась в безудержном «размножении» виртуальных туннельных адаптеров Microsoft 6to4, которых иногда создавалось несколько сотен.

Чтобы проверить, не ваш ли это случай, откройте диспетчер устройств, зайдите в меню «Вид» и отметьте флажком «Показать скрытые устройства». Следом разверните список сетевых адаптеров. Все клоны «Microsoft 6to4», если есть, находятся там.

Для устранения неполадки достаточно удалить лишние копии виртуальных адаптеров. Это можно сделать как вручную по одной, так и автоматически – все сразу. Для автоматического удаления понадобится консольная утилита , которая доступна для скачивания на сайте MSDN Microsoft.

После распаковки devcon на жесткий диск запустите от имени администратора командную строку и выполните инструкцию C:\devcon.exe remove *6to4* (вместо C:\ укажите ваш путь к devcon.exe). Чтобы ситуация не повторялась, обновите операционную систему.

Сегодня проблема с адаптерами 6to4 уже устранена разработчиками и встречается только у тех, кто не устанавливает обновления Виндовс.

Причины, по которым полностью загружается память и процессор

Где живет Generic Host Process for Win32?

Одним из самых простых способов выявить вирус данного типа является проверка места его обитания. Файлы настоящего хост-процесса не могут располагаться нигде, кроме системных папок, расположенных внутри папки установки Windows (например, C:\WINDOWS) т.е. ее подпапок. Если что-то сильно грузит систему, пройдитесь, для начала, обычным поиском по системному разделу. В случае обнаружения нашего «друга» в любой другой папке, кроме указанных, можете быть уверены — это вирус.

Нужно обратить внимание еще на один нюанс. Вирус может называться не в точности так же, как и файл здорового процесса

Название exe-шника может отличаться в одной-двух буквах. или к нему могут добавляться цифры. В нашем случае это может выглядеть так: svch0st, svchosl, svchosts32, ssvvcchhoosst и т.д. Следовательно имеет смысл использовать вместо точного, неточный поиск по образцу.

Более свежие версии данного вируса относятся к совершенно иной категории. Запускаясь в Windows, этот exe немедленно лезет в сеть и начинает рассылать спам чуть ли не по всему Интернету. При этом процесс сильнейшим образом грузит систему. Хотя встречаются и вполне здоровые проявления деятельности данной службы, которые, впрочем, также раздражают пользователя, как и поведение вируса-спамера. Например, закачка обновлений в фоновом режиме. Без хост-процесса и тут не обошлось, но справиться проблемой в данном случае очень просто — нужно взять и отключить автоматическое обновление, которое грузит Windows.

Рекомендации по борьбе с вирусом — самые обыкновенные. Нужно инсталлировать в Windows хороший, популярный антивирус и регулярно обновлять антивирусные базы

Обращая особое внимание на опции, ответственные за spyware.
Также поможет установка файервола. Если принять все эти меры заранее, то никакой svchost к вам не проникнет

О том что он грузит систему сможете забыть.

Но что делать, если вредоносный процесс в виде exe-службы уже проник к вам в компьютер и что есть силы грузит операционку? Выполнить наши дальнейшие рекомендации.

Можно ли завершить процессы Узел службы (svchost.exe)?

Выполнение различных системных задач может требовать разное количество ресурсов компьютера. К примеру дефрагментация диска или создание точки восстановления Windows сильно замедлят работу компьютера с медленным HDD, а служба шифрования Bitlocker способна полностью загрузить слабенький процессор.

Для комфортной работы Windows 10 желательно использовать 4-ех ядерный процессор, 6-8 ГБ оперативной памяти и устанавливать систему на SSD диск. Отключение системных процессов не окажет существенного влияния на прирост производительности. ОС Windows достаточно хорошо оптимизирована и не запускает не нужных служб.

Обслуживание системы, которое требует существенных ресурсов, выполняется в период бездействия вашего ПК. Если вы завершите процесс необходимый системе в текущий момент времени, то он будет автоматически запущен заново. Для полного отключения процесса необходимо разобраться для какой функции Windows он используется и отключить эту функцию. Подробнее об способах
ускорения работы Windows 10 смотрите в нашем видео:

Если вы заметили, что один из экземпляров Узел службы или связанная с ним служба чрезмерно используют процессор или ОЗУ, вы можете проверить задействованные сервисы. Это поможет найти направление, в котором искать неисправность. Вы можете узнать службы, связанные с конкретным svchost.exe, используя стандартный Диспетчер задач или стороннее приложение Process Explorer. Process Explorer можно отнести к списку приложений, которые нужно обязательно иметь на своем компьютере.

Проверка связанных служб в Process Explorer

Для продвинутых пользователей компания Microsoft предлагает инструмент для работы с процессами в составе линейки Sysinternals. Просто загрузите Process Explorer и запустите его – это портативное приложение, поэтому нет необходимости его устанавливать.

Process Explorer также группирует связанные службы в каждом экземпляре «svchost.exe». В списке процессов указаны не названия служб, а имена файлов. Полное наименование указано в столбце описание, а если навести курсор на имя файлы, вы увидите полный путь к нему во всплывающей подсказке.

Утилита также выводит информацию о ресурсах, которые в данный момент использует связанная служба.

Изменение размера файла подкачки, его перемещение или отключение

Тоже довольно распространенные, в некотором роде вредные, советы. Об этом есть хорошая статья на Хабре: Файл подкачки Windows. Приведу наиболее важные выводы той статьи с добавлениями из личного опыта:

  1. Изменять размер файла подкачки нет смысла. Теоретически, в идеале надо выставить размер файла подкачки не больше того, который требуется запущенному софту. Проблема в том, что даже если вы используете одни и те же программы одних и тех же версий день ото дня, ситуации случаются разные (вы можете запустить в браузере одну вкладку, а можете сотню, каждую с открытой игрой на Flash) и требования к доступной памяти получатся разные — предполагаемый «идеальный» размер файла подкачки будет меняться от минуте к минуте. Поэтому смысла изменять размер файла подкачки нет, так как «идеальный размер» файла подкачки меняется постоянно. Проще оставить тот размер, который определила система, и не морочить себе голову.
  2. Если отключить файл подкачки на системном разделе (при этом файл подкачки может использоваться на других разделах), не будет работать дамп памяти при ошибках BSOD. Поэтому, если система будет показывать «синий экран смерти», для выявления причины сбоя придется сначала включить файл подкачки на системном разделе, затем ждать повторения сбоя. Есть только одна ситуация, когда целесообразно отключать файл подкачки на системном диске (лишаясь возможности диагностики) и включать на другом — если в компьютере установлено два и более физических жестких диска. Перемещение файла подкачки на другой физический диск может снизить количество подтормаживаний из-за распределения нагрузки на диски.
  3. Отключение файла подкачки (полное, т.е. на всех дисках) вызовет проблемы и вылеты ресурсоёмких программ. Вы не поверите, но даже сейчас, когда в домашнем ПК установлено в среднем 16 Гб RAM, встречаются программы, которым требуется больше. Лично я сталкивался с проблемами при рендеринге сложных сцен с помощью V-Ray и при работе в программе GIMP — эти программы довольно прожорливы по части доступной памяти и закрываются при её нехватке. Примечание: очевидно, что программы обычно не пишут данные в файл подкачки сами, за них это делает ОС (но бывают исключения). Как бы то ни было, отключенный файл подкачки нельзя рассматривать как часть нормального режима работы компьютера.
  4. Перемещение файла подкачки на RAM-диск (очень быстрый виртуальный диск, находящийся в оперативной памяти) нецелесообразно. Во-первых, при запуске Windows RAM-диск может инициализироваться позже того момента, когда системе понадобится файл подкачки. Из-за этого может случиться что угодно — от BSOD до спонтанных подтормаживаний системы (столкнулся с перечисленным, когда проверял эту идею). Во-вторых, размер такого файла подкачки будет небольшой — память-то не резиновая. Возникает патовая ситуация — либо провоцирование нехватки ОЗУ при большом файле подкачки в памяти и вылеты программ из-за этого, либо вылеты программ при нехватке места в маленьком файле подкачки. Золотой середины нет, т.к. компьютер может выполнять совершенно разные задачи. В-третьих, и это самое главное — это просто глупо, потому что своп нужен для расширения виртуальной памяти за счёт жёсткого диска или SSD. Если эта память есть, зачем откусывать от неё кусок для диска с пейджфайлом, если можно использовать по прямому назначению?

https://youtube.com/watch?v=-22kVYXtm5Y

Вирусы, маскирующиеся под svchost.exe

Сегодня ложные процессы svchost.exe встречаются намного реже, чем во времена актуальности Windows XP, Vista и 7. Свои вредоносные программы вирусописатели могут маскировать под него, заменяя в названии процесса, например, букву «о» нулем, букву «t» – единицей, играя с комбинациями подмены латиницы кириллицей, добавляя к исходному варианту названия лишние какие-то символы. Может быть и так, что сам svchost.exe – подлинный процесс, но его активность, нагружающая системные ресурсы, связана с проникшим в систему вирусом. Вирусы, маскирующиеся под svchost.exe, могут нагружать не только процессор, но и диск, и оперативную память, активно поглощать интернет-трафик, периодически отключать Интернет и локальные сетевые подключения. Ложным процессам svchost.exe присущи прочие признаки наличия в системе вредоносного ПО – реклама на сайтах, открытие в браузере незапрашиваемых веб-страниц, изменение настроек Windows и пр. О ложности svchost.exe может свидетельствовать расположение исполняемого файла процесса по пути, отличном от C:\Windows\System32 и C:\Windows\SysWOW64. Узнать расположение файла процесса можно в диспетчере задач Windows, в контекстном меню каждого из экземпляров svchost.exe.

В программе AnVir Task Manager путь расположения файлов svchost.exe указан в графе таблицы «Исполняемый файл». Кроме этого, AnVir Task Manager содержит отдельную графу с показателем так называемого уровня риска – вердиктом создателей программы, основывающемся на поведенческом анализе процессов.

AnVir Task Manager работает в связке с веб-сервисом компании Google Virustotal.Com, на котором каждый активный процесс можно проверить прямо из интерфейса программы с помощью опции контекстного меню «Проверить на сайте».

Проблема с ложным процессом svchost.exe решается универсальным способом для всех типов вредоносного ПО – сканирование компьютера антивирусом с регулярно обновляемыми базами и дополнительная проверка с участием антивирусной утилиты от другого разработчика (с отличными базами).

Как ещё можно устранить проблему

Проверяем аппаратную часть

Аппаратные сбои компьютера могут быть и временными (из-за перегрева процессора), и постоянными (из-за поломки составных частей). Перегрев обычно вызывается запылённостью, поломкой кулера, а также изменением теплопроводящих свойств термопасты. Поэтому следует почистить компьютер от пыли и заменить термопасту на центральном процессоре в мастерской или самостоятельно.

Работоспособность оперативной памяти и других компонентов проверяется с помощью специальных приложений или приборов. Но можно сделать предварительное заключение, временно заменив планки ОЗУ на гарантированно исправные. Если же такой возможности нет, то можно поступить обратным образом: попробовать запустить компьютер попеременно на каждой из двух установленных планок по отдельности. Если на обеих система запустится, оперативная память исправна.

Чистим log-файл событий в журнале Windows

Разросшийся log-файл также может быть источником нашей проблемы. Чтобы исправить ситуацию, очистим его от лишней информации.

  1. Нажимаем сочетание клавиш Win (со значком Windows) и R. В появившемся небольшом окне «Выполнить» в строке ввода набираем eventvwr и нажимаем экранную кнопку «ОК».

  2. В открывшемся окне «Просмотр событий» находим закладку «Журналы Windows», которая расположена в левой части, и открываем её.

  3. Теперь в средней части окна выбираем двойным кликом файл «Приложение». Вид окна изменился.

  4. Осталось в правой части окна выбрать строку «Очистить журнал…», после чего подтвердить операцию. Так же следует поступить с журналами «Безопасность», «Установка» и «Система». После окончания процедуры перезагружаем Windows.

Идентификация и управление размещенными службами

  • в Windows XP и более поздних версиях команда «tasklist с ключом/svc» включает список сервисов компонентов в каждом процессе;

  • в Windows Vista и Windows 7 вкладка «Службы» «Диспетчера задач» Windows включает список служб и их групп и идентификаторов процессов (PID); щелкните правой кнопкой мыши svchost в «Диспетчере задач», а параметр «Перейти к услугам» также переключится на список служб и, при необходимости, выберите службы, запущенные в соответствующем svchost;

  • в Windows 8 интерфейс «Диспетчера задач» был оптимизирован таким образом, что каждая запись svchost может быть развернута одним щелчком мыши на суб-список служб, запущенных внутри него.

Проводник Microsoft Sysinternals Process Explorer также предоставляет информацию о сервисах, выполняемых в процессах svchost.exe, когда пользователь наводит курсор на svchost.

Проводник Microsoft Sysinternals Process Explorer также предоставляет информацию о сервисах, выполняемых в процессах svchost

Ни один из вышеперечисленных методов не позволяет пользователю определить, какая из многих служб, запущенных внутри svchost, является конкретным ресурсом, например, процессор, диск, сеть или память. Монитор ресурсов Windows учитывает большинство этих ресурсов, когда процесс детализирован. Тем не менее он учитывает использование процессора при детализации служб путем перехода на вкладку «ЦП». Список открытых TCP-соединений и открытых портов UDP можно получить с помощью «netstat -b».

Запускаем командную строку от имени администратора

Вводим команду «netstat -b», нажимаем «Enter»

Изучаем, полученный результат

Чтобы решить другие проблемы с сервисом, запущенным внутри svchost, служба (или службы, которые должны вызвать проблему) должна быть (все) перенастроена, чтобы каждый из них выполнялся внутри своего собственного экземпляра svchost. Например, «sc config foo type = own» перенастроит службу с именем «foo», чтобы запустить свой собственный svchost. Изменение типа «back to the general» выполняется с помощью аналогичной команды. Чтобы эти изменения конфигурации вступили в силу, необходимо перезапустить службу. Однако этот процесс отладки не является надежным. В некоторых случаях может произойти ошибка heisenbug, из-за чего проблема исчезает, когда служба работает отдельно.

Более сложным методом устранения неполадок является создание изолированной группы обслуживания.

Как вирусы работают через svсhost?

А вдруг это вирус?

Видя высокую загрузку процессора одним из svchost, многие пользователи в первую очередь думают о заражении вирусами. Такое встречается, но не особенно часто. Хотя в последнее время развелось немало вредоносных программ-майнеров, один из признаков которых — высокая нагрузка на процессор и\или видеочип, особенно во время простоя компьютера.

На признаки вирусного заражения указывает следующее:

Файл svchost.exe, породивший процесс, не имеет цифровой подписи Microsoft и находится в каталоге, отличном от \Windows\system32. Родительский процесс сервис-хоста — не Services.exe, а что-то другое, например, тот же svchost. Проверка контрольной суммы svchost.exe на Virustotal показала плохой результат или сервис не смог определить по контрольной сумме, что это за файл. В Windows XP и «семерке»- наличие процесса svchost.exe, запущенного от имени пользователя (в этих ОС им могут управлять только учетные записи системы, lockal service и network service)

Обратите внимание, что в Windows 8 (8.1) и 10 несколько процессов svchost.exe от имени пользователя стало нормальным явлением

Неизвестные библиотеки dll и службы, которые работают в контексте сервис-хоста. Посмотреть список загруженных в память процесса библиотек можно при помощи Process Explorer (кнопка открытия панели библиотек обведена в меню красной рамкой). На скриншоте показана нормальная картина — все dll-ки имеют подпись Microsoft.

Что делать, если вирусная версия подтвердилась? Чаще всего достаточно просканировать систему любым антивирусом со свежими базами — большинство из них успешно справляется с удалением майнеров и прочих зловредов, которые проявляют себя подобным образом. Главное — не удаляйте файл svchost.exe, даже если он заражен, иначе это серьезно нарушит работу Windows. Зараженный файл следует заменить на чистый, взяв его из дистрибутива или со «здоровой» системы той же версии и разрядности. Либо восстановить способом, который описан ниже.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий