Почему процесс svchost грузит процессор на windows 7
Содержание:
- Что мне делать с этой информацией
- Svchost грузит процессор: решение проблемы для Windows 7, 10 и XP
- Информация о файле svchost.exe
- Svchost не является вирусом, но грузит систему
- Вирусы, маскирующиеся под svchost
- SMSVCHOST.EXE
- Svchost – вирус или нет?
- Как получить инфицированных от этой вредоносной программы?
- Как вычислить вредоносный процесс svchost.exe
- Восстанавливаем нормальную работу процессора с помощью антивируса
- Удаление вируса SVCHOST.EXE
- Процесс svchost.exe и его связи
- Почему так много процессов svchost.exe
Что мне делать с этой информацией
Честно говоря, не много. Во времена Windows XP (и предыдущих версий), когда компьютеры имели гораздо более ограниченные ресурсы и операционные системы не были столь проработаны, остановка «ненужных» служб Windows часто рекомендовалась.
В наши дни, мы не рекомендуем отключать службы. Современные ПК, как правило, имеют много памяти и мощные процессоры. Добавьте к этому тот факт, что способ исполнения служб Windows в современных версиях был упрощен, и отказ от некоторых служб не окажет существенного влияния на производительность.
Если Вы замечаете, что конкретный экземпляр svchost.exe или сопутствующая служба вызывает проблемы, такие как чрезмерная нагрузка процессора и использование оперативной памяти, вы можете проверить конкретную службу.
Это, по крайней мере, даст Вам представление о том, где начать устранение неполадок. Существует несколько способов выяснения, какие именно службы привязан к конкретному экземпляру svchost.exe. Вы можете проверить это в диспетчере задач или через многие сторонние приложения, такие как Process Explorer.
Проверка служб в диспетчере задач
Если вы используете Windows 8 или 10, перейдите на вкладку Процессы в диспетчере задач и добавьте столбец с их полными именами. Если процесс является «хозяином» для нескольких услуг, вы сможете ознакомиться с этими службами просто раскрыв древо процесса. Это позволяет очень легко определить, какие службы относятся к каждому экземпляру процесса svchost.exe.
Вы можете щелкнуть правой кнопкой мыши по любой записи, чтобы остановить службу, посмотреть информацию в окне управления службами или найти информацию в интернете.
Проверка процесса Process Explorer
Process Explorer группирует службы по процессам, то есть раскрыв svchost.exe Вы увидите все связанные службы. Они перечислены по именам файлов, но и их полные имена отображаются также в графе «Описание».
Вы также можете навести указатель мыши на любой из процессов svchost.exe, чтобы увидеть всплывающее окно со всеми связанными службами – даже теми, которые в настоящее время не работают.
Svchost грузит процессор: решение проблемы для Windows 7, 10 и XP
Для Виндовс 7 есть другой вариант устранения. Проводится вручную. Открываем Диспетчер. Из нескольких хостов выбираем самый мощный (тот, который грузит больше). Кликаем ПКМ, «Перейти к службам». Перед нами открывается список служб, которые объединяет наш процесс.
Следующими шагами узнаем, какая из служб в свою очередь нагружает весь процесс. К сожалению, обозначений, которые нам это сказали бы, нет, поэтому вручную отключаем по очереди каждую службу и смотрим, как изменилась работа.
Это займёт много времени, так как неопытный пользователь будет деактивировать нужные функции, после чего придётся перезапускать ПК.
Если нашли нужную службу – желательно прочитать в интернете информацию о ней и варианты правильного отключения. Работает такая инструкция только на Win 7, но те, у кого svchost грузит процессор на XP говорят, что подходит и им. Такого же мнения и юзеры Vista.
Если svchost.exe грузит процессор Windows 10 – попробуйте скачать из официального сайта самые новые обновления.
Также, можете откатить систему на несколько дней назад. Найдите в настройках «восстановление и архивация» и откатитесь до того времени, когда нагрузки не было. Не забывайте, что все изменения в системе будут удалены.
Настраиваем Центр Обновлений Виндовс
Очень часто многие ошибки и неполадки на Виндовс связаны с автообновлением. В настройках есть категория автоматического обновления компонентов. Этот сервис загружает бесполезные и ненужные файлы, вследствие чего svchost.exe грузит процессор. Чтобы отключить, идём в настройки и выбираем «Центр обновления» (Рисунок 4). В левом меню кликаем на «Параметры». Под заголовком «Важные обновления» из списка выбираем последний вариант «Не проверять». Если способ не помог, вернитесь и смените на тот параметр, который был по стандарту. Не все апдейты бесполезные и некоторые из них помогут защитить ОС от тех же вредоносных программ. Если после прочтения у Вас возникли вопросы, рекомендуем ознакомиться с нашей статьей — Как включить центр обновления Windows 10.
Рисунок 4. Окно центра обновления с поиском нового обновления
Оптимизация работы ОС
Если процесс svchost грузит процессор Windows не столь сильно, можно разогнать систему. Следующими действиями мы «почистим» данные процесса:
- В Windows ищем папку Prefetch и удаляем.
- Находим Tasks и также удаляем.
- В диспетчере отключаем все задачи svchost (Рисунок 5).
- Перезагружаем.
Таким образом, мы полностью перезапускаем службы. Проверяем, осталась ли нагрузка.
Рисунок 5. Оптимизация работы ОС путем удаление папки Prefect и отключения задач svchost
Информация о файле svchost.exe
Процесс Host Process for Windows Services или Generic Host Process for Win32 Services или Хост процес за услугите на Windows или SvcHost Service Host или winrscmde или Хост-процесс для служб Window или TJprojMain или Win
принадлежит программе Microsoft Windows Operating System или ??????????? ?????? Microsoft Windows или Средство построения конечных точек Windows Audio или Background Intelligent Transfer Service или Служба сведений о подключенных сетях или Cryptographic Services или DHCP Client или Windows Audio Endpoint Builder или Computer Browser или Application Experience или Human Interface Device Access или DCOM Server Process Launcher или Application Information или Network Connections или Project1
от Microsoft (www.microsoft.com) или JProof или «Ask-Integrator» или Advanced Systems International SAC или Ufasoft (www.ufasoft.com) или LLC «Master-Sintez или HFFcMjEat20pvMXTR или TEPDT.
Описание: svchost.exe — это общее название главного процесса, связанного с системными функциями Windows, которые запускаются из динамически подключаемых библиотек. При запуске svchost.exe проверяет реестр функций, чтобы загрузить и запустить их. Для них нормально, если одновременно запущены несколько из них. Каждая из них представляет собой группу основных функций, работающих на ПК. Не следует путать с scvhost.exe.
Подробный анализ: svchost.exe часто вызывает проблемы и необходим для Windows. Svchost.exe находится в папке C:\Windows\System32.
Известны следующие размеры файла для Windows 10/8/7/XP 20,992 байт (47% всех случаев), 14,336 байт и .
Это файл Windows. Приложение не видно пользователям. Это заслуживающий доверия файл от Microsoft.
Поэтому технический рейтинг надежности 6% опасности.
Рекомендуем: Выявление проблем, связанных с svchost.exe
Как распознать подозрительные процессы?
- Если svchost.exe находится в подпапках «C:\Users\USERNAME», тогда рейтинг надежности 81% опасности. Размер файла 3,580,520 байт (13% всех случаев), 3,772,520 байт и .
Это не файл Windows. У файла нет информации о создателе этого файла. Приложение не видно пользователям.
Svchost.exe способен мониторить приложения. - Если svchost.exe находится в подпапках C:\Windows, тогда рейтинг надежности 50% опасности. Размер файла 20,992 байт (17% всех случаев), 44,520 байт и .
У процесса нет видимого окна. Это не системный файл Windows. Нет более детального описания программы. Находится в папке Windows, но это не файл ядра Windows.
Svchost.exe способен мониторить приложения и записывать ввод данных. - Если svchost.exe находится в папке C:\Windows, тогда рейтинг надежности 55% опасности. Размер файла 20,480 байт (30% всех случаев), 1,605,120 байт и .
- Если svchost.exe находится в подпапках «C:\Program Files», тогда рейтинг надежности 70% опасности. Размер файла 376,832 байт (5% всех случаев), 8,056,832 байт и .
- Если svchost.exe находится в подпапках C:\Windows\System32, тогда рейтинг надежности 61% опасности. Размер файла 2,030,080 байт (5% всех случаев), 744,448 байт и .
- Если svchost.exe находится в папке Windows для хранения временных файлов , тогда рейтинг надежности 67% опасности. Размер файла 409,088 байт (22% всех случаев), 4,582,912 байт и .
- Если svchost.exe находится в подпапках диска C:\, тогда рейтинг надежности 55% опасности. Размер файла 32,768 байт (22% всех случаев), 277,504 байт и .
- Если svchost.exe находится в подпапках Windows для хранения временных файлов, тогда рейтинг надежности 71% опасности. Размер файла 134,144 байт (16% всех случаев), 8,056,832 байт и .
- Если svchost.exe находится в папке C:\Windows\System32\drivers, тогда рейтинг надежности 81% опасности. Размер файла 194,560 байт (16% всех случаев), 221,696 байт и .
- Если svchost.exe находится в подпапках «C:\Program Files\Common Files», тогда рейтинг надежности 52% опасности. Размер файла 91,648 байт (75% всех случаев) или 1,012,224 байт.
- Если svchost.exe находится в подпапках C:\Windows\System32\drivers, тогда рейтинг надежности 63% опасности. Размер файла 897,215 байт (50% всех случаев) или 26,624 байт.
- Если svchost.exe находится в папке «C:\Users\USERNAME», тогда рейтинг надежности 64% опасности. Размер файла 145,408 байт.
- Если svchost.exe находится в подпапках «Мои файлы» , тогда рейтинг надежности 74% опасности. Размер файла 674,304 байт.
- Если svchost.exe находится в папке «C:\Program Files», тогда рейтинг надежности 64% опасности. Размер файла 90,112 байт.
Svchost не является вирусом, но грузит систему
Если вы убедились, что svchost – реальный системный процесс, давайте разберемся со службами, которые он запускает.
Порядок действий следующий – по очереди останавливаем службы, связанные с процессом, и смотрим, что получится.
Мы уже рассказывали о том, как перейти к списку сервисов в разделе «Процесс svchost.exe и его связи». Теперь разберемся, как их останавливать.
Отключение сервиса в стандартной программе «Службы» ОС Windows:
- устанавливаем курсор на имя службы и двойным щелчком левой кнопки мыши открываем окно службы;
- переходим на вкладку «Общие», нажимаем кнопку «Стоп», затем – «Ok».
Отключение сервиса в программе Process Explorer:
- устанавливаем курсор на нужный процесс svchost.exe, вызываем контекстное меню нажатием правой кнопки мыши и выбираем опцию «Properties»;
- в открывшемся окне переходим на вкладку «Services»;
- выбираем нужную службу в списке и нажимаем кнопку «Stop».
Отключение сервиса в программе AnVir Task Manager:
- устанавливаем курсор на нужный процесс svchost.exe, вызываем контекстное меню нажатием правой кнопки мыши и выбираем «Перейти->Перейти к сервису»;
- выбираем нужный сервис в списке, вызываем контекстное меню нажатием правой кнопки мыши и выбираем опцию «Стоп».
Отключение сервиса с помощью команды sc:
- нажимаем кнопку «Пуск»;
- выбираем команду «Выполнить»;
- вводим cmd и нажимаем кнопку «Ok»;
- в окне интерпретатора вводим команду: sc stop «имя службы» «Enter».
Если остановленная вами служба не является причиной загрузки процессора, ее следует запустить и повторить те же действия со следующей службой.
Перезапуск сервисов:
- программа «Службы» — кнопка «Пуск»;
- программа Process Explorer – кнопка «Restart»;
- программа AnVir Task Manager – кнопка «Пуск»;
- команда sc — sc start «имя службы» «Enter».
Отметим, что остановка службы действует только до перезагрузки Windows. Поэтому, если вы нашли «виновницу», которая грузит систему, нужно отключить ее запуск в программе «Службы»:
- нажимаем кнопку «Пуск», выбираем меню «Настройка ->Панель управления -> Администрирование -> Службы»;
- устанавливаем курсор на имя сервиса и двойным щелчком левой кнопки мыши открываем его окно;
- переходим на вкладку «Общие»;
- находим параметр «Тип запуска», устанавливаем значение «Отключено» и нажимаем кнопку «Ok».
Перед отключением службы вы должны четко представлять, какие функции она выполняет и не приведет ли ее отключение к нарушению работы системы.
Заметим, что при установке Windows включается стандартный набор служб. Некоторые из них могут быть совершенно не нужны вам для работы, и только потреблять ресурсы компьютера.
Поэтому желательно разобраться в назначении каждой из них и отключить лишние службы.
Вернуться к содержанию ^
Вирусы, маскирующиеся под svchost
Свхост – процесс, который очень часто подвергается воздействию вирусов и троянов. Разработчики вирусного ПО делают «маскировку» своим троянам и при попытке найти нежелательный файл мы встречаем фальшивый процесс.
Выявление вируса может показаться сложным заданием, но на деле всё элементарно. Чтобы отличить вирус от настоящей программы, нужно посмотреть кем запущен процесс. Заходим в диспетчер. В колоне «Пользователь» отображены адреса файлов, какими открыт и контролируется svchost. Напротив каждой строки свхост должны быть:
- SYSTEM.
- LOCAL.
- NETWORK SERVICES.
Если в столбце один из пунктов выше – можете не волноваться, это не вирус. Дело в том, что свхост запускается только системой. Хоть мы и точно узнали, заражен ли процесс, для безопасности лучше всё равно проверить весь компьютер.
Если вместо СИСТЕМ, ЛОКАЛ или НЕТВОРК будет «Пользователь» или любые другие названия — сканируем систему (Рисунок 3). Удалять программы вам, скорее всего, не придётся, но отдельные подозрительные папки и файлы должны быть проверены антивирусником.
Также, можем перейти по пути msconfig, прописав эту команду в «Выполнить». В Автозагрузке ничего подобного к данному процессу не должно быть.
Если вы заметили папки таких видов: «Net-Worm.Win32.Welchia.a», «Trojan-Clicker.Win32.Delf.cn» или подобные – проверяем их и ЧЕРЕЗ АНТИВИРУС удаляем. На нашем сайте имеется широкий выбор различных антивирусных программ.
Рисунок 3. Окно диспетчера устройств для поиса вирусов маскирующихся под svchostк
SMSVCHOST.EXE
Проверьте процессы, запущенные на вашем ПК, используя базу данных онлайн-безопасности. Можно использовать любой тип сканирования для проверки вашего ПК на вирусы, трояны
,шпионские и другиевредоносные программы .
процессов:
Cookies help us deliver our services. By using our services, you agree to our use of cookies.
У многих пользователей возникают вопросы, связанные с процессом «Хост-процесс для служб Windows» svchost.exe в диспетчере задач Windows 10, 8 и Windows 7. Некоторых смущает, что процессов с таким именем большое число, другие сталкиваются с проблемой, выраженной в том, что svchost.exe грузит процессор на 100% (особенно актуально для Windows 7), вызывая тем самым невозможность нормальной работы с компьютером или ноутбуком.
В этой подробно о том, что это за процесс, для чего он нужен и как решать возможные проблемы с ним, в частности выяснить — какая именно служба, запущенная через svchost.exe грузит процессор, и не является ли данный файл вирусом.
Svchost – вирус или нет?
Многие трояны и другие компьютерные вирусы маскируются под известные системные приложения Windows. Svchost – не исключение.
По данным лаборатории Касперского svchost’ом «прикидываются» вирусы Trojan-Clicker.Win32.Delf.cn, Virus.Win32.Hidrag.d, Net-Worm.Win32.Welchia.a, а также известный большинству пользователей вирус Kido.
Итак, начинаем проверять наш процесс.
В первую очередь обратите внимание на расположение файла svchost.exe. Если оно отличается от стандартного – файл смело можно удалять
Проверьте имя пользователя, запустившего процесс. Список допустимых имен приведен в разделе «Несколько слов о процессах svchost.exe».
Внимательно перечитайте имя процесса. Вирусописатели часто используют похожие имена: svhost, svchosts и т.д.
Приложение никогда не может запускаться через раздел «Run» реестра Windows.
Поэтому обязательно нужно проверить его наличие в автозагрузке:
- нажимаем кнопку «Пуск», выбираем команду «Выполнить», вводим msconfig и нажимаем кнопку «Ok»;
- переходим на вкладку «Автозагрузка»;
- если файл svchost.exe найден — отключаем запуск.
Для удаления подозрительного процесса в диспетчере задач вызываем контекстное меню нажатием правой кнопки мыши и выбираем команду «Завершить дерево процессов».
После выполнения всех описанных действий необходимо обязательно запустить антивирусную программу и пролечить компьютер.
Вернуться к содержанию ^
Как получить инфицированных от этой вредоносной программы?
Поддельные SvcHost может представлять и computer троянский конь. Но как подлый, как это может быть, он не может просто всплывал на вашем экране один день как будто по мановению волшебной палочки. Там нет ничего магического о его внезапного появления. Инфекций, как один, используя поддельные.exe-файл как фронт, обычно показывают на вашем ПК, прибегая к старой, но золото методов проникновения. Их обычно выходки включают в себя наиболее распространенные методы, как Хитчинг ехать с freeware или поврежденные ссылки или сайтов. Кроме того надоедливых инфекции могут скользить свой путь в путем копирования свой исполняемый файл в папку Windows или Windows системы. После этого, он переходит к следующему шагу, который вносит изменения в реестр, чтобы запустить этот файл с каждый запуск единой системы. Какой бы метод инфекции, инфекции решит обратиться к, после того, как он вторгается в ваш компьютер, вы будете бомбардированы с вопросами. Не тратить массу времени и энергии, занимающихся своей повседневной столовых, остановив его попадание в первую очередь. Сделайте все возможное, чтобы держать его вдали от компьютера. Будьте осторожным и внимательным о том, что именно вы позволяя в вашу систему. Не торопитесь, когда вы устанавливаете инструмент или обновление и всегда делать ваши должной осмотрительности. Кто знает? Возможно с немного удачи, вы сможете сохранить поддельные svchost.executable от вашей системы.
Как вычислить вредоносный процесс svchost.exe
Естественно, если у пользователя возникают подозрения на то, что процесс «svchost.exe» является вредоносным, то первым делом, пользователем будет проскандирован компьютер на наличие вирусов и прочего.
Но, если после проверки антивирусная программа сообщает, что система чистая и вредоносных программ не обнаружено – это может быть не совсем так!
В этом случаи стоит проверить процесс «svchost.exe» вручную. Делается это довольно просто, все что нужно – это знать некоторые моменты о процессе svchost.exe.
1) Процесс всегда запускается из системной папки «System32» Если это ни так, то скорей всего файл с именем svchost.exe является вредоносным.
2) Процесс svchost.exe никогда не запустится от имени пользователя – это нужно помнить. Процесс всегда запускается от «Local Service, Система, Network Service».
Как вы понимаете, если процесс svchost.exe был, запущен от текущего имени пользователя или не из системной папки, то стоит принять меры по проверки подозрительного файла.
Чтобы убедится в том, что запущен оригинальный файл, запустите диспетчер задач и найдите на вкладке «Подробности» список процессов «svchost.exe».
На этом скриншоте все процессы запущены самой же системой, это говорит о том, что, скорее всего среди данного списка вредоносного файла с именем «svchost.exe» нет
Обратите внимание на скриншот ниже…
На этом скриншоте мы видим процесс svchost.exe запущенный от пользователя с именем «SuperUser» Это говорит о том, что данный процесс является с большей степенью вредоносным.
Нужно нажать «ПКМ» где из контекстного меню выбрать «Открыть расположение» откроется проводник Windowsи Вы узнаете полный путь до подозрительного файла! Что делать с ним дальше, думаю это ясно, как день!
Важно знать: Некоторые вирусы непросто используют имя «svchost.exe» для того чтобы скрыть своё присутствие в системе, но и также могут использовать оригинальный файл svchost.exe в своих корыстных целях. В связи с этим ручная проверка тут результат не даст! Так же выше уже было сказано, что и антивирус может ни дать результата в поиске вируса! Возникает логичный вопрос, что же делать?
В связи с этим ручная проверка тут результат не даст! Так же выше уже было сказано, что и антивирус может ни дать результата в поиске вируса! Возникает логичный вопрос, что же делать?
Как вариант использовать бесплатный «firewall» среди которых лично я выделяю «comodo firewall» как он может нам помочь? Все просто! Если вирус использующий процесс svchost.exe вдруг задумает проявить сетевую активность, то пользователь будет об этом осведомлён!
Со скриншота хорошо видно, что файл svchost пытается подключиться к серверу по 80-тому порту, оригинальный файл этого никогда делать не будет, соответственно svchost заражён!
Вы можете оперативно заблокировать доступ в сеть для файла svchost, что будет вполне разумно! Так как в данном случае, есть вероятность передачи конфиденциальных данных, например паролей из браузера на «Gate»
Утечка такой информации сами понимаете, чем может закончиться для Вас!
Что делать с заражённым файлом svchost.exe? Так как, от текущего антивируса и ручной проверки толку ровно нуль, то, откройте сайт «virustotal.com» и проверти файл. Кстати, сделайте это, прямя сейчас!
Мой результат такой. Все чистенько! Если бы какой-нибудь антивирус среагировал бы, например «Avast» то, я бы удалил текущий антивирус и установил бы Avast и вылечил бы svchost.exe.
Восстанавливаем нормальную работу процессора с помощью антивируса
Если вышеописанные способы не помогли, то скорей всего ваша Windows 7 заражена вирусом. Обычно заражение вирусом происходит извне. То есть через интернет или через внешний накопитель данных. Если у вас стоит хороший антивирус, то скорей всего вирус не пройдет. Но бывают случаи, когда антивирусы не видят новые версии вирусов и пропускают их. Если ваш компьютер заражен, то процесс хост Svchost.exe будет грузить процессор до 100 процентов, а также в имени пользователя вы увидите не системные имена «LOCAL» и «NETWORK SERVICE», а совсем другое имя.
Чтобы избавиться от вируса в системе, нужно запустить полную проверку компьютера в Windows 7 на поиск вредоносных программ. Ниже мы рассмотрим пример запуска полной проверки компьютера с помощью антивируса Comodo Internet Security. Также перед запуском любого антивируса для проверки ОС обновите его антивирусную базу. Двигаемся дальше и запустим антивирус Comodo Internet Security.
В главном окне антивируса перейдем к нижней вкладке «Сканирование», после чего откроется меню, в котором можно выбрать варианты сканирования.
В нашем случае нужно выбрать пункт «Полное сканирование». Этот вариант просканирует полностью винчестер, выявит вредоносную программу и обезвредит ее. Ниже показано окно сканирования Comodo Internet Security.
В других антивирусных программах принцип запуска полной проверки ПК максимально схож с рассмотренным. Поэтому если у вас проблема с хост-процессом Svchost.exe, то смело запускайте полную проверку ПК.
Для этого примера мы неспроста выбрали антивирус Comodo Internet Security. В этом антивирусе есть встроенный модуль под названием KillSwitch (в настоящее время этот модуль входит в состав бесплатного набора утилит COMODO Cleaning Essentials, скачать который можно здесь).
Этот модуль представляет собой диспетчер задач, который обладает расширенным функционалом. Например, KillSwitch может остановить дерево процессов и вернуть назад произведенные изменения после этого.
Также особенностью KillSwitch является проверка запущенных процессов на доверие. То есть, если процесс недоверенный, KillSwitch найдет его и укажет это в третьей колонке «Оценка». Эта особенность модуля KillSwitch поможет быстрее определить проблему, связанную с Svchost.exe и загрузкой процессора.
Еще стоит упомянуть, когда вирус заражает сам антивирус или надежно маскируется от него, вследствие чего его не видит установленный антивирус. В этой ситуации на помощь пользователю придёт загрузочный диск Dr.Web LiveDisk. Этот диск представляет собой портативную операционную систему, основанную на Linux, которая грузится с него. После загрузки с этого диска пользователь сможет запустить проверку ПК прямо с загруженной операционной системы.
Такая проверка должна найти и обезвредить вирусы, которые заставляют Svchost.exe грузить процессорные ядра. Наиболее известными вирусами, которые грузят процессор с помощью Svchost.exe, являются:
- «Virus.Win32.Hidrag.d» — представляет собой вирус, написанный на C++. Попав в систему, он осуществляет подмену Svchost.exe. После этого он ищет файлы с расширением «*exe» и заражает их. Вирус является безобидным, он не вредит системе и не крадет информацию. Но постоянное заражение файлов с расширением «*exe» сильно грузит процессор.
- «Net-Worm.Win32.Welchia.a» — этот вирус представляет собой интернет-червь, который нагружает процессор путем интернет атак.
- «Trojan-Clicker.Win32.Delf.cn» — примитивный троян, который регистрирует в системе новый процесс Svchost.exe для открытия определенной страницы в браузере, тем самым нагружая систему.
- «Trojan.Carberp» — опасный троян, который также маскируется под Svchost.exe. Основным предназначением этого вируса является поиск и кража информации крупных торговых сетей.
Удаление вируса SVCHOST.EXE
Если все-таки было определено, что этот процесс является вирусной программой, то его необходимо изъять из компьютера. Сделать это обычным кликом по кнопке «Delete» не получится. Для этого лучше всего воспользоваться помощью приложения AVZ. Порядок действий по удалению с помощью AVZ:
- и установить на компьютер;
- В открывшемся окне приложения необходимо кликнуть на «Файл», а затем «Выполнить скрипт»;
- В открывшемся окне прописывается или вставляется скрипт. Порядок вставки скрипта: копируется путь месторасположения вируса и вставляется в разделыQuarantineFile и DeleteFile, а точнее, в скобки, находящиеся напротив этих разделов.
- После чего запускается процесс очистки, а затем компьютер совершит автоматическую перезагрузку.
- Проводится проверка на наличие файла, убеждаемся в дееспособности приложения. Такие действия проводятся с каждым подозрительным процессом или файлом.
Для удаления еще можно воспользоваться стандартной антивирусной программой, но эффективность удаления не гарантируется (все зависит от используемого антивирусного приложения).
Процесс svchost.exe и его связи
Диспетчер задач выдает нам целый список запущенных процессов svchost.exe, но этой информации явно недостаточно.
Естественно, нас интересует, какие именно сервисы запускает конкретный экземпляр этого процесса.
Итак, несколько способов узнать о связях svchost’а.
Команды tasklist и sc.
Применение команд tasklist и sc возможно в любой версии Windows. Поэтому, этот способ можно считать универсальным.
Прежде всего, запускаем cmd – интерпретатор командной строки Windows:
- нажимаем кнопку «Пуск»;
- выбираем команду «Выполнить»;
- вводим cmd и нажимаем кнопку «Ok».
Для получения списка служб на экране интерпретатора запускаем команду tasklist с ключом svc и нажимаем клавишу «Enter»:
tasklist /svc «Enter».
Для сохранения результатов запроса в текстовый файл svc.txt, находящийся на диске C: в папке temp, делаем перенаправление вывода команды tasklist:
tasklist /svc > C:\temp\svc.txt «Enter»
Заметим, что файл будет сохранен в dos-кодировке.
Фрагмент листинга tasklist.exe.
Имя образа PID Службы:
+++
- svchost.exe 1216 DcomLaunch
- svchost.exe 1300 RpcSs
- svchost.exe 1384 WudfSvc
- svchost.exe 1528 Dnscache
- svchost.exe 1584 LmHosts, SSDPSRV
+++
Колонки таблицы:
- «Имя образа» – имя исполняемого файла;
- «PID» – идентификатор процесса;
- «Службы» – список сервисов.
Чтобы получить информацию о конкретном сервисе, задаем его краткое название в качестве параметра команды управления сервисами sc.
Пример получения сведений о службе TermService.
– sc qc TermService «Enter».
Два способа перехода к списку сервисов.
- Нажимаем кнопку «Пуск», находим команду «Выполнить», в командной строке вводим services.msc и нажимаем кнопку «Ok».
- Нажимаем кнопку «Пуск», затем выбираем Настройка ->Панель управления -> Администрирование -> Службы.
Диспетчер задач Windows Vista/7.
Получаем список сервисов, связанных с процессом svchost с помощью диспетчера задач Windows Vista/7:
- устанавливаем курсор на название процесса;
- вызываем контекстное меню нажатием правой кнопки мыши и выбираем опцию «Перейти к службам»;
- получаем список, в котором подсветкой выделены связанные с нашим процессом сервисы.
В операционной системе Windows XP опция «Перейти к службам», к сожалению, отсутствует. Этот вариант нельзя считать универсальным.
Утилита Process Explorer.
Эта программа не входит в дистрибутивы Windows, но доступна к скачиванию с сайта Microsoft либо со страницы загрузки Process Explorer.
Процесс запуска очень простой и не требующий инсталляции:
- скачиваем zip-архив;
- разархивируем в папку на диске;
- запускаем файл procexp.exe.
Утилита выдает детальную информацию о процессах, запущенных в системе: pid, загрузку cpu, краткое описание, сведения о производителе и т.д.
При наведении мыши на название одного из экземпляров svchost’а мы получили следующую информацию:
- Command Line – строка запуска сервиса или группы сервисов через svchost;
- Path – путь к файлу svchost.exe;
- Services – список сервисов.
Контекстное меню, вызываемое нажатием правой кнопки мыши, предоставляет большие возможности по управлению процессом и службами, которые он запускает.
Утилита AnVir Task Manager.
Программа AnVir Task Manager не только обеспечивает управление запущенными процессами, сервисами, драйверами и автозагрузкой, но и выполняет функции антивируса.
Порядок запуска такой же, как и у Process Explorer’а:
- скачиваем бесплатную версию AnVir Task Manager в формате zip-архива;
- разархивируем в папку на диске;
- запускаем файл AnVir.exe.
Для переключения языка при первом запуске программы пользуемся главным меню:
«View->Language->Russian».
Выбираем вкладку «Процессы» для получения подробной информации о наших svchost’ах.
В строке процесса мы видим сведения о производителе, путь к исполняемому файлу, процент загрузки ЦП и т.д.
Но самые интересные данные представлены в колонке «Автозагрузка». Здесь вы найдете список запускаемых svchost’ом сервисов.
Дважды щелкаем левой кнопкой мыши по названию процесса и получаем более детальную информацию о нем (окно с вкладками в нижней части экрана).
Почему так много процессов svchost.exe
Если вы когда-либо просматривали раздел Процесс в Диспетчере задач, то, вероятно, заметили, что Windows запускает много служб. Каждая такая служба использует свой процесс svchost.exe.
Службы организованы в логические группы, немного связанные между собой, и для каждой группы создаётся отдельный экземпляр svchost.exe. Например, один хост-процесс обслуживает три службы, связанные с брандмауэром. Другой хост-процесс обслуживает все службы, связанные с пользовательским интерфейсом, и так далее.
На рисунке выше, например, можно увидеть, что один хост-процесс svchost.exe осуществляет обслуживание нескольких смежных сервисов DCOM-сервера, в то время как другой запускает сервисы для удаленного вызова процедур.