Svchost.exe грузит память Windows 7: 100% решение за 2 минуты

В статье рассказывается о том, по каким причинам процесс svhost.exe может привести к сбоям в работе системы, и что нужно делать для устранения проблемы.

Что такое процесс svchost.exe?

    Практически, каждый пользователь Windows, неоднократно наблюдал в списке отображаемых диспетчером задач, несколько процессов с именем svchost.exe. Для разных версий Windows и в зависимости от установленных компонентов системы, количество таких процессов может составлять от нескольких штук до нескольких десятков. При чем, это вполне нормальное явление, поскольку svchost.exe – это главный процесс ( Host process) для системных служб (сервисов), загружаемых из динамических библиотек (файлов .dll). Для запуска таких служб используется один и тот же исполняемый файл svchost.exe, размещенный в системном каталоге Windowssystem32, но ему передаются разные параметры командной строки, для каждой конкретной службы – свои. Например, для запуска службы Удаленный вызов процедур (RPC) используется командная строка:

C:Windowssystem32svchost.exe -k RPCSS

Такой способ запуска системных служб вполне оправдан, поскольку позволяет существенно уменьшить затраты оперативной памяти и ресурсов процессора. Все копии svchost.exe запускаются системным процессом services.exe (родительским процессом) в ходе начальной загрузки, инициализации системы и при необходимости, в ходе выполнения запросов пользовательских или системных задач. Таким образом, каждый процесс svchost.exe – это одна из системных служб Windows, например, ”Клиент групповой политики” или ”Система событий COM+”

Параметры вызова исполняемого файла svchost.exe для конкретных системных служб определяются значениями в ключе реестра

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesимя службы

Запись для службы, запускаемой svchost.exe в реестре Windows.

Параметр ImagePath задает командную строку для данной службы или группы служб. Имя библиотеки, которая используется для данной службы, определяется параметром ServiceDll подраздела Parameters

Запись параметров службы в реестре Windows.

Перечень всех служб, запускаемых с использованием svchost.exe и их объединение в группы определяется содержимым ключа реестра

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost

Перечень служб, запускаемых svchost.exe.

Так, например, в группу DcomLaunch входят 3 службы:

Power – Питание

PlugPlay – Plug-and-Play

DcomLaunch – Модуль запуска процессов DCOM-сервера

Каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов, относящихся к группе.

    Некоторые компьютерные вирусы нередко маскируются под процессы с именем svchost.exe, поскольку так проще замаскировать их присутствие в зараженной систем среди прочих легальных процессов с таким же именем. Однако, такие ложные svchost.exe имеют некоторые принципиальные отличия, позволяющие довольно легко обнаружить и обезвредить вредоносную программу:

– исполняемый файл имеет путь отличный от Windowssystem32. Такой способ используют вирусы Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn.- Процесс svchost выполняется в контексте учетной записи пользователя. Настоящий процесс svchost.exe является системной службой и всегда выполняется в контексте системных учетных записей ”Система” (”Локальная системная учетная запись”, SYSTEM, LOCAL SERVICE) или в контексте сетевых служб (NETWORK, NETWORK SERVICE). Соответственно, легальный исполняемый файл svchost.exe запускается только как системная служба, а не прикладная программа. Вполне очевидно, что запуск легальной службы никогда не обеспечивается способами, применимыми для прикладного программного обеспечения (ПО), например, с использованием записей раздела Run реестра или из папки Автозагрузка.

Следует отметить, что существует возможность создания вредоносной программой собственной службы, использующей для запуска настоящий svchost.exe, но выполняющей вредоносные действия через внедрение собственной библиотеки .dll. Как, например, как это делает вирус Conficker (Kido). Подобный прием нередко использовался во времена Windows XP/2000, но в современных версиях Windows реализовать данный способ заражения системы становится все сложнее и сложнее. Как правило, признаком такого вирусного заражения является использование файла .dll, расположенного не в каталоге WidowsSystem32, отсутствие цифровой подписи разработчика, а также адекватного описания поддельной службы.

Реализация

Его исполняемый образ «%SystemRoot%»/»System32″/»Svchost.exe» или «%SystemRoot%»/»SysWOW64 «/»Svchost.exe» (для 32-разрядных служб, работающих в 64-разрядных системах) выполняется в нескольких экземплярах, каждый из которых размещает одну или несколько служб.

Расположение системного файла «Svchost»

Расположение системного файла «Svchost»

Службы, запущенные в Svchost, реализованы как динамически связанные библиотеки (DLL). Ключ реестра такой службы должен иметь значение с именем ServiceDll в разделе «Параметры», указывая на DLL-файл соответствующей службы. Их определение ImagePath имеет вид «%SystemRoot%»/»System32″/»Svchost.exe -k». Сервисы, совместно использующие один и тот же процесс Svchost, указывают один и тот же параметр, имеющий одну запись в базе данных SCM.

В первый раз, когда процесс Svchost запускается с определенным параметром, он ищет значение с тем же именем в ключе «HKLM»-«SOFTWARE»-«Microsoft»-«Windows NT «-«CurrentVersion»-«Svchost», которое оно интерпретирует как список имен служб. Затем он уведомляет SCM о всех сервисах, которые он размещает. SCM не запускает второй процесс Svchost для любой из полученных служб: вместо этого он просто отправляет команду «начать» соответствующему процессу Svchost, содержащему имя службы, которое должно быть запущено в его контексте.

Процесс Svchost запускается с определенным параметром, он ищет значение с тем же именем в ключе «HKLM»-«SOFTWARE»-«Microsoft»-«Windows NT»-«CurrentVersion»-«Svchost»

Процесс Svchost запускается с определенным параметром, он ищет значение с тем же именем в ключе «HKLM»-«SOFTWARE»-«Microsoft»-«Windows NT»-«CurrentVersion»-«Svchost»

Согласно презентации MS 2003, минимальный рабочий набор общей службы составляет приблизительно 150 КБ против 800 КБ для автономного процесса.

Service tags

Начиная с Windows Vista, внутренняя идентификация сервисов внутри общих процессов (включая svchost) достигается с помощью так называемых Service tags. Service tags для каждого потока хранится в SubProcessTag его блока среды потока (TEB). Service tag распространяется по всем потокам, которые затем запускают основной поток службы, за исключением потоков, созданных косвенно API-интерфейсами потоков Windows. Набор процедур управления Service tags в настоящее время является не документированным API, хотя он используется некоторыми утилитами Windows, такими как netstat, для отображения TCP-соединений, связанных с каждой службой. Некоторые сторонние инструменты, такие как ScTagQuery, также используют этот API.

Svchost.exe (netsvcs)

Netsvcs - подпроцесс, используемый svchost.exe

Netsvcs — подпроцесс, используемый svchost.exe

Netsvcs — это подпроцесс, используемый svchost.exe (netsvcs). Если и когда происходит утечка памяти, svchost.exe начинает сильно нагружать CPU. Эта проблема возникает из-за утечки дескриптора в службе Winmgmt после установки Windows Management Framework 3.0 на компьютере. Служба Winmgmt является службой инструментария управления Windows (WMI) в процессе svchost.exe, которая выполняется под учетной записью LocalSystem.

Что это за процесс Узел службы (svchost.exe)?

Компания Microsoft дает такой ответ:

Svchost.exe является именем процесса хоста для служб, которые запускаются из библиотек динамической компоновки.

Думаю, это совершенно не отвечает на наш вопрос. Компания Microsoft старается уйти от использования Exe файлов для внутренних служб Windows, заменяя их DLL файлами. Этот подход делает систему более гибкой и позволяет любым элементам системы получать доступ к общим функциям. Использование DLL файлов облегчает поддержку и внесение изменений в систему.

Однако DLL файлы не являются исполняемыми и не могут быть непосредственно запущены в системе Windows. Для выполнения системных задач оболочка запускает файл Узел службы (svchost.exe), который в свою очередь загружает необходимую библиотеку и использует нужные функции. Так и появился этот служебный файл.

Зачем нужен «svchost» и что влияет на его работу

Сам по себе «svchost» не является угрозой или лишним придатком системы. Наоборот, это полезный компонент, который запускает службы Windows и увеличивает производительность компьютера в целом. Он же выступает «узким местом» системы, так как на его работу могут влиять такие факторы:

  • сбой службы или программы;
  • заражение вирусом;
  • глюки при обновлении ОС;
  • «корявость» сборки пиратского дистрибутива Windows.

Важно! Кратковременная загрузка процессора svchost’ом не всегда является неисправностью или глюком, так как некоторые программы обращаются к этой службе. Советуем перезагрузить компьютер и убедиться, что проблема не исчезла.

Ниже мы рассмотрим варианты решения проблемы с svchost.exe по традиционной для нас схеме: от простых способов — к сложным.

Что такое svchost?

Svchost представляет собой совокупность процессов, которые обеспечивают нормальное функционирование основных подсистем Windows. Он позволяет снизить нагрузку на оперативную память и способствует экономии ресурсов устройства.

Сбои в работе svchost могут спровоцировать разлад внутри системы.

Зараженный файл svchost

Почему в «Диспетчере задач» видно слишком много одноименных процессов?

Но основная служба старта в том же «Диспетчере задач» не отображается. В нем можно увидеть как раз только одноименные процессы Svchost, которых в обычном состоянии бездействия может быть порядка четырех, а при наличии работающих программ – и более того.

Таким образом, если Svchost грузит процессор и память, Windows 7 попросту в данный момент обрабатывает слишком много активных фоновых (системных) и пользовательских приложений. А ведь многие из них могут быть достаточно ресурсоемкими (возьмите хотя бы AutoCAD или программы для обработки видео в реальном времени). В таких ситуациях обычно в Windows 7 Svchost грузит процессор на 50% (может, несколько больше). Если же замечены пиковые нагрузки, когда операционная система зависает и перестает реагировать на какие бы то ни было действия пользователя, придется выяснять причины того, почему это происходит.

Почему запущено так много процессов Узел службы (svchost.exe)?

ОС Windows использует множество системных сервисов для самых различных задач: автоматическое обновление, оптимизация дискового пространства, работа локальной сети, индексирование данных для поиска и т.д. Для каждой службы намеренно используется отдельно запущенный процесс, так как в противном случае сбой в одном из процессов приведет к краху всех остальных функций системы. Именно поэтому они отделены друг от друга.

Службы разбиты на отдельные группы, которые связаны между собой логически. Для каждой такой группы используется один запущенный процесс svchost.exe. Например, один процесс Узел службы запускает три службы, связанные с брандмауэром. Другой процесс может запускать все службы, связанные с пользовательским интерфейсом, и так далее. На изображении ниже видно, что один процесс Узел службы запускает несколько связанных сервисов защиты, а другой запускает службу авто настройки WLAN.

Как понять, что проблема в «svchost»

Чтобы наверняка убедиться в наличии проблемы, нажимаем и удерживаем клавиши «Ctrl + Alt + Delete» клавиатуры. На экране выбираем «Запустить диспетчер задач». Заходим в «Процессы» и ищем нашу службу.

Как видно на скриншоте выше, svchost.exe потребляет много ресурсов в простое, а также грузит оперативную память.

Теперь перейдем к активным действиям.

ШАГ 3: Отключение обновление

Службу мы отключили, но, чтобы полностью отключить обновление, нужно выполнить ещё дополнительные действия. Ещё раз повторюсь, что поддержка Windows 7 прекратилась, поэтому данную функцию можно полностью деактивировать.

Проходим по пути: «Пуск» – «Панель управления» – «Центр обновления Windows».

Svchost.exe грузит оперативную память в Windows 7 или 10: 7 шагов до быстрого компьютера

Слева в меню выбираем «Настройку параметров».

Svchost.exe грузит оперативную память в Windows 7 или 10: 7 шагов до быстрого компьютера

Ставим режим «Не проверять наличие обновление», а также выключаем две галочки снизу. Нажимаем «ОК».

Svchost.exe грузит оперативную память в Windows 7 или 10: 7 шагов до быстрого компьютера

Боремся с вирусами и майнерами

Если компьютер внезапно начал тормозить и самовольно использовать интернет-трафик, то это верный признак деятельности вредоносной программы. Этот факт может подтверждаться появлением назойливой рекламы и автоматической установкой неизвестного вам софта. В диспетчере задач вирусный svchost.exe обычно запущен от имени пользователя (Win 7) или имеет небольшие изменения в названии, как на примере ниже.

В свете последних событий отдельную популярность приобрели «майнеры» — вирусные программы для добычи криптовалюты, использующие интернет-подключение и вычислительную мощность зараженного ПК. Такое паразитирующее ПО не повреждает систему, но эксплуатирует ее на износ в пользу разработчика.

Если опасения подтвердились, то:

  1. Открываем браузер и переходим по ссылке https://free.drweb.ru/cureit, где выбираем «Скачать» утилиту «Dr.Web CureIt!».

  1. Запускаем скачанную утилиту двойным кликом. Соглашаемся с условиями разработчика и жмем «Далее».

  1. Выбираем команду «Начать проверку» и ждем ее окончания.

Для экономии времени можно отметить для проверки только системный диск. Для этого кликаем по «Выбрать объекты для проверки» и «Щелкните для выбора файлов и папок».

Отмечаем системный диск (по умолчанию «С:») и подтверждаем «ОК».

  1. По окончании поиска CureIt! предложит удалить (предпочтительно), перенести в карантин или вылечить зараженные файлы.

На этом охота на вирусы завершена. Перезагрузите свой компьютер и убедитесь, что «svchost» больше не грузит систему Windows, а его сомнительные копии больше не отображаются.

Если это не помогло — ищем причину дальше.

Как определить системную службу, связанную с конкретным процессом svchost.exe.

Иногда, требуется определить, какая именно служба соответствует конкретному процессу scvhost.exe, например, когда этот процесс потребляет значительные ресурсы центрального процессора:

Процесс svchost.exe потребляет 50% ресурсов CPU.

В данном примере, процесс svchost.exe потребляет 50% ресурсов процессора. Это ненормально, и внешне может проявляться в виде снижения общей производительности, подвисаний (лагов), скачкообразного перемещения указателя мыши и т.п. Поскольку системные процессы имеют более высокий приоритет по сравнению с пользовательскими, они и потребляют ресурсы системы в первую очередь, что снижает реальную производительность программ, выполняемых в контексте учетных записей пользователей.

Для поиска причин чрезмерного потребления ресурсов системы конкретным экземпляром svchost.exe, в первую очередь необходимо определить, действительно ли данный процесс является системным ( не вирусом), и с какой именно службой он связан. Существует несколько способов, применимость которых зависит от возможностей конкретной версии Windows .

Использование утилиты командной строки tasklist.exe

Для получения списка выполняющихся служб в любой версии Windows можно использовать команду:

tasklist /svc

tasklist /svc > %TEMP%svclist.txt – то же, что и в предыдущем примере, но с выдачей результатов в текстовый файл. Результат будет представлен в DOS-кодировке, и для просмотра его кириллической составляющей стандартными средствами Windows, потребуется перекодировка, или редактор с поддержкой кодовой страницы CP866 (DOS), как например, Notepad++ или встроенный редактор Far Manager.

notepad++ %TEMP%svclist.txt – открыть созданный файл со списком сервисов.

Пример отображаемой информации:

Имя образа PID Службы ========================= ======== ============================================System Idle Process 0 Н/Д System 4 Н/Д smss.exe 492 Н/Д csrss.exe 668 Н/Д wininit.exe 748 Н/Д csrss.exe 764 Н/Д services.exe 816 Н/Д lsass.exe 832 KeyIso, SamSs lsm.exe 840 Н/Д winlogon.exe 892 Н/Д svchost.exe 984 DcomLaunch, PlugPlay, Power svchost.exe 600 RpcEptMapper, RpcSs cmdagent.exe 744 CmdAgent svchost.exe 1040 CryptSvc, Dnscache, LanmanWorkstation, NlaSvc, TermService atiesrxx.exe 1096 AMD External Events Utility svchost.exe 1132 AudioSrv, Dhcp, eventlog, HomeGroupProvider, lmhosts, wscsvc svchost.exe 1176 AudioEndpointBuilder, CscService, HomeGroupListener, Netman, PcaSvc, TrkWks, UmRdpService, UxSms, Wlansvc, wudfsvc svchost.exe 1236 EventSystem, fdPHost, FontCache, netprofm, nsi, WdiServiceHost svchost.exe 1288 AeLookupSvc, BITS, Browser, CertPropSvc, EapHost, gpsvc, IKEEXT, iphlpsvc, LanmanServer, ProfSvc, Schedule, SENS, SessionEnv, ShellHWDetection, Themes, Winmgmt . . .Отображается имя образа (исполняемого файла), уникальный идентификатор процесса PID и краткое название службы. Так, например, процесс svchost.exe с идентификатором 984 имеет отношение к службам с короткими именами DcomLaunch, PlugPlay, Power. Для получения подробной информации о службе, в том числе и ее выводимое имя можно использовать команду управления службами SC:

sc qc power – отобразить конфигурацию о службе Power

Пример отображаемой информации:

Имя_службы: power Тип : 20 WIN32_SHARE_PROCESS Тип_запуска : 2 AUTO_START Управление_ошибками : 1 NORMAL Имя_двоичного_файла : C:Windowssystem32svchost.exe -k DcomLaunch Группа_запуска : Plugplay Тег : 0 Выводимое_имя : Питание Зависимости : Начальное_имя_службы : LocalSystem

В графическом интерфейсе пользователя, сведения о службе можно получить с использованием оснастки “Службы” консоли управления Microsoft (комбинация клавиш Win+R и выполнить services.msc), или через меню Панель управления – Администрирование – Службы

Свойства службы, выполняемой через svchost.exe

Использование Диспетчера задач Windows (taskmgr.exe)

Стандартные диспетчеры задач отличаются по своим возможностям в зависимости от версии Windows. Так, например диспетчер задач Windows XP не имеет собственных средств по сопоставлению имени процесса с именем системной службы, а диспетчер задач Windows 10 позволяет это сделать с использованием контекстного меню, вызываемого правой кнопкой мышки:

Список процессов и контекстное меню диспетчера задач Windows 10.

При выборе пункта Перейти к службам откроется окно со списком служб, в котором будут подсвечены службы, связанные с выбранным процессом svchost.exe

Список служб, связанных с процессом svchost.exe  Windows 10.

При необходимости, можно нажать на ссылку Открыть службыв нижней части экрана, и, непосредственно из диспетчера задач, открыть список системных служб (оснастку консоли управления Windows services.msc). Диспетчеры задач Windows Vista – Windows 8.1 менее информативны и обладают меньшей функциональностью, но также позволяют выполнять переход от выбранного процесса к связанным с ним службам.

Использование Process Explorer (procexp.exe) из пакета Sysinternals Suite

Утилита Process Explorer не входит в состав стандартных дистрибутивов Windows и может быть загружена с сайта Microsoft либо в составе пакета Sysinternals Suite, либо как отдельный программный продукт – Страница загрузки Process Explorer

Программа не требует установки, достаточно разархивировать загруженный пакет и запустить исполняемый файл procexp.exe. Возможности Process Explorer настолько обширны, что даже для их перечисления потребуется отдельная немаленькая статья. А для получения сведений о процессе достаточно просто подсветить его указателем мышки:

Список процессов и контекстное меню диспетчера задач.

Более подробную информацию можно получить, открыв свойства процесса двойным щелчком, или через контекстное меню, вызываемое правой кнопкой мышки – Properties. На вкладке Services отображается полный перечень всех служб, связанных с выбранным процессом.

Просмотр свойств процесса в Process Explorer.Для каждой службы выводится короткое и отображаемое имя, путь и имя используемой библиотеки dll, а также, при выборе конкретной службы, – ее краткое описание в нижней части окна.

Process – в данной колонке отображается дерево активных процессов и их потомков. Потомок (child) – процесс, созданный другим, родительским (parent) процессом. Любой процесс может быть и потомком, если он создан в ходе выполнения другого процесса, и родителем, если в ходе его выполнения создан другой процесс. Отображение элементов дерева процессов выполняется в соответствии с порядком их запуска в ходе загрузки операционной системы и ее дальнейшего функционирования.

Корнем дерева процессов является уровень System Idle Process . Фактически, это не реальный процесс, а индикатор состояния простоя системы, когда центральный процессор не выполняет каких-либо программ. Следующим элементом дерева представлен уровень System. Этот уровень так же, не является реальным процессом и предназначен для отображения активности системы, связанной с обработкой прерываний, работой системных драйверов, диспетчера сеансов Windows (Session Manager) smss.exe, и csrss.exe (Client – Server Runtime). Элемент Interrupts является уровнем для индикации обработки аппаратных прерываний, элемент DPCs – для индикации обработки отложенных вызовов процедур (Deferred Procedure Calls). Механизм обработки аппаратных прерываний в Windows предполагает как бы двухуровневую обработку. При возникновении запроса на прерывание, сначала, получает управление программа-обработчик аппаратного прерывания, выполняющая лишь самые необходимые критические операции, а остальные действия откладываются до тех пор, пока не появится относительно свободное процессорное время. Тогда эти действия будут выполнены в рамках вызова отложенной процедуры. В многопроцессорных системах каждый процессор имеет свою отдельную очередь отложенных вызовов. Порядок обработки очереди запросов на прерывание и очереди отложенных процедур определяется их приоритетами. Для определения приоритетов используется уровень запроса на прерывание IRQL – программно-аппаратный механизм, применяемый для синхронизации выполнения отдельных процессов в операционных системах семейства Windows. Уровни IRQL аппаратных прерываний задаются программированием регистров контроллера прерываний, а уровни IRQL программного кода операционной системы – реализуются программно.

Степень использования ресурсов уровнем System дерева процессов, отображаемого программой Process Explorer, характеризует занятость операционной системы диспетчеризацией и обработкой прерываний. Высокая степень использования процессора для обработки прерываний может указывать на наличие проблем с оборудованием или некорректно работающий драйвер устройства. Обычно, это сопровождается эффектом заметного снижения общей ”полезной” производительности системы и внешне проявляется в виде “тормозов” и ”подвисаний” на пользовательских задачах, например, в скачкообразном перемещении указателя мыши по экрану, медленном открытии страниц в браузере, ”фризы” в играх, увеличении шума от вентиляторов систем охлаждения и т.п.

Остальная часть дерева отображает иерархию реально выполняющихся в Windows процессов. Так, например, приложение служб и контроллеров SERVICES.EXE обеспечивает создание, удаление, запуск и остановку служб (сервисов) операционной системы, что и отображается в списке порождаемых им процессов.

PID – идентификатор процесса PID – уникальное десятичное число, присваиваемое каждому процессу при его создании.

CPU – степень использования центрального процессора.

Private Bytes – объем оперативной памяти, выделенной данному процессу и не разделяемой с другими процессами.

Working Set – рабочий набор процесса, представляющий собой суммарный объем всех страниц используемой им памяти, в данный момент времени. Размер этого набора может изменяться, в зависимости от запросов процесса. Практически все процессы используют разделяемую память.

Description – описание процесса

Company Name – имя компании-разработчика.

Path – путь и имя исполняемого файла.

Verified Signer – признак достоверности цифровой подписи исполняемого файла. Наличие строки “Not verified” говорит о том, что цифровая подпись отсутствует или ее не удалось проверить. Для проверки цифровой подписи нужен доступ в Интернет. Наличие цифровой подписи легального производителя ПО, гарантирует достоверность подписанного ей файла.

Иерархический характер дерева процессов способствует визуальному восприятию родительски-дочерних отношений каждого активного процесса. Нижняя панель дает информацию обо всех DLL, загруженных выделенным в верхней панели процессом, открытых им файлах, папках, разделах и ключах реестра.

При выборе уровня System дерева процессов в нижней панели можно получить информацию обо всех загруженных драйверах системы, их описание, версию, путь исполняемого файла, адрес в оперативной памяти, размер, Кроме того, можно проверить цифровую подпись, а также просмотреть строковые значения в самом исполняемом файле или в оперативной памяти.

При просмотре свойств любого процесса, можно получить очень подробную информацию о ресурсах системы, используемых данным процессом, включая память, процессор, систему ввода-вывода, графическую подсистему и сетевые соединения.

Process Explorer - свойства процесса.

Использование Process Explorer позволяет легко определить дополнительные признаки, которые могут принадлежать вредоносной программе, замаскированной под легальный процесс:

– в пути исполняемого файла присутствует папка для хранения временных файлов (TEMP), или в случае с svchost.exe , путь исполняемого файла отличается от WindowsSystem32, например – ”C:UsersUser1Application DataMicrosoftsvchost.exe”. Такой svchost.exe однозначно является вредоносной программой.

– отсутствует информация о производителе программного обеспечения. В редких случаях это не является настораживающим признаком, но подавляющее большинство разработчиков современного ПО такую информацию предоставляют.

– отсутствует цифровая подпись. Большинство производителей программного обеспечения имеют сертификаты с цифровой подписью для своих программ. Для проверки подписи можно нажать кнопку Verify. Необходим доступ в Интернет. Наличие цифровой подписи у исполняемого файла говорит о том, что он не является поддельной программой.

– отсутствуют поля описания загрузочного образа Version и Time. Хотя эти поля и не обязательно являются признаком легального ПО, их отсутствие можно считать дополнительным настораживающим признаком угрозы.

– имя исполняемого файла соответствует имени реально существующего системного файла Windows, но путь отличается от стандартных WINDOWS, WINDOWSSYSTEM32 или WINDOWSSysWOW64 (для 64-разрядных систем). Это характерно для вирусов, маскирующихся под наиболее часто встречающиеся программные модули – svchost.exe, smss.exe, csrss.exe, winlogon.exe и т.п. Легальное имя исполняемого файла и нестандартный путь его запуска являются явным признаком вредоносной программы.

– путь исполняемого файла совпадает c WINDOWS или WINDOWSSYSTEM32 , но имя немного отличается от распространенных имен системных файлов – swchoct.exe вместо svchost.exe и т.п. Для современных ОС семейства Windows такой прием вирусного заражения встречается довольно редко, поскольку настройки безопасности современных систем затрудняют реализацию записи данных в системные каталоги.

– исполняемый файл находится в WINDOWS или WINDOWSSYSTEM32, но дата его создания значительно отличается от даты создания остальных системных файлов и приблизительно соответствует предполагаемой дате заражения. Тоже довольно редко встречающийся прием вирусного заражения по той же причине, которая приведена в предыдущем пункте.

Кроме отображения информации о процессах, утилита Process Explorer позволяет убить выбранный процесс или дерево процессов. В ОС Windows XP и более ранних, уничтожение некоторых системных процессов, как например winlogon.exe, может приводить к синему экрану смерти (BSoD), а в более поздних версия Windows – к аварийному завершению сеанса пользователя.

Одним из приемов диагностики вирусного заражения или причин непомерного потребления системных ресурсов является поочередное принудительное их завершение и анализ состояния системы после него. Вместо принудительного завершения можно использовать последовательное изменение приоритетов процессов на минимальное значение. Если после завершения процесса или снижения его приоритета состояние системы стало нормальным (нет ”подвисаний”, лишнего трафика, роста температуры процессора или видеокарты и т.п.), это явно указывает на необходимость пристального внимания к параметрам процесса, его легальности или принадлежности к вредоносному ПО.

Утилита Process Explorer бесплатна, удобна в использовании, может применяться в переносимом варианте и много лет является одним из наиболее популярных инструментов системных администраторов Windows.

Дополнение к статье:

Краткое описание и инструкция по использованию утилиты Process Explorer

Пример использования утилит Process Explorer и Autoruns для обезвреживания вируса-майнера.

Краткое описание и инструкция по использованию утилиты Autoruns

Список команд командной строки с описанием и примерами.

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой “Поделиться”

В начало страницы     |     На главную страницу

ШАГ 4: Чистка программой CCleaner

Это отличная программа, которой я пользуюсь постоянно. Она позволяет удалять лишние и мусорные файлы с компьютера. Для обычного пользователя подойдет «FREE» версия. После установки вам нужно:

  1. Нажимаем на «Стандартную очистку».
  2. Кликаем «Анализ» и после проделанной процедуры нажимаем «Очистка».
  3. Переходим в раздел «Реестр».
  4. Нажимаем «Поиск проблем» и в конце кликаем по кнопке «Исправить выбранное».
  5. Создавать резервные копии не нужно, поэтому выбираем «Нет».
  6. В конце нажимаем «Исправить отмеченные».

Svchost.exe грузит оперативную память в Windows 7 или 10: 7 шагов до быстрого компьютера

Высокое потребление CPU и оперативной памяти процессом svchost.exe

Причины высокого потребление CPU и оперативной памяти процессом svchost.exe

Причины высокого потребление CPU и оперативной памяти процессом svchost.exe

Проблемы с высоким уровнем использования Svchost.exe, в большинстве случаев, происходят на компьютерах, зараженных вирусом или вредоносной программой. В остальных случаях проблемы с высокой степенью загрузки процессора или проблемы с Svchost.exe (netsvcs) могут быть вызваны Центром обновления Windows, полным файлом журнала событий или другими программами и службами, которые запускают множество процессов во время их выполнения.

Читайте практические советы в статье — «Как повысить оперативную память».

Видео — Что делать, если svchost грузит процессор

Восстановление поврежденных файлов Windows

Возможно, причина кроется в изменениях системных файлов, после чего они перестали работать корректно. Проверить это можно через «Командную строку», при вводе команды, позволяющей восстановить образ ОС:

DISM.exe /Online /Cleanup-image /Restorehealth

Когда процесс завершится, нужно ввести следующую, чтобы найти поврежденные файлы в Windows:

sfc /scannow

Обратите внимание! После завершения этих действий потребуется перезагрузить компьютер. При следующем запуске останется открыть диспетчер задач для контрольной проверки.

Prefetch что это за папка можно ли ее удалить?

Наблюдая за запуском приложений, Windows анализирует и сохраняет их в папке Prefetch, находящейся обычно по маршруту C:WindowsPrefetch. Очистка этой папки может значительно снизить потребление оперативной памяти, поскольку сам процесс предзагрузки вызывается svchost.exe и держит данные в RAM для наиболее быстрого к ним доступа. В дальнейшем, все наиболее часто запускаемые программы будут опять кешированы в этой папке.

Проверяем целостность системных файлов

Неполадка, возникшая как следствие повреждения, подмены или изменения защищенных файлов Windows, чаще всего «вылечивается» встроенной в систему утилитой sfc.exe, запущенной в командной строке с параметром /scannow. Утилита выявляет дефектные данные и заменяет их чистыми, взятыми из хранилища WinSxS.

сканирование системы

Обозреватель Интернета

Впрочем, не торопитесь. Во многих случаях виноват бывает Internet Explorer. Помните, как в самом начале статьи мы обсуждали важность svchost для «Проводника»? А ведь «Обозреватель Интернета» является важной составной частью файлового менеджера ОС семейства Windows.

Проблемы с ним очень часто начинаются в том случае, когда версия IE сильно устаревает. К примеру, в самой Microsoft уже очень давно не рекомендовали использовать Windows ХР с шестой версией Internet Explorer.

Соответственно, в этом случае решить проблему достаточно просто. Воспользуйтесь упомянутой выше службой Windows Update. Скачайте и установите все последние обновления для вашей версии операционной системы, установите новую версию IE. Возможно, что эта мера вам поможет.

Другие методы настройки системы

Этот раздел для тех, кому не помог ни один из приведенных нами вариантов. Мы не указали частных случаев по причине их редкости и большого объема действий в них (и количества текста в этой статье). Все, что мы можем ‒ это дать несколько общих советов по настройке и оптимизации системы, после чего вы наверняка избавитесь от проблемы с «svchost».

Некоторые приложения на компьютере пользователя могут быть «бракованными» и потреблять чересчур много ресурсов. Если это важная для работы программа ‒ переустановите ее, скачав дистрибутив с официального сайта разработчика.

Обновите свою систему. Не пренебрегайте Центром обновления Windows и запустите его на время установки новых файлов, после чего можете отключить службу обратно. Драйверы для составных устройств скачивайте только на официальных сайтах производителя. Мы настоятельно не советуем пользоваться различными «мультипаками» и программами для быстрого нахождения и установки драйверов. Да, так дольше и сложнее, но зато без реклам и вирусов.

Проведите чистку ОС, исправление реестра и дефрагментацию винчестера. Это не только поможет вам с «svchost», но и ускорит систему и освободит память на жестком диске. Попробуйте бесплатные версии CCleaner и Defraggler (https://www.ccleaner.com/ru-ru) ‒ они просты в управлении и хорошо справляются со своими задачами.

Обратите внимание на свой антивирус. Отключите его на время и посмотрите на результат. Если это помогло – меняйте старый антивирус на более зарекомендованное защитное ПО.

Рейтинг
( 1 оценка, среднее 5 из 5 )
Загрузка ...