Процесс svchost.exe как вычислить вирус?
Содержание:
Реализация
Его исполняемый образ «%SystemRoot%»/»System32″/»Svchost.exe» или «%SystemRoot%»/»SysWOW64 «/»Svchost.exe» (для 32-разрядных служб, работающих в 64-разрядных системах) выполняется в нескольких экземплярах, каждый из которых размещает одну или несколько служб.
Расположение системного файла «Svchost»
Службы, запущенные в Svchost, реализованы как динамически связанные библиотеки (DLL). Ключ реестра такой службы должен иметь значение с именем ServiceDll в разделе «Параметры», указывая на DLL-файл соответствующей службы. Их определение ImagePath имеет вид «%SystemRoot%»/»System32″/»Svchost.exe -k». Сервисы, совместно использующие один и тот же процесс Svchost, указывают один и тот же параметр, имеющий одну запись в базе данных SCM.
В первый раз, когда процесс Svchost запускается с определенным параметром, он ищет значение с тем же именем в ключе «HKLM»-«SOFTWARE»-«Microsoft»-«Windows NT «-«CurrentVersion»-«Svchost», которое оно интерпретирует как список имен служб. Затем он уведомляет SCM о всех сервисах, которые он размещает. SCM не запускает второй процесс Svchost для любой из полученных служб: вместо этого он просто отправляет команду «начать» соответствующему процессу Svchost, содержащему имя службы, которое должно быть запущено в его контексте.
Процесс Svchost запускается с определенным параметром, он ищет значение с тем же именем в ключе «HKLM»-«SOFTWARE»-«Microsoft»-«Windows NT»-«CurrentVersion»-«Svchost»
Согласно презентации MS 2003, минимальный рабочий набор общей службы составляет приблизительно 150 КБ против 800 КБ для автономного процесса.
Начиная с Windows Vista, внутренняя идентификация сервисов внутри общих процессов (включая svchost) достигается с помощью так называемых Service tags. Service tags для каждого потока хранится в SubProcessTag его блока среды потока (TEB). Service tag распространяется по всем потокам, которые затем запускают основной поток службы, за исключением потоков, созданных косвенно API-интерфейсами потоков Windows. Набор процедур управления Service tags в настоящее время является не документированным API, хотя он используется некоторыми утилитами Windows, такими как netstat, для отображения TCP-соединений, связанных с каждой службой. Некоторые сторонние инструменты, такие как ScTagQuery, также используют этот API.
Svchost.exe (netsvcs)
Netsvcs — подпроцесс, используемый svchost.exe
Netsvcs — это подпроцесс, используемый svchost.exe (netsvcs). Если и когда происходит утечка памяти, svchost.exe начинает сильно нагружать CPU. Эта проблема возникает из-за утечки дескриптора в службе Winmgmt после установки Windows Management Framework 3.0 на компьютере. Служба Winmgmt является службой инструментария управления Windows (WMI) в процессе svchost.exe, которая выполняется под учетной записью LocalSystem.
Способ определения процессов
Хотя командная строка, это наше все, и с помощью команды:
Можно:
- Узнать краткое имя процесса.
- Определить его ID и сопоставить с тем, что показывает 100% загрузку в диспетчере задач.
- Определить исполняемую службу путем прокликивания команд в «Службах».
- Пустить в «reload» или остановить его, сняв колоссальную загрузку ЦП.
Но можно пойти более кратким путем и загрузить утилиту, в которой уже содержится вся нужная информация. Называется утилита «Process Explorer», а загрузить ее можно с сайта Майкрософт.
Скачав и запустив программное обеспечение (для x64 операционных систем из архива лучше запускать версию procexp64) можно увидеть список всех процессов системы, например: smssvhost, sihost и развернутое дерево svchost и другие.
Наведя курсор мыши на тот процесс, который сильно грузит систему, можно выудить необходимые сведения.
Нажав правой кнопкой на него в программе, можно:
- Kill Process – отключить процесс (может отключиться или перезапуститься).
- Kill Process Tree – завершить дерево процессов (поможет, если тот связан с другими и не может быть отключен в одиночку / или работать без остальных).
- Restart – перезапуск (иногда срабатывает и больше не нагружает систему).
- Suspend – поставить на паузу, не выключая (редко срабатывает).
Поэкспериментируйте с выключением (kill). Хуже синего экрана, который устраняется перезагрузкой системы словить ничего не сможете (система не разрешит).
Программы для мониторинга процессов
Увидеть, что процесс svchost.exe грузит процессор, можно с помощью специальных утилит:
- Process explorer – программа мониторинга процессов в реальном времени.
- AnVir Task Manager — универсальная утилита настройки и диагностики и обслуживания ОС Windows.
- HWMonitor — небольшая программа для мониторинга различных показателей компьютера.
- AIDA32 — бесплатная утилита, предоставляющая подробную информацию об ОС.
- SiSoftware Sandra Lite — программа диагностики работы компьютера.
- Memtest86+ —программа проверки оперативной памяти на ошибки.
- Process Hacker — программа мониторинга сервисов и процессов, написанная открытым кодом.
- System Explorer —программа для полного мониторинга системных процессов ОС Windows.
Кроме того, есть приложения, отслеживающие состояние аппаратной части компьютеров. Их использование может стать полезным, в выяснении причины, что же грузит процессор.
Как устранить проблему
- Попробуйте просто закрыть тот процесс svchost, который «жрет» больше всего оперативной памяти. Компьютер должен начать работать быстрее, ведь загрузка центрального процессора станет намного меньше.
- Отключите автоматическую загрузку и проверку обновлений. Для этого зайдите в Панель управления -> Центр обновления Windows -> Настройка параметров.
- Далее в пункте «Важные обновления» выберите «Не проверять наличие обновлений (не рекомендуется)».
- Посмотрите в диспетчере задач, какой пользователь стоит напротив процессов svchost.exe. Должны быть «система/system», local service, network service. Всё остальное – это вирусы. Закройте процесс, нажав на правую кнопку мыши и выбрав «Завершить дерево процесса». И конечно же проверьте систему на предмет вирусов Dr.Web, Kaspersky или другой соответствующей программой.
- Удалите папку в директории «С:\WINDOWS\Prefetch», перезагрузите компьютер. В ней хранятся данные о программах и службах, которые запускаются в системе. Чем-то она напоминает папку «Temp» (временные файлы). Если удалить всю информацию из «Prefetch», то нужную информацию программы при последующей загрузке Windows 7 запишут в нее заново, а ненужная попросту удалится.
- Теперь зайдите в «Панель управления» и перейдите в раздел «Администрирование». После выберите «Просмотр событий». В следующем окне, в левом его столбце, найдите категорию «Журналы Windows». Раскройте ее список и кликните двойным нажатием левой клавиши мыши по пункту «Приложения». Теперь выберите «Очистить журнал» в левом столбце окна.
- Проделайте аналогичное с пунктами «Безопасность», «Установка» и «Система».
После этих действий ваш компьютер должен начать работать быстрее. Выводы следующие: не включайте автоматическую загрузку обновлений, проверьте работу ПК после отключения наиболее ресурсоёмкого процесса svchost, очистите папку «Prefetch» и журнал событий
Обращайте внимание, от чьего имени работает процесс. Если в поле пользователь стоит имя вашего ПК, это значит, что пора почистить компьютер от вирусов
Как проверить по-другому, системный это файл или вирус? Просто выберите наиболее «тяжёлый» svchost и правой кнопкой мыши кликните «Открыть место хранения файла». Должен открыться каталог «C:\WINDOWS\System32\» и только он!
Однако, если вы открываете «Диспетчер задач», и видите, что svchost.exe отбирает максимум 20 – 30 Мб оперативной памяти, то это говорит только об одном: причина медленной работы системы совсем не в нём.
Исправить высокую загрузку ЦП Svchost.exe (netsvcs)
Очистка диска начинает вычислять, сколько занимаемого дискового пространства вы можете освободить. Хорошо, что вы можете часто обновлять драйвер устройства, чтобы устранить проблему с EXE. Чтобы убедиться, что все svchosts проверены и исправить любую верхнюю память или Использование процессора svchost, вы можете взглянуть на следующие методы. На самом деле, Svchost k чрезвычайно важен в процессе Windows, поскольку он отвечает за загрузку других служб Windows для гораздо большей функциональности.
Вредоносные программы, как правило, наносят ущерб вашей системе, поэтому их всегда приятно восстановить. Вредоносное ПО использует многие порты Windows для подключения к Интернету, что является одной из основных причин высокой загрузки ЦП netsvcs. Во-первых, вы должны убедиться, что ваш компьютер хорошо защищен от шпионского ПО. Последнее, что вам нужно сделать, это восстановить файл HOST на вашем компьютере, поскольку на него обычно влияет svchost.exe. Иногда простая перезагрузка компьютера помогает избавиться от проблемы. Особенно если вы работаете с большим количеством устаревшего оборудования, с которым я работаю для большинства своих клиентов.
Check for Viruses First
Before we get into the details below, it’s worth noting that there are cases where svchost.exe is actually a virus. Since it’s a system process, malicious coders like to use the name svchost to remain hidden. If the file is located in Windows/system32, it’s more than likely not a virus, however I always recommend performing a scan just to be sure.
If you don’t already have an anti-virus program, I recommend using either Kaspersky or Bitdefender since they consistently perform at the top in AV-Test and AV-Comparatives rankings. They are not free, but most free antivirus programs end up bundling extra junk software or redirecting your browser to their “secure” search solution, which isn’t secure at all and just tracks you and shows you more ads.
Как исправить проблему?
Хотя наличие большого количества процессов svchost.exe в Диспетчере задач может быть вызвано одновременным выполнением нескольких операций, иногда проблема проявляется даже при запуске только одного приложения. Устранение подобного сбоя производится в 5 этапов.
Перезагрузка компьютера
Самое простое решение, которое приходит в голову, – перезагрузка ПК. И пускай данная операция кажется попыткой закрыть глаза на проблему, выключение и повторное включение компьютера действительно приводит к положительным результатам.
Рекомендация актуальна в том случае, когда излишняя нагрузка svchost.exe является разовой. То есть ранее пользователь не замечал странных процессов в Диспетчере задач. После перезапуска компьютера следует открыть инструмент и проверить, насколько упала загруженность, связанная с хостом.
На заметку. Загрузка ДЗ задачей svchost бывает обусловлена слабостью «железа» компьютера. Если устройство старое и не отвечает современным требованиям, этот и другие процессы будут задействовать до 100 % ресурсов.
Очистка от «мусорных» файлов
Информация, которая остается от удаленных ранее программ, в некоторых случаях продолжает нагружать систему за счет процесса svchost. Поэтому необходимо выполнить очистку от мусора. Для выполнения задачи идеально подходит приложение CCleaner. Его можно бесплатно скачать с официального сайта разработчика, после чего останется запустить проверку и удалить лишние данные.
Пользователям, которым не хочется загружать сторонний софт, помогают встроенные средства Windows 10:
Откройте Проводник.
Кликните ПКМ по названию основного диска и выберете пункт «Свойства».
Перейдите в подраздел «Общие» и нажмите кнопку «Очистка диска».
По аналогии с CCleaner система запустит проверку, которая обычно занимает 5-15 минут. После анализа хранилища будет предложено удалить мусор. Пользователю останется только подтвердить выполнение операции.
Исправление ошибок в реестре
Очистка реестра часто помогает избавиться от сильной нагрузки на процессор. В этом отношении стоит вновь порекомендовать приложение CCleaner. Через него операция выполняется следующим образом:
Запустите программу.
- Перейдите в раздел «Реестр».
- Нажмите кнопку «Поиск проблем».
После найденных ошибок кликните «Исправить выбранное».
Чтобы внесение изменений в реестр не вызвало появление еще более критических проблем, рекомендуется создать резервную копию через CCleaner. После завершения очистки необходимо перезагрузить компьютер и проверить Диспетчер задач.
Определяем службу, которая грузит систему, и отключаем ее
К этому способу следует обращаться после выполнения предыдущих этапов
Поскольку svchost.exe обслуживает разные операции, важно определить, какой процесс задействует хост, и отключить его. Для этого понадобится:
Открыть Диспетчер задач.
- Перейти во вкладку «Подробности».
- Кликнуть ПКМ по самому «прожорливому» процессу и выбрать пункт «Перейти к службам».
В открывшемся окне вновь кликнуть ПКМ и нажать кнопку «Остановить», чтобы удалить операцию из списка.
При удалении операции важно не ошибиться. Бывает, что пользователи случайно избавляются от важных процессов, что в дальнейшем нарушает работу компьютера
Поэтому после поиска ресурсоемкой задачи рекомендуется выбрать пункт «Поиск в интернете», чтобы найти информацию о службе и понять, можно ли ее удалять.
Проверка целостности системных файлов через Командную строку
Большое потребление ресурсов ПК бывает вызвано наличием повреждений системных файлов. Проверить, так ли это, можно через Командную строку:
Запустите КС.
- Введите запрос «sfc/scannow».
- Нажмите клавишу «Enter».
В заключение Виндовс предоставит данные относительно найденных ошибок. Их устранение произойдет в автоматическом режиме.
Что делать, если svchost.exe грузит процессор на 100%
Одна из самых распространенных проблем, связанных с svchost.exe — то, что этот процесс грузит систему на 100%. Наиболее частые причины такого поведения:
Выполняется какая-либо стандартная процедура (если такая нагрузка не всегда) — индексация содержимого дисков (особенно сразу после установки ОС), выполнение обновления или его загрузки и подобные. В этом случае (если это проходит «само») делать обычно ничего не требуется.
Какая-то из служб по какой-то причине работает неправильно (тут попробуем выяснить, что это за служба, см. далее). Причины неправильной работы могут быть разными — повреждения системных файлов, проблемы с драйверами (например, сетевыми) и другие.
Проблемы с жестким диском компьютера
Реже — результат работы вредоносного ПО. Причем не обязательно сам файл svchost.exe является вирусом, могут быть варианты, когда посторонняя вредоносная программа обращается к Хост-процессу служб Windows таким образом, что вызывает нагрузку на процессор. Тут рекомендуется проверить компьютер на вирусы и использовать отдельные средства удаления вредоносных программ
Также, если проблема исчезает при чистой загрузке Windows (запуск с минимальным набором системных служб), то стоит обратить внимание на то, какие программы есть у вас в автозагрузке, возможно, влияние оказывают они.
Запуск командной стройки в Windows 10
Наиболее распространенный из указанных вариантов — неправильная работа какой-либо службы Windows 10, 8 и Windows 7. Для того, чтобы выяснить, какая именно служба вызывает такую нагрузку на процессор, удобно использовать программу Microsoft Sysinternals Process Explorer, скачать которую можно бесплатно с официального сайта https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx (представляет собой архив, который нужно распаковать и запустить из него исполняемый файл).
После запуска программы вы увидите список запущенных процессов, в том числе проблемный svchost.exe, нагружающий процессор. Если навести на процесс указатель мыши, во всплывающей подсказке появится информация о том, какие конкретно службы запущенны данным экземпляром svchost.exe.
Если это одна служба — можно попробовать отключить её (см. Какие службы можно отключить в Windows 10 и как это сделать). Если несколько — можно экспериментировать с отключением, а можно по типу служб (например, если всё это — сетевые службы) предположить возможную причину проблемы (в указанном случае это могут быть неправильно работающие сетевые драйвера, конфликты антивирусов, или же вирус, использующий ваше сетевое подключение, задействуя при этом системные службы).
Восстановление пункта «Открыть окно команд» в проводник Windows 10
Список версий файлов
Имя файла
svchost.exe
система
Windows 10
Размер файла
40904 bytes
Дата
2017-03-18
Скачать
| Подробности файла | ||
|---|---|---|
| MD5 | 6bdb3091562e7dd2c877472286b6cc46 | |
| SHA1 | 122ecbb7a23dc98c61f319cfb060f3cbd407db89 | |
| SHA256 | 87e4144b3f50e9a0635ea6a887a20ef0d7b1321a79793f9fa965b8defbdef698 | |
| CRC32 | 8a4a4800 | |
| Пример расположения файла | C:\Windows\System32\ |
Имя файла
svchost.exe
система
Windows 8.1
Размер файла
33088 bytes
Дата
2014-11-21
Скачать
| Подробности файла | ||
|---|---|---|
| MD5 | d0abc231c0b3e88c6b612b28abbf734d | |
| SHA1 | 8fe931b1eb696cf3db0ca62f42df713e933e51b1 | |
| SHA256 | 388557172f87d67a033d7b8ea0124246af2e7c041e93fb6cfb35bb9cf733578b | |
| CRC32 | aeec33e6 | |
| Пример расположения файла | C:\Windows\System32\ |
Имя файла
svchost.exe
система
Windows 8
Размер файла
23040 bytes
Дата
2012-07-26
Скачать
| Подробности файла | ||
|---|---|---|
| MD5 | 0a175af8b65797bd22c11903a8bfeb2d | |
| SHA1 | 075d04db237e1fcb7d45d780268371fa80c512a2 | |
| SHA256 | fed63df0389061c5eb6d8cf9c203bbe95fa2165d4f112464f33935370105adda | |
| CRC32 | d3564260 | |
| Пример расположения файла | 1: C:\Windows\System32\ |
Имя файла
svchost.exe
система
Windows 7
Размер файла
20992 bytes
Дата
-0001-11-30
Скачать
| Подробности файла | ||
|---|---|---|
| MD5 | 54a47f6b5e09a77e61649109c6a08866 | |
| SHA1 | 4af001b3c3816b860660cf2de2c0fd3c1dfb4878 | |
| SHA256 | 121118a0f5e0e8c933efd28c9901e54e42792619a8a3a6d11e1f0025a7324bc2 | |
| CRC32 | dbd0a376 | |
| Пример расположения файла | C:\Windows\SysWOW64\ |
Имя файла
svchost.exe
система
Windows 7
Размер файла
27136 bytes
Дата
2009-07-14
Скачать
| Подробности файла | ||
|---|---|---|
| MD5 | c78655bc80301d76ed4fef1c1ea40a7d | |
| SHA1 | 619652b42afe5fb0e3719d7aeda7a5494ab193e8 | |
| SHA256 | 93b2ed4004ed5f7f3039dd7ecbd22c7e4e24b6373b4d9ef8d6e45a179b13a5e8 | |
| CRC32 | 409d59e6 | |
| Пример расположения файла | C:\Windows\SysWOW64\ |
Имя файла
svchost.exe
система
Windows Vista
Размер файла
21504 bytes
Дата
-0001-11-30
Скачать
| Подробности файла | ||
|---|---|---|
| MD5 | 3794b461c45882e06856f282eef025af | |
| SHA1 | bf15549a7ec01ac505ccac036aba5b9bae688135 | |
| SHA256 | d4f79d7bc639fe86ac68961e6273836b9d7af491773fd054395b33d317017beb | |
| CRC32 | b755874d | |
| Пример расположения файла | — |
Имя файла
svchost.exe
система
Windows Vista
Размер файла
27648 bytes
Дата
2008-01-21
Скачать
| Подробности файла | ||
|---|---|---|
| MD5 | cda9f1373805af88f6fa4f2064bba24d | |
| SHA1 | 8306f3e86107fe1ba1fc8ff6133b357570206d06 | |
| SHA256 | b26aafff9a4721a168fec6dbeff785121fdd3010be46bc89815e2c8c4c40b303 | |
| CRC32 | e2b6d712 | |
| Пример расположения файла | — |
Имя файла
svchost.exe
система
Windows XP
Размер файла
14336 bytes
Дата
2008-04-14
Скачать
| Подробности файла | ||
|---|---|---|
| MD5 | 27c6d03bcdb8cfeb96b716f3d8be3e18 | |
| SHA1 | 49083ae3725a0488e0a8fbbe1335c745f70c4667 | |
| SHA256 | 2910ebc692d833d949bfd56059e8106d324a276d5f165f874f3fb1b6c613cdd5 | |
| CRC32 | 50364bf4 | |
| Пример расположения файла | — |
Как исправить ошибки svchost.exe всего за несколько шагов?
Помните, прежде чем предпринимать какие-либо действия, связанные с системными файлами, сделайте резервную копию ваших данных!
Ошибки файла svchost.exe могут быть вызваны различными причинами, поэтому полезно попытаться исправить их различными способами.
Шаг 1.. Сканирование компьютера на наличие вредоносных программ.
Файлы Windows обычно подвергаются атаке со стороны вредоносного программного обеспечения, которое не позволяет им работать должным образом. Первым шагом в решении проблем с файлом svchost.exe или любыми другими системными файлами Windows должно быть сканирование системы на наличие вредоносных программ с использованием антивирусного инструмента.
Если по какой-либо причине в вашей системе еще не установлено антивирусное программное обеспечение, вы должны сделать это немедленно
Незащищенная система не только является источником ошибок в файлах, но, что более важно, делает вашу систему уязвимой для многих опасностей. Если вы не знаете, какой антивирусный инструмент выбрать, обратитесь к этой статье Википедии — сравнение антивирусного программного обеспечения
Шаг 2.. Обновите систему и драйверы.
Установка соответствующих исправлений и обновлений Microsoft Windows может решить ваши проблемы, связанные с файлом svchost.exe. Используйте специальный инструмент Windows для выполнения обновления.
- Откройте меню «Пуск» в Windows.
- Введите «Центр обновления Windows» в поле поиска.
- Выберите подходящую программу (название может отличаться в зависимости от версии вашей системы)
- Проверьте, обновлена ли ваша система. Если в списке есть непримененные обновления, немедленно установите их.
- После завершения обновления перезагрузите компьютер, чтобы завершить процесс.
Помимо обновления системы рекомендуется установить последние версии драйверов устройств, так как драйверы могут влиять на правильную работу svchost.exe или других системных файлов. Для этого перейдите на веб-сайт производителя вашего компьютера или устройства, где вы найдете информацию о последних обновлениях драйверов.
Шаг 3.. Используйте средство проверки системных файлов (SFC).
Проверка системных файлов — это инструмент Microsoft Windows. Как следует из названия, инструмент используется для идентификации и адресации ошибок, связанных с системным файлом, в том числе связанных с файлом svchost.exe. После обнаружения ошибки, связанной с файлом %fileextension%, программа пытается автоматически заменить файл svchost.exe на исправно работающую версию. Чтобы использовать инструмент:
- Откройте меню «Пуск» в Windows.
- Введите «cmd» в поле поиска
- Найдите результат «Командная строка» — пока не запускайте его:
- Нажмите правую кнопку мыши и выберите «Запуск от имени администратора»
- Введите «sfc / scannow» в командной строке, чтобы запустить программу, и следуйте инструкциям.
Шаг 4. Восстановление системы Windows.
Другой подход заключается в восстановлении системы до предыдущего состояния до того, как произошла ошибка файла svchost.exe. Чтобы восстановить вашу систему, следуйте инструкциям ниже
- Откройте меню «Пуск» в Windows.
- Введите «Восстановление системы» в поле поиска.
- Запустите средство восстановления системы — его имя может отличаться в зависимости от версии системы.
- Приложение проведет вас через весь процесс — внимательно прочитайте сообщения
- После завершения процесса перезагрузите компьютер.
Если все вышеупомянутые методы завершились неудачно и проблема с файлом svchost.exe не была решена, перейдите к следующему шагу. Помните, что следующие шаги предназначены только для опытных пользователей
