Svchost.exe: системний процес, якого так бояться користувачі windows

Сьогодні ми поговоримо про Svchost.exe, що це за процес і чому він може вантажити систему.

• Як зайти у вкладку процеси
• Перше знайомство з svchost.exe
• Кілька слів про процеси svchost.exe
• Процес svchost.exe і його зв`язку
• Система гальмує що робити
• Svchost - вірус чи ні?
• Svchost не є вірусом, але вантажить систему
• Чотири можливих причини великого завантаження процесора

Як зайти у вкладку процеси

Поки комп`ютер працює нормально, звичайного користувача мало цікавить, які процеси запущені в системі і для чого вони потрібні взагалі.

А ось нестандартну поведінку ОС Windows XP / Vista / 7 - гальмування, зависання, часті перезавантаження, змушує нас шукати причини.

З чого ж почати пошук? Давайте спробуємо запустити «Диспетчер завдань».

Варіанти запуску.

1. Натискаємо комбінацію клавіш «Ctrl» + «Alt» + «Del».
2. Натискаємо кнопку «Пуск», вибираємо команду «Виконати», вводимо taskmgr.exe і натискаємо кнопку «Ok».

Тепер переходимо на вкладку «Процеси» і вивчаємо список.

Велика кількість процесів svchost.exe відразу насторожує. Ну що ж, саме час розібратися з можливостями цього додатка.

Повернутися до змісту ^

Перше знайомство з svchost.exe

Останнім часом для компонування служб Windows замість звичних виконуваних файлів з розширенням .exe все частіше застосовуються спільні бібліотеки з розширенням .dll.

Цей спосіб вважається більш ефективним. Однак, бібліотечний файл, на відміну від виконуваного, сам стартувати не може.

Запустити службу (сервіс) з dll-файлу «допомагає» додаток svchost.exe.

Ось, наприклад, як запускається служба DNS-клієнта:

C: WINDOWS system32 svchost.exe -k NetworkService.

Повернутися до змісту ^

Кілька слів про процеси svchost.exe

Кожен екземпляр процесу svhost.exe ініціюється батьком - системним процесом services.exe.

Один процес svshost.exe може запускати одну службу або групу, що складається з декількох логічно пов`язаних служб Windows.

Варіант запуску «один процес svchost -gt; кілька служб Windows »дозволяє економити ресурси оперативної пам`яті і процесора.

Для перегляду svchost-груп та їх складу переходимо до реєстру Windows:

• натискаємо кнопку «Пуск» і знаходимо команду «Виконати»;
• в командному рядку вводимо regedit.exe і натискаємо кнопку «Ok».
• в реєстрі переходимо до гілки HKEY_LOCAL_MACHINE Software Microsoft WindowsNT CurrentVersion Svchost;
• знаходимо параметри REG_MULTI_SZ зі списками служб кожної групи.

Наприклад, до складу групи DcomLaunch входять наступні сервіси:

1. Power - служба, яка управляє конфігурацією харчування і відправкою повідомлень про встановлені конфігураціях харчування;
2. PlugPlay - служба, завдяки якій комп`ютер автоматично розпізнає підключені до нього пристрої і налаштовує їх на роботу без участі користувача або мінімізує це участь.
3. DcomLaunch - служба запуску серверів COM і DCOM для стійкої роботи програм використовують дані сервера.

Жодну з вище зазначених служб відключати не рекомендується.

При перегляді даних процесу svchost обов`язково зверніть увагу на колонку «Ім`я користувача».

У ній може знаходитися тільки одне з наступних значень: «Local Service», «System», «Network Service».

Де живе файл.

В операційних системах Windows XP / Vista / 7 місце розташування файлу svchost.exe - стандартне:

• 32-бітові ОС - C: Windows System32 ;
• 64-бітові ОС - C: Windows SysWOW64 .

Запам`ятаємо точну адресу файлу. Це нам стане в нагоді в подальшому.

Повернутися до змісту ^

Процес svchost.exe і його зв`язку

Диспетчер завдань видає нам цілий список запущених процесів svchost.exe, але цієї інформації явно недостатньо.

Природно, нас цікавить, які саме сервіси запускає конкретний екземпляр цього процесу.

Отже, кілька способів дізнатися про зв`язки svchost`а.

Команди tasklist і sc.

Застосування команд tasklist і sc можливо в будь-якої версії Windows. Тому, цей спосіб можна вважати універсальним.

Перш за все, запускаємо cmd - інтерпретатор командного рядка Windows:

• натискаємо кнопку «Пуск»;
• вибираємо команду «Виконати»;
• вводимо cmd і натискаємо кнопку «Ok».

Для отримання списку служб на екрані інтерпретатора запускаємо команду tasklist з ключем svc і натискаємо кнопку «Enter»:

• tasklist / svc «Enter».

Для збереження результатів запиту в текстовий файл svc.txt, що знаходиться на диску C: у папці temp, робимо перенаправлення виведення команди tasklist:

• tasklist / svc gt; C: temp svc.txt «Enter»

Зауважимо, що файл буде збережений в dos-кодуванні.

Фрагмент лістингу tasklist.exe.

Ім`я образу PID Служби:

+++

• svchost.exe 1216 DcomLaunch
• svchost.exe 1300 RpcSs
• svchost.exe одна тисяча триста вісімдесят чотири WudfSvc
• svchost.exe 1528 Dnscache
• svchost.exe 1584 LmHosts, SSDPSRV

+++

Колонки таблиці:

• «Ім`я образу» - ім`я виконуваного файлу;
• «PID» - ідентифікатор процесу;
• «Служби» - список сервісів.

Щоб отримати інформацію про конкретний сервісі, задаємо його коротка назва як параметр команди управління сервісами sc.

Приклад отримання відомостей про службу TermService.

- sc qc TermService «Enter».

Два способи переходу до списку сервісів.

1. Натискаємо кнопку «Пуск», знаходимо команду «Виконати», в командному рядку вводимо services.msc і натискаємо кнопку «Ok».
2. Натискаємо кнопку «Пуск», потім вибираємо Налаштування -gt; Панель управління -gt; Адміністрування -gt; Служби.

Диспетчер завдань Windows Vista / 7.

Отримуємо список сервісів, пов`язаних з процесом svchost за допомогою диспетчера задач Windows Vista / 7:

• встановлюємо курсор на назву процесу;
• викликаємо контекстне меню натисненням правої кнопки миші і вибираємо опцію «Перейти до служб»;
• отримуємо список, в якому підсвічуванням виділені пов`язані з нашим процесом сервіси.

В операційній системі Windows XP опція «Перейти до служб», на жаль, відсутня. Цей варіант не можна вважати універсальним.

Утиліта Process Explorer.

Ця програма не входить в дистрибутиви Windows, але доступна до скачування з сайту Microsoft або зі сторінки завантаження Process Explorer.

Процес запуску дуже простий і не вимагає інсталяції:

• викачуємо zip-архів;
• разархивируем в папку на диску;
• запускаємо файл procexp.exe.

Утиліта видає детальну інформацію про процеси, запущені в системі: pid, завантаження cpu, короткий опис, відомості про виробника і т.д.

При наведенні миші на назву одного з примірників svchost`а ми отримали наступну інформацію:

• Command Line - рядок запуску сервісу або групи сервісів через svchost;
• Path - шлях до файлу svchost.exe;
• Services - список сервісів.

Контекстне меню, яке викликається натисканням правої кнопки миші, надає великі можливості по управлінню процесом і службами, які він запускає.

Відео: Дивний процес svchost.exe в встановленою Windows 10

Утиліта AnVir Task Manager.

Програма AnVir Task Manager не тільки забезпечує управління запущеними процесами, сервісами, драйверами і автозавантаженням, а й виконує функції антивіруса.

Порядок запуску такої ж, як і у Process Explorer`а:

• викачуємо безкоштовну версію AnVir Task Manager в форматі zip-архіву;
• разархивируем в папку на диску;
• запускаємо файл AnVir.exe.

Для перемикання мови при першому запуску програми користуємося головним меню:

«View-gt; Language-gt; Russian».

Вибираємо вкладку «Процеси» для отримання докладної інформації про наші svchost`ах.

У рядку процесу ми бачимо відомості про виробника, шлях до виконуваного файлу, відсоток завантаження ЦП і т.д.

Але найцікавіші дані представлені в колонці «Автозавантаження». Тут ви знайдете список запускаються svchost`ом сервісів.

Двічі клацаємо лівою кнопкою миші по назві процесу і отримуємо більш детальну інформацію про нього (вікно з вкладками в нижній частині екрана).

Відео: ГАЛЬМУЄ КОМП`ЮТЕР Грузії ПРОЦЕССОР НА 100% | ВИРІШЕНО |

Система гальмує що робити

Які симптоми вказують на винність svchost і як усунути проблеми. Давайте розберемося.

Система може гальмувати з різних причин. Але якщо в диспетчері завдань ви виявите процес svchost.exe c високим відсотком завантаження центрального процесора (іноді навіть близько 100%) - цілком ймовірно, що причина саме в ньому.

Багато користувачів вважають, що в цьому випадку svchost обов`язково є вірусом. Але це не так. Процес може вантажити систему і з інших причин.

Давайте розглянемо, як вирішити проблему з svchost`ом в обох випадках.

Повернутися до змісту ^

Svchost - вірус чи ні?

Багато трояни і інші комп`ютерні віруси маскуються під відомі системні програми Windows. Svchost - не виняток.

За даними лабораторії Касперського svchost`ом «прикидаються» віруси Trojan-Clicker.Win32.Delf.cn, Virus.Win32.Hidrag.d, Net-Worm.Win32.Welchia.a, а також відомий більшості користувачів вірус Kido.

Отже, починаємо перевіряти наш процес.

В першу чергу зверніть увагу на розташування файлу svchost.exe. Якщо воно відрізняється від стандартного - файл сміливо можна видаляти.

Перевірте ім`я користувача, що запустив процес. Список допустимих імен наведено в розділі «Кілька слів про процеси svchost.exe».

Уважно перечитайте ім`я процесу. Вірусописьменники часто використовують схожі імена: svhost, svchosts і т.д.

Додаток ніколи не може запускатися через розділ «Run» реєстру Windows.

Тому обов`язково потрібно перевірити його наявність в автозавантаженні:

• натискаємо кнопку «Пуск», вибираємо команду «Виконати», вводимо msconfig і натискаємо кнопку «Ok»;
• переходимо на вкладку «Автозавантаження»;
• якщо файл svchost.exe знайдений - відключаємо запуск.

Для видалення підозрілого процесу в диспетчері завдань викликаємо контекстне меню натисненням правої кнопки миші і вибираємо команду «Завершити дерево процесів».

Після виконання всіх описаних дій необхідно обов`язково запустити антивірусну програму і пролікувати комп`ютер.

Повернутися до змісту ^

Svchost не є вірусом, але вантажить систему

Якщо ви переконалися, що svchost - реальний системний процес, давайте розберемося зі службами, які він запускає.

Порядок дій наступний - по черзі зупиняємо служби, пов`язані з процесом, і дивимося, що вийде.

Ми вже розповідали про те, як перейти до списку сервісів в розділі «Процес svchost.exe і його зв`язку». Тепер розберемося, як їх зупиняти.

Відключення сервісу в стандартній програмі «Служби» ОС Windows:

• встановлюємо курсор на ім`я служби і подвійним клацанням лівої кнопки миші відкриваємо вікно служби;
• переходимо на вкладку «Загальні», натискаємо кнопку «Стоп», потім - «Ok».

Відключення сервісу в програмі Process Explorer:

• встановлюємо курсор на потрібний процес svchost.exe, викликаємо контекстне меню натисненням правої кнопки миші і вибираємо опцію «Properties»;
• у вікні, переходимо на вкладку «Services»;
• вибираємо потрібну службу в списку і натискаємо кнопку «Stop».

Відключення сервісу в програмі AnVir Task Manager:

• встановлюємо курсор на потрібний процес svchost.exe, викликаємо контекстне меню натисненням правої кнопки миші і вибираємо «Перейти-gt; Перейти до сервісу»;
• вибираємо потрібний сервіс в списку, викликаємо контекстне меню натисненням правої кнопки миші і вибираємо опцію «Стоп».

Відключення сервісу за допомогою команди sc:

• натискаємо кнопку «Пуск»;
• вибираємо команду «Виконати»;
• вводимо cmd і натискаємо кнопку «Ok»;
• у вікні інтерпретатора вводимо команду: sc stop «ім`я служби» «Enter».

Якщо зупинена вами служба не є причиною завантаження процесора, її слід запустити і повторити ті ж дії з наступною службою.

Перезапуск сервісів:

• програма «Служби» - кнопка «Пуск»;
• програма Process Explorer - кнопка «Restart»;
• програма AnVir Task Manager - кнопка «Пуск»;
• команда sc - sc start «ім`я служби» «Enter».

Відзначимо, що зупинка служби діє тільки до перезавантаження Windows. Тому, якщо ви знайшли «винуватицю», яка вантажить систему, потрібно відключити її запуск в програмі «Служби»:

• натискаємо кнопку «Пуск», вибираємо меню «Налаштування -gt; Панель управління -gt; Адміністрування -gt; Служби »;
• встановлюємо курсор на ім`я сервісу і подвійним клацанням лівої кнопки миші відкриваємо його вікно;
• переходимо на вкладку «Загальні»;
• знаходимо параметр «Тип запуску», встановлюємо значення «Відключено» і натискаємо кнопку «Ok».

Перед відключенням служби ви повинні чітко уявляти, які функції вона виконує і чи не призведе її відключення до порушення роботи системи.

Зауважимо, що при установці Windows включається стандартний набір служб. Деякі з них можуть бути абсолютно не потрібні вам для роботи, і тільки споживати ресурси комп`ютера.

Тому бажано розібратися в призначенні кожної з них і відключити зайві служби.

Повернутися до змісту ^

Чотири можливих причини великого завантаження процесора

Якщо список служб, що запускаються svchost`ом, досить великий - пошук «винуватця» перетворюється в досить обтяжлива заняття.

Кілька корисних порад, на що слід звернути увагу в першу чергу.

1. Служба автоматичного оновлення може не працювати належним чином для Windows XP. Причина - помилки в реалізації механізму перевірки оновлень. Оскільки кількість «латок» досить велике, комп`ютер здатний шукати їх не один день і зависати при цьому.
2. Робота «Провідника Windows», пов`язаного з нашим процесом, безпосередньо залежить від Internet Explorer. Тому застаріла версія IE - одна з ймовірних причин гальмування. Рішення проблеми - установка нової версії Internet Explorer`а (можна скористатися службою автоматичного оновлення Windows).
3. «Криві» драйвери, що запускаються svchost`ом з динамічних бібліотек, також одна з ймовірних причин неприємностей. Зазнаючи труднощів у пошуку драйверів, користувачі іноді встановлюють знайдений в Мережі софт від невідомих виробників. Найчастіше проблеми виникають з драйверами звукових плат і відеокарт. Проблемні драйвери слід видалити і замінити стабільними версіями.
4. Програма «Захисник Windows» зі стандартного дистрибутива Windows 7 / Vista призначена для захисту ПК від шкідливих програм не може працювати в зв`язці з антивірусними програмами. Але, на жаль, не кожен антивирусник може деактивувати «Захисника» (приклад - Eset Nod). Для вирішення питання заходимо в «Панель управління» через кнопку «Пуск», знаходимо «Захисника» і вимикаємо прапорець «Запускати перевірку в стані простою».

Сподіваємося, що матеріали нашої стаття допоможуть вам розібратися в проблемних ситуаціях з процесом svchost.exe. Хай щастить.

Повернутися до змісту ^