Svchost

Введение

Кроме основных приложений, которые должны во время работы загружать память центрального процессора в небезызвестном «Диспетчере задач», можно увидеть множество лишних процессов, точнее, программ. Они являются вирусными и самостоятельно, без ведома владельца ПК, активируются и активно работают. Среди прочих ненужных приложений пользователь может увидеть процесс Svchost.exe, который благодаря своему функционированию на 100 процентов нагружает ПК.

Процесс svchost.exe может значительно нагружать ресурсы компьютера

На самом деле Svchost.exe не является сторонним вирусным ресурсом, так как он представляет собой необходимый системный процесс, который есть в каждой ОС, в частности в Windows. Посредством этого приложения запускаются иные системные службы, которые также участвуют в работе компьютера. Стоит отметить, что впервые эта служба появилась в операционной системе Windows 2000 года выпуска, после чего процесс стал неотъемлемым ресурсом последних ОС Windows (7 и 10). Изначально перед разработчиками системной программы стояла задача, которая могла бы максимально уменьшить общие затраты, использующие процессор. Ввиду чего была создана эта система, объединяющая в себе несколько различных служб. Процесс Svchost.exe обладает универсальностью. В «Диспетчере задач» можно увидеть от четырёх контролируемых им приложений, каждое из которых отвечает за отдельную службу.

В нижеприведённой статье рассмотрим принцип работы Svchost.exe, а также случаи, когда этот ресурс необходимо исключать или удалять с ПК.

Что такое svchost процесс

Svchost.exe — исполняемый файл (программа). Для запуска служб ОС применяются динамические библиотеки «DLL» расширения. Это эффективнее чем использовать файлы расширения «exe». Особенность файла — он сам не запустится. Его запускает svchost.

Как проверить процессы, связанные с Svchost?

Чтобы посмотреть все службы, которые в данный момент связаны с этим процессом, необходимо сделать несколько простых вещей.

• Нажмите на «Пуск», после чего найдите в этом меню команду «Выполнить».
• Введите туда команду CMD, после чего нажмите на ENTER.
• После этого копируйте и вставьте в открывшемся эмуляторе командной строки следующее выражение: Tasklist /SVC. Снова воспользуйтесь клавишей ENTER.
• В виде списка будет выведен перечень всех процессов. Внимание! Обязательно вводите ключевой параметр /SVC, так как он выводит именно активные службы. Чтобы получить расширенные сведения о конкретной службе, воспользуйтесь следующей командой: Tasklist /FI «PID eq идентификатор_процесса» (вместе с кавычками).

Информация о SVCHOST.EXE

SVCHOST.EXE есть возможность видеть в Диспетчере задач (для перехода нажмите Ctrl+Alt+Del или Ctrl+Shift+Esc) в разделе «Процессы». Если вы не наблюдаете элементов с подобным наименованием, то нажмите «Отображать процессы всех пользователей».

Для удобства отображения можно щелкнуть по наименованию поля «Имя образа». Все данные в списке будут выстроены в алфавитном порядке. Процессов SVCHOST.EXE может функционировать очень много: от одного и теоретически до бесконечности. А практически количество действующих одновременно активных процессов ограничивается параметрами компьютера, в частности мощностью ЦП и величиной оперативной памяти.

Функции

Теперь очертим круг задач изучаемого процесса. Он ответственен за работу тех служб Windows, которые загружаются из dll-библиотек. Для них он является хост-процессом, то есть, главным процессом. Его одновременное функционирование для нескольких служб значительно экономит оперативную память и время на выполнение задач.

Мы уже выяснили, что процессов SVCHOST.EXE может функционировать много. Один активируется при старте ОС. Остальные экземпляры запускает services.exe, который является Диспетчером служб. Он формирует блоки из нескольких служб и запускает для каждого из них отдельный SVCHOST.EXE. В этом и заключается суть экономии: вместо того, чтобы запускался отдельный файл для каждой службы, активируется SVCHOST.EXE, который объединяет целую группу служб, тем самым снижая уровень нагрузки на ЦП и расход оперативной памяти ПК.

Размещение файла

Теперь давайте узнаем, где размещен файл SVCHOST.EXE.

1. Файл SVCHOST.EXE в системе существует только один, если, конечно, вирусным агентом не был создан его дубликат. Поэтому, чтобы выяснить место размещения данного объекта на винчестере, кликаем правой кнопкой мышки в Диспетчере задач по любому из наименований SVCHOST.EXE. В контекстном списке выберите «Открыть место хранения файла».



2. Открывается Проводник в той директории, где размещен SVCHOST.EXE. Как видим из информации в адресной строке, путь к данному каталогу следующий:

   C:WindowsSystem32

   

   Также в крайне редких случаях SVCHOST.EXE может вести к папке

   C:WindowsPrefetch

   или к одной из папок находящихся в директории

   C:Windowswinsxs

   В любую другую директорию настоящий SVCHOST.EXE вести не может.

Как это работает

Файл svchost сохраняет ресурсы ПК. Не приходится на физическом уровне запускать файл. Число процессов, загружающих ОЗУ становится меньше. Работа происходит в фоновом режиме. Рассмотрим подробнее что делает svchost.exe.

Что за процесс SVCHOST.EXE

Для начала нужно обнаружить данный процесс в «Диспетчере задач». Открыть последний можно с помощью сочетания клавиш Ctrl+Shift+Esc или Ctrl+Alt+Del, что больше актуально для старых версий Windows. В «десятке» вы можете просто нажать на иконку «Пуска» и выбрать в контекстном меню соответствующий вариант.

В открывшемся «Диспетчере задач» обратите внимание на вкладку «Процессы». У вас она может находится не только в верхней части, но и в главном окне. Там будет разделение на «Фоновые процессы» и «Процессы Windows». Вам требуется обратить внимание на последний подраздел. В Windows 7 и более ранних версиях, чтобы включить отображение всех запущенных процессов SVCHOST.EXE, потребуется нажать на кнопку «Отображать процессы всех пользователей».

За что отвечает процесс SVCHOST.EXE

Как было написано выше, SVCHOST.EXE отвечает за корректный запуск и работу DLL-библиотек на компьютере, а также некоторых служб Windows. В этом случае он является главным процессом для определённого перечня служб Windows и всех DLL-библиотек. Это позволяет значительно сэкономить ресурсы компьютера, так как не требуется задействовать ресурсы системы для запуска каждой отдельной службы и библиотеки.

Однако один процесс SVCHOST.EXE может не справляться со всем объёмом задач, поэтому система запускает их несколько штук. Один всегда по умолчанию запускается вместе с операционной системой, а остальные подключаются по мере необходимости. Каждый процесс SVCHOST.EXE является, по сути, объединением сразу нескольких служб/библиотек. В теории количество запускаемых процессов SVCHOST.EXE ничем не ограничивается, но на практике операционная система не даёт запустить их в таком количестве, чтобы они потребляли слишком много ресурсов ПК. Ограничением в данном случае являются лишь характеристики вашего компьютера.

Где находится файл процесса SVCHOST.EXE

Несмотря на то, что в «Диспетчере задач» может присутствовать много процессов, носящих название SVCHOST.EXE, они все «связаны» только с одним файлом. Узнать расположение данного файла можно по следующей инструкции:

1. В «Диспетчере задач» найдите процесс SVCHOST.EXE. Нажмите по нему правой кнопкой мыши. Можно использовать любой попавшийся процесс.



2. Из открывшегося контекстного меню выберите пункт «Открыть место хранения файла».
3. У вас должен открыться проводник в системной папке, расположенной по адресу: C:WindowsSystem32. Иногда могут открываться папки со следующим адресами:
   • C:WindowsPrefetch;
   • C:Windowswinsxs.

   

Если у вас откроется какая-то другая папка, значит на компьютере есть вирусное ПО, которое пытается маскироваться под файл SVCHOST.EXE. Процесс, созданный системой, не может вести в какую-то другую папку.

Что делать, если SVCHOST.EXE нагружает систему

Если вы столкнулись с ситуацией, когда процессы SVCHOST.EXE суммарно создают очень высокую нагрузку на оперативную память и процессор компьютера, то причины будут в следующем:

• Вирусный файл запустил свой процесс с именем SVCHOST.EXE;
• В работе операционной системы произошёл сбой;
• В работе центра обновления Windows произошёл какой-то сбой или какое-то обновление ожидает установки;
• Вы одновременно открыли сразу несколько ресурсоёмких служб.

В случае со сбоем в работе операционной системы или центра обновлений часто помогает простая перезагрузка компьютера. Если же вы открыли много ресурсоёмких служб, то вы можете их просто закрыть или перезагрузить компьютер, чтобы они закрылись сами. Но вот с вирусами ситуация уже будет сложнее.

SVCHOST.EXE, созданный вирусом

При подозрении на то, что какой-то из процессов SVCHOST.EXE может оказаться вирусным агентом, рекомендуется провести следующие мероприятия:

1. В первую очередь постарайтесь выявить подозрительные процессы с названием SVCHOST.EXE. Это можно сделать, обратив внимание на процент нагрузки на элементы системы. У обычного процесса загруженность ЦП не должна превышать 50%. Также обратите внимание на имена, которые присвоены процессу в графе «Пользователи». Там могут быть только следующие варианты:
   • Network Service;
   • SYSTEM («система»);
   • Local Service.

   

2. У подозрительных процессов нужно проверить их расположение. В данном случае проще будет использовать раздел «Свойства». Кликните правой кнопкой мыши по нужному процессу и выберите этот вариант из контекстного меню.
3. В окошке «Свойства» обратите внимание, чтобы в строке «Расположение» стоял один из прописанных выше путей.
4. Правда, если в свойствах прописана «безопасная» директория, то это не даёт ещё никаких гарантий. Лучше перейти по этому пути и удостовериться, что там находится именно файл SVCHOST.EXE. Часто бывает, что вирус пытается обмануть пользователя, внося некоторые изменения в название файла, например: «SVCHOST32.EXE», «SVCHOST86.EXE», «SVCHOST64.EXE», использование кириллических символов «С» и «Н» в названии, использование «0» вместо «O».
5. Если вы смогли обнаружить вирусного агента, то для начала выполните завершение процесса. Выделите потенциально опасный процесс и нажмите по нему левой кнопкой мыши. Из контекстного меню выберите вариант «Завершить процесс».
6. Запустится окошко, в котором нужно будет подтвердить свои действия.
7. Теперь удалите все подозрительные файлы, которые ранее запускали фальшивый процесс SVCHOST.EXE.

На этом чистка компьютера от вируса не заканчивается. После выполнения описанных процедур рекомендуется провести сканирование с помощью антивирусных программ. Если их нет, то воспользуйтесь обычным Защитником Windows.

1. Запустите его. Легче всего это выполнить через поисковую строку по системе в Windows 10, которые вызывается комбинацией клавиш Win+S или нажатием на иконку лупы. В неё прописывайте наименование искомого объекта.
2. Далее нажмите по надписи «Параметры сканирования».



3. Отметьте пункт «Полное сканирование» и нажмите «Выполнить сканирование сейчас».



4. Процесс сканирования будет продолжаться несколько часов. В это время лучше не пользоваться компьютером вообще, так как нагрузка на систему со стороны антивируса высокая и, дабы избежать возможных проблем, лучше не увеличивать её.
5. По завершению сканирования удалите или добавьте в карантин все обнаруженные угрозы. Это можно сделать с помощью соответствующих кнопок.

Теперь вы узнали, что это за процесс SVCHOST.EXE и за что он отвечает в операционной системе Windows. Также теперь вы знаете, какие действия предпринять, если под этот процесс начал маскироваться какой-нибудь вирус.

 

Почему ЦП грузится до 100%

Всегда можно сказать: «Система грузит на 100% железо, потому что оно слабое». С этим, конечно, не поспоришь, но файл «svhost» может нагружать даже мощные процессоры, хотя и в краткосрочной перспективе. Обычно это связано с тем, что:

1. Исполняется временно стандартная процедура (если нагрузка появляется и исчезает) – сканирование содержимого накопителя (в том числе системный раздел, который подгружает кроме ЦП еще и память), обновление системы (грузит ЦП и память) и прочее. Если лаги компьютера наблюдаются временные, следует переждать, пока система доделает начатые дела. Дополнительных действий не требуется.
2. Одна из служб дала сбой и работает не в штатном режиме, при этом нагружая систему попеременно или постоянно. Причин может быть уйма. Наиболее частые – конфликтные драйвера. В данном случае можно постараться узнать, что это за служба. Как это сделать? – читайте ниже!
3. Жесткий диск посыпался или же словил много бэдов. В этом случае поможет проверка винчестера программой «Victoria» на битые сектора и бэд треки.
4. Вирусное программное обеспечение замаскировало свою деятельность под процесс local Это бывает редко, но все же бывает. Таким способом обращается вирус к svchost.exe и нагружает ЦП. Обнаружить вредоносный код позволяет хороший антивирус. Если под рукой нет такого – выручит запуск Windows в безопасном режиме. Благодаря минимальному набору загружаемых в ОС компонентов можно проверить, есть ли такая сильная нагрузка на ЦП или нет. Если отсутствует – ищите «зловреда» среди установленного ПО, с подозрительной активностью.

Поскольку самым распространенным вариантом полноценной нагрузки на ядра ЦП является неверная работа какой-либо службы файла «svchost», нужно выяснить, что это за process, за что он отвечает и реально ли его перезапустить.

Способ определения процессов

Хотя командная строка, это наше все, и с помощью команды:

tasklist /svc /fi “imagename eq svchost.exe

Можно:

• Узнать краткое имя процесса.
• Определить его ID и сопоставить с тем, что показывает 100% загрузку в диспетчере задач.
• Определить исполняемую службу путем прокликивания команд в «Службах».
• Пустить в «reload» или остановить его, сняв колоссальную загрузку ЦП.

Но можно пойти более кратким путем и загрузить утилиту, в которой уже содержится вся нужная информация. Называется утилита «Process Explorer», а загрузить ее можно с сайта Майкрософт.

Скачав и запустив программное обеспечение (для x64 операционных систем из архива лучше запускать версию procexp64) можно увидеть список всех процессов системы, например: smssvhost, sihost и развернутое дерево svchost и другие.

Наведя курсор мыши на тот процесс, который сильно грузит систему, можно выудить необходимые сведения.

Нажав правой кнопкой на него в программе, можно:

• Kill Process – отключить процесс (может отключиться или перезапуститься).
• Kill Process Tree – завершить дерево процессов (поможет, если тот связан с другими и не может быть отключен в одиночку / или работать без остальных).
• Restart – перезапуск (иногда срабатывает и больше не нагружает систему).
• Suspend – поставить на паузу, не выключая (редко срабатывает).

Поэкспериментируйте с выключением (kill). Хуже синего экрана, который устраняется перезагрузкой системы словить ничего не сможете (система не разрешит).

Решение и ускорение

Для чистоты эксперимента, можете сравнить загружаемые в безопасном режиме процессы (с минимальным количеством подтягиваемых драйверов) и их влияние на процессор. Если же и в безопасном режиме проблема будет наблюдаться, останется несколько вариантов:

• Смотрим инструкцию по устранению нагрузки именно из-за этого файла – по этой ссылке.
• Комплексные меры по очистке и ускорению системы. Читаем инструкции: Windows 7 и Windows 10.
• Переустановите Windows (можете поставить версию попроще) – самый крайний случай.
• Меняйте компоненты системы (характерно для компьютеров с устаревшим и слабым по сегодняшним меркам железом).

Как определить, вирус ли этот процесс?

Если «зловред» снова начал маскироваться под основной системный процесс, определить вирус svchost.exe или нет помогут такие сведения:

1. Исполняемый файл размещен вне системных каталогов «system32» или «SysWOW64». Расположение легко проверить в диспетчере задач, нажатием ПКМ и выбором опции «Открыть расположение файла».

2. Если исполняемый файл был обнаружен в конечных каталогах: Prefetch, WinSxS, ServicePackFiles – это не зловред, однако одновременно запущенных из этих каталогов процессов не должно быть.
3. В Windows 7 такие системные процессы никогда не запускаются от пользовательской учетной записи. В Windows 10 «sihost.exe» и некоторые другие, являющиеся частью этого каскада процессов, запускается от профиля пользователя.

4. Сетевое подключение доступно при загрузке ОС, но потом резко пропадает, браузер не может открыть любые страницы в интернете, а кроме загруженности ЦП, диска, еще наблюдается активное перекачивание сетевого трафика в графе «Ethernet» или «Wi-Fi».

5. На компьютере со всех уголков полезла реклама (обычно в браузерах, на всех сайтах), перекидывает на те ресурсы, которые не открывал нарочно, компьютер периодически подтормаживает.

Если такое происходит, с помощью выше установленной программы на выявленном процессе используйте опцию «Check Virus Total».

Если на уровень выше процесса находится еще один процесс, его тоже следует просканировать на вредоносный код. При обнаружении проблем, программа сообщит об этом и даст совет, что делать далее.

Совет в целом прост – если это вирус, установите антивирусное ПО, позволяющее убрать его. Берите на вооружение «Kaspersky» или более «тяжеловесный» Avast. Хотя не факт, что загруженная система разрешит поставить его, сохранив вашу нервную систему в целости и сохранности. Вероятно, что вредоносное ПО может использовать в своих корыстных целях загружаемый систему файл, а сам находиться в совершенно другом месте.

Как удалить вирус, замаскированный под процесс svchost.exe

Запустите «Диспетчер задач» (с помощью комбинации клавиш Control+Atl+Delete или из меню Пуск > Программы > Стандартные > Служебные) и откройте вкладку «Процессы». В первой колонке вы увидите названия процессов, а во второй — указание, от чьего имени он был запущен. Так вот, обратите внимание на то, что svchost.exe может запускаться только от имени пользователей LOCAL SERVICE, SYSTEM (или «система»), а также NETWORK SERVICE.

Если вы заметили, что процесс запущен от имени вашего пользователя (например, от имени User), то перед вами — вирус. Так как настоящий svchost.exe может запускаться только системными службами, то он не может находиться в «Автозагрузке» текущего пользователя Windows. Поэтому именно там мы и попробуем найти вирус, замаскированный под системный процесс svchost.exe. Попасть в Автозагрузку можно двумя способами: через стороннюю программу, например, CCleaner или стандартными средствами Windows.

Для того, чтобы попасть в Автозагрузку без установки дополнительных программ, откройте Пуск и в строке поиска программ (в Windows XP — в Пуск > Выполнить) напишите msconfig, после чего нажмите ОК. Появится окно «Конфигурация системы». Перейдите на вкладку Автозагрузка и внимательно просмотрите список программ, запускаемых при загрузке системы. Если в этом списке вы обнаружите процесс svchost.exe, то можете не сомневаться в его вирусном происхождении.

Настоящий svchost.exe может быть запущен только из папки C:WINDOWSsystem32, где «C» — диск, на котором установлена Windows. (В 64-битной операционной системе 32-битная версия svchost.exe расположена в папке C:WINDOWSSysWOW64, и теоретически процесс может быть запущен также из неё. Однако по умолчанию все системные процессы, включая svchost.exe, в 64-разрядных Windows запускаются из C:WINDOWSsystem32.) На скриншоте выше видно, файл расположен в папке WINDOWS, да ещё и называется «svhost.exe», а не «svchost.exe», что прямо говорит о его вирусном происхождении.

Список самых излюбленных папок для маскировки вируса выглядит примерно так:

C:WINDOWSsvchost.exe
C:WINDOWSconfigsvchost.exe
C:WINDOWSdriverssvchost.exe
C:WINDOWSsystemsvchost.exe
C:WINDOWSsistemsvchost.exe
C:WINDOWSwindowssvchost.exe
C:Usersимя-вашего-пользователяsvchost.exe

Файл вирусного процесса может не только находится в одной из перечисленных выше папок (а не в стандартной папке, где находится настоящий svchost.exe), но и называться по-другому:

svhost.exe
svch0st.exe
svchost32.exe
svchosts.exe
syshost.exe
svchosl.exe
svchos1.exe

…И так далее, — фантазия вирусописателей не знает границ :-).

Итак, вы нашли вирус svchost.exe в Автозагрузке. Первое, что нужно сделать — отключить его автозапуск, убрав галку напротив него в столбце «Элемент автозагрузки». Теперь нужно завершить его процесс через «Диспетчер задач» (правая кнопка мыши на процессе > Завершить процесс) и удалить сам файл. Полный путь к файлу, как и на скриншоте выше, всегда указан в столбце «Команда». Вполне возможно, что файл процесса не даст себя удалить, — в этом случае попробуйте сначала перезагрузить компьютер и повторить операцию, или воспользуйтесь программой для удаления подобных, «неудаляемых» файлов Unlocker.

После этого не лишним будет также провести антивирусную проверку компьютера. Если на вашем компьютере до сих пор не установлен антивирус, рекомендуем ознакомиться с нашей статьей о выборе бесплатного антивируса.

Вирусов в системе нет, но svchost.exe всё равно «грузит» компьютер?

Вы нашли и обезвредили все вирусы в системе или убедились, что вирусов на компьютере нет, а svchost.exe по-прежнему мешает работать? Попробуйте выяснить, какая программа или служба использует данный процесс. Это легко сделать с помощью простой бесплатной программы Process Explorer. Очень часто процесс svchost.exe использует служба Windows Update, автоматически устанавливающая обновления на компьютер:

В данном случае можно либо подождать, когда все обновления Windows будут загружены и установлены, либо временно отключить автоматическое обновление Windows. Это можно сделать через Панель управления в разделе Система и безопасность > Центр обновления Windows, открыв Настройки параметров (в боковом меню окна) и выбрав в выпадающем списке пункт Не проверять наличие обновлений:

Если отключение автоматического обновления не помогло, то точно также можно проверить все остальные службы Windows. Остановить или отключить любую службу Windows можно через оснастку «Службы». Попасть в неё легко: нажмите Пуск > кликните на Компьютер правой кнопкой мыши, в раскрывшемся меню выберете Управление > перейдите в Службы и приложения > Службы. Выбрав искомую службу, кликните на неё правой кнопкой мыши и выберите Остановить. Если нагрузку на компьютер создавала именно она, то после остановки службы процесс svchost.exe перестанет загружать ваш компьютер на 100%.

Заключение

В этом материале мы довольно обширно рассмотрели проблему, связанную с сильной загрузкой процессора из-за процесса Svchost.exe. Исходя из этого, наши читатели наверняка смогут решить эту проблему и обеспечить нормальную работу компьютера.

Источники:

• https://nastroyvse.ru/opersys/win/svchost-exe-chto-eto-za-process.html
• https://public-pc.com/chto-takoe-svchost-v-avtozagruzke/
• https://FB.ru/article/141575/svchost-exe—chto-eto-za-protsess-i-pochemu-on-inogda-gruzit-sistemu
• https://lumpics.ru/what-is-svchost-exe-in-task-manager/
• https://public-pc.com/proczess-svchost-exe-za-chto-otvechaet/
• https://WiFiGid.ru/raznye-sovety-dlya-windows/svchost
• http://www.com-service.su/useful/articles/2013-11-windows-process-svchost-exe
• https://UstanovkaOS.ru/reshenie-problem/svchost-exe-gruzit-processor-windows-7.html