Как выявить вирус, маскирующийся под системный процесс svchost

Читайте за что отвечает процесс «svchost.exe» и что будет если его отключить. Если вы загляните в Диспетчер задач, то обратите внимание на множество запущенных процессов с одинаковыми названиями “Служба узла” или “Узел службы”. Некоторые из этих процессов могут сильно нагружать процессор вашего компьютера или ноутбука, и вы захотите удалить их.

svchost-exe-process-will-load-the-pc-processor-can-i-remove.png

<label>Содержание</label>

Что это за процесс Узел службы (svchost.exe)?

Компания Microsoft дает такой ответ:

Svchost.exe является именем процесса хоста для служб, которые запускаются из библиотек динамической компоновки.

Думаю, это совершенно не отвечает на наш вопрос. Компания Microsoft старается уйти от использования Exe файлов для внутренних служб Windows, заменяя их DLL файлами. Этот подход делает систему более гибкой и позволяет любым элементам системы получать доступ к общим функциям. Использование DLL файлов облегчает поддержку и внесение изменений в систему.

Однако DLL файлы не являются исполняемыми и не могут быть непосредственно запущены в системе Windows. Для выполнения системных задач оболочка запускает файл Узел службы (svchost.exe), который в свою очередь загружает необходимую библиотеку и использует нужные функции. Так и появился этот служебный файл.

Почему запущено так много процессов Узел службы (svchost.exe)?

ОС Windows использует множество системных сервисов для самых различных задач: автоматическое обновление, оптимизация дискового пространства, работа локальной сети, индексирование данных для поиска и т.д. Для каждой службы намеренно используется отдельно запущенный процесс, так как в противном случае сбой в одном из процессов приведет к краху всех остальных функций системы. Именно поэтому они отделены друг от друга.

Службы разбиты на отдельные группы, которые связаны между собой логически. Для каждой такой группы используется один запущенный процесс svchost.exe. Например, один процесс Узел службы запускает три службы, связанные с брандмауэром. Другой процесс может запускать все службы, связанные с пользовательским интерфейсом, и так далее. На изображении ниже видно, что один процесс Узел службы запускает несколько связанных сервисов защиты, а другой запускает службу авто настройки WLAN.

task-manager.png

Можно ли завершить процессы Узел службы (svchost.exe)?

Выполнение различных системных задач может требовать разное количество ресурсов компьютера. К примеру дефрагментация диска или создание точки восстановления Windows сильно замедлят работу компьютера с медленным HDD, а служба шифрования Bitlocker способна полностью загрузить слабенький процессор.

Для комфортной работы Windows 10 желательно использовать 4-ех ядерный процессор, 6-8 ГБ оперативной памяти и устанавливать систему на SSD диск. Отключение системных процессов не окажет существенного влияния на прирост производительности. ОС Windows достаточно хорошо оптимизирована и не запускает не нужных служб.

Обслуживание системы, которое требует существенных ресурсов, выполняется в период бездействия вашего ПК. Если вы завершите процесс необходимый системе в текущий момент времени, то он будет автоматически запущен заново. Для полного отключения процесса необходимо разобраться для какой функции Windows он используется и отключить эту функцию. Подробнее об способах ускорения работы Windows 10 смотрите в нашем видео:

Если вы заметили, что один из экземпляров Узел службы или связанная с ним служба чрезмерно используют процессор или ОЗУ, вы можете проверить задействованные сервисы. Это поможет найти направление, в котором искать неисправность. Вы можете узнать службы, связанные с конкретным svchost.exe, используя стандартный Диспетчер задач или стороннее приложение Process Explorer. Process Explorer можно отнести к списку приложений, которые нужно обязательно иметь на своем компьютере.

Проверка связанных служб в Диспетчере задач

В Windows 8 или 10, процессы отображаются списком на вкладке «Процессы»Диспетчера задач, отсортированных по имени. Если процесс служит хостом для нескольких служб, вы можете увидеть список раскрыв ветку этого процесса. Это позволяет легко определить, какие службы относятся к каждому экземпляру процесса Узел службы.

task-manager-02.png

С помощью контекстного меню правой кнопки мыши вы может остановить службу или выполнить поиск в Интернете для получения подробной информации.

task-manager-03.png

Диспетчер задач Windows 7 не группирует и не отображает обычные имена процессов – он показывает только список запущенных экземпляров «svchost.exe». Для получения дополнительной информации о сервисе кликните правой кнопкой на svchost.exe и выберите Перейти к сервисам. После этого откроется вкладка «Службы», где будут выбраны все службы, запущенные под этим процессом.

После этого вы увидите полное наименование службы и ее описание, это укажет вам что необходимо отключить для решения проблемы.

Проверка связанных служб в Process Explorer

Для продвинутых пользователей компания Microsoft предлагает инструмент для работы с процессами в составе линейки Sysinternals. Просто загрузите Process Explorer и запустите его – это портативное приложение, поэтому нет необходимости его устанавливать.

Process Explorer также группирует связанные службы в каждом экземпляре «svchost.exe». В списке процессов указаны не названия служб, а имена файлов. Полное наименование указано в столбце описание, а если навести курсор на имя файлы, вы увидите полный путь к нему во всплывающей подсказке.

process-explorer.png

Утилита также выводит информацию о ресурсах, которые в данный момент использует связанная служба.

Может ли этот процесс быть вирусом?

Сам процесс является официальным компонентом Windows. В то время как возможно, что вирус заменил реальный Сервисный узел собственным исполняемым файлом, это очень маловероятно. Если вы хотите быть уверенным, вы можете проверить базовое расположение файла процесса. В диспетчере задач щелкните правой кнопкой мыши любой процесс Host Host и выберите опцию «Открыть расположение файла».

task-manager-04.png

Если файл расположен в папке C:WindowsSystem32, вы можете быть уверены – это не вирус. Но вы все равно можете запустить проверку системы на вирусы с помощью одного из бесплатных антивирусов. Береженого Бог бережет!

У многих пользователей возникают вопросы, связанные с процессом «Хост-процесс для служб Windows» svchost.exe в диспетчере задач Windows 10, 8 и Windows 7. Некоторых смущает, что процессов с таким именем большое число, другие сталкиваются с проблемой, выраженной в том, что svchost.exe грузит процессор на 100% (особенно актуально для Windows 7), вызывая тем самым невозможность нормальной работы с компьютером или ноутбуком.В этой подробно о том, что это за процесс, для чего он нужен и как решать возможные проблемы с ним, в частности выяснить — какая именно служба, запущенная через svchost.exe грузит процессор, и не является ли данный файл вирусом.

Svchost.exe — что это за процесс (программа)

Svchost.exe в Windows 10, 8 и Windows 7 является основным процессом для загрузки служб операционной системы Windows, хранящихся в динамических библиотеках DLL. То есть службы Windows, которые вы можете увидеть в списке служб (Win+R, ввести services.msc) загружаются «через» svchost.exe и для многих из них запускается отдельный процесс, которые вы и наблюдаете в диспетчере задач.

Службы Windows, а особенно те, за запуск которых отвечает svchost, являются необходимыми компонентами для полноценной работы операционной системы и загружаются при ее запуске (не все, но большинство из них). В частности, таким образом запускаются такие нужные вещи, как:

  • Диспетчеры различных видов сетевых подключений, благодаря которым Вы имеете доступ в Интернет, в том числе и по Wi-Fi
  • Службы для работы с устройствами Plug and Play и HID, позволяющие Вам пользоваться мышками, веб-камерами, USB-клавиатурой
  • Службы центра обновления, защитник Windows 10 и 8 другие.

Ошибка DPC_WATCHDOG_VIOLATION: что это значит и как исправить?

Соответственно, ответ на то, почему пунктов «Хост-процесс для служб Windows svchost.exe» много в диспетчере задач заключается в том, что системе необходимо запускать много служб, работа которых выглядит как отдельный процесс svchost.exe.

При этом, если каких-либо проблем данный процесс не вызывает, вам, вероятнее всего, не стоит каким-либо образом что-то настраивать, переживать о том, что это вирус или тем более пробовать удалить svchost.exe (при условии, что нахождение файла в C:WindowsSystem32 или C:WindowsSysWOW64, иначе, в теории, может оказаться, что это вирус, о чем будет упомянуто далее).

Что делать, если svchost.exe грузит процессор на 100%

Одна из самых распространенных проблем, связанных с svchost.exe — то, что этот процесс грузит систему на 100%. Наиболее частые причины такого поведения:

  • Выполняется какая-либо стандартная процедура (если такая нагрузка не всегда) — индексация содержимого дисков (особенно сразу после установки ОС), выполнение обновления или его загрузки и подобные. В этом случае (если это проходит «само») делать обычно ничего не требуется.
  • Какая-то из служб по какой-то причине работает неправильно (тут попробуем выяснить, что это за служба, см. далее). Причины неправильной работы могут быть разными — повреждения системных файлов, проблемы с драйверами (например, сетевыми) и другие.
  • Проблемы с жестким диском компьютера
  • Реже — результат работы вредоносного ПО. Причем не обязательно сам файл svchost.exe является вирусом, могут быть варианты, когда посторонняя вредоносная программа обращается к Хост-процессу служб Windows таким образом, что вызывает нагрузку на процессор. Тут рекомендуется проверить компьютер на вирусы и использовать отдельные средства удаления вредоносных программ. Также, если проблема исчезает при чистой загрузке Windows (запуск с минимальным набором системных служб), то стоит обратить внимание на то, какие программы есть у вас в автозагрузке, возможно, влияние оказывают они.

Как удалить Кортану в Windows 10?

Наиболее распространенный из указанных вариантов — неправильная работа какой-либо службы Windows 10, 8 и Windows 7. Для того, чтобы выяснить, какая именно служба вызывает такую нагрузку на процессор, удобно использовать программу Microsoft Sysinternals Process Explorer, скачать которую можно бесплатно с официального сайта https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx (представляет собой архив, который нужно распаковать и запустить из него исполняемый файл).

Как исправить ошибку BIOS LEGACY BOOT OF UEFI-ONLY MEDIA при загрузке Windows с флешки

После запуска программы вы увидите список запущенных процессов, в том числе проблемный svchost.exe, нагружающий процессор. Если навести на процесс указатель мыши, во всплывающей подсказке появится информация о том, какие конкретно службы запущенны данным экземпляром svchost.exe.

Если это одна служба — можно попробовать отключить её (см. Какие службы можно отключить в Windows 10 и как это сделать). Если несколько — можно экспериментировать с отключением, а можно по типу служб (например, если всё это — сетевые службы) предположить возможную причину проблемы (в указанном случае это могут быть неправильно работающие сетевые драйвера, конфликты антивирусов, или же вирус, использующий ваше сетевое подключение, задействуя при этом системные службы).

Как исправить ошибку 0x80070424 Центра обновления или Microsoft Store в Windows 10?

Как узнать, svchost.exe — это вирус или нет

Существует некоторое количество вирусов, которые либо маскируются, либо загружаются с помощью настоящего svchost.exe. Хотя, в настоящее время они встречаются не очень часто.

Симптомы заражения могут быть различными:

  • Основной и почти гарантированно говорящий о вредоносности svchost.exe — расположение этого файла вне папок system32 и SysWOW64 (чтобы узнать расположение, вы можете кликнуть правой кнопкой мыши по процессу в диспетчере задач и выбрать пункт «Открыть расположение файла». В Process Explorer посмотреть расположение можно схожим образом — правый клик и пункт меню Properties). Важно: в Windows файл svchost.exe можно обнаружить также в папках Prefetch, WinSxS, ServicePackFiles — это не вредоносный файл, но, одновременно, среди запущенных процессов файла из этих расположений быть не должно.
  • Среди прочих признаков отмечают, что процесс svchost.exe никогда не запускается от имени пользователя (только от имени «Система», «LOCAL SERVICE» и «Network Service»). В Windows 10 это точно не так (Shell Experience Host, sihost.exe, запускается именно от пользователя и через svchost.exe).
  • Интернет работает только после включения компьютера, потом перестает работать и страницы не открываются (причем иногда можно наблюдать активный обмен трафиком).
  • Другие обычные для вирусов проявления (реклама на всех сайтах, открывается не то, что нужно, изменяются системные настройки, компьютер тормозит и т.д.)

Как исправить PNP_DETECTED_FATAL_ERROR ошибку в Windows 10?

В случае, если у Вас возникли подозрения на то, что на компьютере какой-либо вирус, имеющий к svchost.exe, рекомендую:

  • С помощью ранее упоминавшейся программы Process Explorer кликнуть правой кнопкой мыши по проблемному экземпляру svchost.exe и выбрать пункт меню «Check VirusTotal» для проверки этого файла на вирусы.
  • В Process Explorer посмотреть, какой процесс запускает проблемный svchost.exe (т.е. в отображаемом в программе «дереве» находится «выше» в иерархии). Проверить его на вирусы тем же способом, что был описан в предыдущем пункте, если он вызывает подозрения.
  • Воспользоваться антивирусной программой для полной проверки компьютера (так как вирус может быть не в самом файле svchost, а просто использовать его).
  • Посмотреть описания вирусов здесь https://threats.kaspersky.com/ru/ . Просто введите в поисковую строку «svchost.exe» и получите список вирусов, использующих этот файл в своей работе, а также описание, как именно они работают и каким образом скрываются. Хотя, наверное, это излишне.
  • Если по имени файлов и задач вы способны определить их подозрительность, можно посмотреть, что именно запускается с помощью svchost с помощью командной строки, введя команду Tasklist /SVC

Стоит отметить, что 100% загрузка процессора, вызываемая svchost.exe редко бывает следствием работы вирусов. Чаще всего это все-таки следствие проблем со службами Windows, драйверами или другим ПО на компьютере, а также «кривости» установленных на компьютерах многих пользователей «сборок».

Как удалить Кортану в Windows 10?21.02.2018

Блог Дмитрия а. Дмитрий Рубрика:Операционные системы

Здравствуйте, друзья.

1437667444_svchost-exe-gruzit-windows-7.jpg

Вносим ясность

Спешу вас успокоить: svchost.exe является безопасным исполняемым файлом, который играет важную роль в работе Windows. Он разработан и внедрен компанией Microsoft.

Аббревиатура расшифровывается как Service Host, а полное наименование — Generic Host Process for Win32 Services.

Это общее название для процесса, отвечающего за различные службы и сервисы Виндовс, которые исходят из динамически подключаемых DLL-библиотек. В одно и то же время их может работать много (от одного до нескольких десятков), оттого диспетчер задач и пестрит данным названием с разными номерами для идентификации той или иной службы.

aepvy45.jpg

Что именно запускает svchost.exe?

Например:

  • Диспетчеры разных сетевых подключений, открывающие вам путь в Интернет.
  • Центры обновлений, безопасности системы.
  • Утилиты для Plug and Play и HID, которые контролируют работу мышки, веб-камеры, клавиатуры.

Хотите посмотреть полный список служб? Зажмите клавиши Win + R — всплывет окошко, в которое необходимо вписать services.msc и нажать «ОК».

p4p5vp.jpg

Service Host грузит систему

Бывает, что какой-то из процессов svchost.exe использует много оперативной памяти, отчего операционка, естественно, начинает тормозить и не дает нормально работать за компьютером. Этому может быть несколько объяснений:

  1. Происходит какое-то стандартное, но ресурсоёмкое действие. К примеру, индексируется содержимое жесткого диска (обычно после переустановки ОС), загружается обновление и т. п. Если причина загрузки в этом, то через время она пройдет сама.
  2. Одна из служб работает некорректно. Такое может произойти из-за проблем с драйверами, повреждения системных файлов и пр. Как вычислить такие неполадки, я расскажу далее.
  3. Ошибки в работе винчестера.
  4. Вирусы. Они могут маскироваться под svchost.exe. Ведь большое количество таких процессов не должно вызывать у пользователя подозрений, поэтому велики шансы, что вредоносное ПО останется незамеченным.

svchostcartoon1-e1518873464745.jpg

Проверка нагружающих служб

Чаще всего причиной 100-процентной загрузки системы одним из процессов является вторая из перечисленных выше. Чтобы выяснить, какой именно сервис «перетягивает одеяло» на себя, предлагаю воспользоваться прогой Sysinternals Process Explorer, разработанной Microsoft. Качать желательно с официальной страницы https://docs.microsoft.com/ru-ru/sysinternals/downloads/process-explorer — это что-то типа аналога стандартного диспетчера задач, но с более широким функционалом.

После установки перед вами предстанет список обрабатываемых в данный момент процессов. Среди них есть и тот, из-за которого сыр-бор. Наведите на него курсор — всплывет поле с информацией о том, за какую службу он отвечает.

4o5p.jpg

Проблемная служба одна? Попробуйте ее отключить. Несколько? Возможно, их назначение укажет вам на корень проблемы. Например, если все сервисы, которые грузят процессор, отвечают за сетевое подключение, то искать неполадку следует в нем.

А вдруг вирус?

Приведу несколько признаков, по которым можно распознать вредительское ПО, замаскированное под предмет нашей беседы:

  • Здоровые файлы этого типа обычно лежат в папках C:WindowsSystem32 или SysWOW64, реже в — Prefetch, winsxs(далее следует длинное название), ServicePackFiles. Если служба вещает из иного места, в т. ч. и просто из C:Windows, то вы столкнулись с вирусом. Кстати, посмотреть ее расположение в Диспетчере задач можно, клацнув по процессу правой клавишей мышки.

5ra666.jpg

  • Нормальный Service Host никогда не загружается от имени пользователя. Он может работать под такими именами как «Система», «Network Service», «LOCAL SERVICE». Однако в десятой версии Виндовс ситуация с точностью до наоборот: Shell Experience Host, sihost.exe, загружаются как раз таки от юзера и посредством svchost.exe.
  • Вредоносные файлы зачастую имеют лишь похожее название. Например, svch0st.exe, svchosts32.exe, svccexe и т. п.
  • На наличие зараженных файлов иногда указывает то, что интернет коннектится только после загрузки ПК и сразу отваливается. Но, несмотря на его отсутствие, может наблюдаться обмен трафика.
  • Иные, свойственные вирусу признаки: сильно грузится система, изменение ее настроек, назойливая реклама на любом открытом вами сайте, произвольный вход в папки и не веб-страницы и т. д.

Что делать?

Вы подозреваете, что какой-то зловред промышляет в вашем компьютере под видом svchost.exe? Попробуйте выполнить следующее:

  • Воспользуйтесь той программой, о которой я говорил выше. Кликните правой кнопкой мыши по тому процессу, который вызывает у вас сомнения, и выберите действие «Check Virus Total» («Проверить наличие вирусов»).

gn5a6.jpg

  • Исследуйте всю систему с помощью антивируса. К примеру курейтом.

Больше посоветовать ничего не могу

Буду рад вас видеть в своем блоге как можно чаще.

До скорого!

Этой статьей стоит поделитьсяИспользуемые источники:

  • https://hetmanrecovery.com/ru/recovery_news/svchost-exe-process-will-load-the-pc-processor-can-i-remove.htm
  • https://windows10w.ru/help/sluzhba-svchost-exe-gruzit-protsessor.html
  • http://profi-user.ru/svchost/

Рейтинг автора
5
Подборку подготовил
Андрей Ульянов
Наш эксперт
Написано статей
168
Ссылка на основную публикацию
Похожие публикации